Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

4.9. Kerberos ログインモジュール

短縮名:: Kerberos

フルネーム: org.jboss.security.negotiation.KerberosLoginModule

Kerberos ログインモジュールは、GSSAPI を使用して Kerberos ログイン認証を実行します。このログインモジュールは、Oracle JDK の JDK 提供モジュール com.sun.security.auth.module.Krb5LoginModule と IBM JDK の com.ibm.security.auth.module.Krb5LoginModule をラップし、クレデンシャル委任の追加ロジックを提供し、GSSCredential を設定された Subject に追加します。

このモジュールは、認証およびロールマッピングを処理する別のモジュールとペアにする必要があります。

重要

以下の表は、org.jboss.security.negotiation.KerberosLoginModule で利用可能なオプションを示していますが、JDK によって提供されるモジュールからのオプションも設定できます。各 JDK モジュールオプションの詳細は、Oracle および IBM Java のドキュメントを参照してください。

表4.5 Kerberos ログインモジュールオプション

オプションTypeデフォルト説明

delegationCredential

IGNORE、REQUIRE または USE

IGNORE

このログインモジュールが委任を処理する方法を定義します。IGNORE は、委任クレデンシャルを使用せず、通常の Kerberos 認証を実行するように指定します。USE は、Subject を設定できる場合 GSSCredential の使用を指定し、利用できない場合は標準の Kerberos 認証にフォールバックします。REQUIRE は、GSSCredential を使用せず、認証が失敗した場合に認証に失敗するように指定します。

addGSSCredential

boolean

false

GSSCredential を、設定された Subject のプライベート認証情報に追加できるようにします。

wrapGSSCredential

boolean

false

無効化を防ぐために、Subject に追加される GSSCredential をラップすべきかどうかを指定します。GSSCredential が Subject に追加されていない場合は効果がありません。

credentialLifetime

Integer

GSSCredential.DEFAULT_LIFETIME

GSSCredentialの有効期間 (秒単位)。負の値の場合は、これを GSSCredential.indefinite_LIFETIME に設定します。