付録A リファレンス資料

A.1. Elytron サブシステムのコンポーネントのリファレンス

表A.1 add-prefix-role-mapper 属性

属性説明

prefix

各ロールに追加するプレフィックス。

表A.2 add-suffix-role-mapper 属性

属性説明

suffix

各ロールに追加するサフィックス。

表A.3 aggregate-http-server-mechanism-factory 属性

属性説明

http-server-mechanism-factories

集約する HTTP サーバーファクトリーの一覧。

表A.4 aggregate-principal-decoder 属性

属性説明

principal-decoders

集約するプリンシパルデコーダーの一覧。

表A.5 aggregate-principal-transformer 属性

属性説明

principal-transformers

集約するプリンシパルトランスフォーマーの一覧。

表A.6 aggregate-providers 属性

属性説明

providers

集約する参照 Provider[] リソースの一覧。

表A.7 aggregate-realm 属性

属性説明

authentication-realm

認証手順に使用するセキュリティーレルムへの参照。これは、認証情報の取得または検証に使用されます。

authorization-realm

承認手順のアイデンティティーの読み込みに使用するセキュリティーレルムへの参照。

authorization-realms

承認手順のアイデンティティーを読み込むために集約するセキュリティーレルムへの参照。

複数の承認レルムの使用方法は、『 How to Configure Identity Management』ガイドの「Configure Authentication and Authorization Using Multiple Identity Stores 」を参照してください。

注記

authorization-realmauthorization-realms 属性は互いに排他的なものです。レルムでは、2 つの属性いずれかのみを定義します。

表A.8 aggregate-role-mapper 属性

属性説明

role-mappers

集約するロールマッパーの一覧。

表A.9 aggregate-sasl-server-factory 属性

属性説明

sasl-server-factories

集約する SASL サーバーファクトリーの一覧。

表A.10 authentication-configuration 属性

属性説明

anonymous

true の場合は、匿名認証が許可されます。デフォルトは false です。

authentication-name

使用する認証名。

authorization-name

使用する認証名。

credential-reference

認証に使用する認証情報。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。

extends

拡張する既存の認証設定。

host

使用するホスト。

kerberos-security-factory

GSS kerberos 認証情報の取得に使用される kerberos セキュリティーファクトリーへの参照。

mechanism-properties

SASL 認証メカニズムの設定プロパティー。

port

使用するポート。

protocol

使用するプロトコル。

realm

使用するレルム。

sasl-mechanism-selector

SASL メカニズムセレクター文字列。使用方法は、「sasl-mechanism-selector Gammar」を参照してください。

security-domain

転送されたアイデンティティーを取得するためのセキュリティードメインへの参照。

表A.11 authentication-context 属性

属性説明

extends

拡張する既存の認証コンテキスト。

match-rules

この認証コンテキストに対して照合するルール。

表A.12 authentication-context match-rules 属性

属性説明

match-abstract-type

照合する抽象型。

match-abstract-type-authority

照合する抽象型の認証局。

match-host

照合するホスト。

match-local-security-domain

照合するローカルセキュリティードメイン。

match-no-user

true の場合、ルールはユーザーを照合しません。

match-path

照合するパッチ。

match-port

照合するポート。

match-protocol

照合するプロトコル。

match-urn

照合する URN。

match-user

照合するユーザー。

authentication-configuration

一致が成功した場合に使用する認証設定への参照。

ssl-context

正常な一致に使用する ssl-context への参照。

表A.13 caching-realm 属性

属性説明

maximum-age

項目がキャッシュ内に留まることができる時間 (ミリ秒単位)。-1 の値では、無制限で項目を維持します。デフォルトは -1 です。

maximum-entries

キャッシュに保持するエントリーの最大数。デフォルトは 16 です。

realm

jdbc-realmldap-realmfilesystem-realm またはカスタマーセキュリティレリムなどのキャッシュ可能なセキュリティレリムへの参照。

表A.14 certificate-authority-account 属性

属性説明

alias

キーストアの証明書の認証局アカウントキーのエイリアス。エイリアスがキーストアに存在しない場合は、認証局アカウントキーが自動的に生成され、エイリアスの下に PrivateKeyEntry として保存されます。

certificate-authority

使用する認証局の名前。デフォルトおよび唯一許可される値は LetsEncrypt です。

contact-urls

認証局がこのアカウントに関連する問題について連絡できる URL の一覧。

credential-reference

認証局アカウントキーにアクセスする際に使用される認証情報。

key-store

認証局アカウントキーが含まれるキーストア。

表A.15 chained-principal-transformer 属性

属性説明

principal-transformers

チェーンするプリンシパルトランスフォーマーの一覧。

表A.16 client-ssl-context 属性

属性説明

cipher-suite-filter

有効な暗号スイートを指定するために適用するフィルター。このフィルターは、コロン、コンマ、またはスペースで区切られた項目の一覧を取得します。各項目は、OpenSSL 形式の暗号スイート名、標準の SSL/TLS 暗号スイート名、または TLSv1.2DES などのキーワードになります。キーワードの詳細な一覧およびフィルター作成の詳細は、『CipherSuiteSelector』の Javadoc で掲載されています。デフォルト値は DEFAULT で、NULL 暗号化のない既知の暗号スイートすべてに対応し、認証のない暗号スイートを除外します。

key-manager

SSLContext 内で使用する key-manager への参照。

プロトコル

有効なプロトコル。許可されるオプション: SSLv2SSLv3TLSv1TLSv1.1TLSv1.2TLSv1.3これは、デフォルトで TLSv1TLSv1.1TLSv1.2、および TLSv1.3 を有効にするように設定されています。

警告

Red Hat では、影響するすべてのパッケージで TLSv1.1 または TLSv1.2 を利用するために SSLv2、SSLv3、および TLSv1.0 を明示的に無効化することを推奨しています。

provider-name

使用するプロバイダーの名前。指定されていない場合は、プロバイダーからのプロバイダーはすべて SSLContext に渡されます。

providers

SSLContext の読み込みに使用する Provider[] を取得するプロバイダーの名前。

session-timeout

SSL セッションのタイムアウト。

trust-manager

SSLContext 内で使用する trust-manager への参照。

表A.17 concatenating-principal-decoder 属性

属性説明

joiner

principal-decoders 属性の値を結合するのに使用される文字列。

principal-decoders

連結するプリンシパルデコーダーの一覧。

表A.18 configurable-http-server-mechanism-factory 属性

属性説明

filters

名前に基づいてメカニズムを有効または無効にするために適用するフィルターの一覧。

http-server-mechanism-factory

ラップする http サーバーファクトリーへの参照。

properties

HTTP サーバーファクトリー呼び出しに渡されるカスタムプロパティー。

表A.19 configurable-http-server-mechanism-factory フィルター属性

属性説明

pattern-filter

正規表現パターンに基づいたフィルター

有効化

true の場合は、メカニズムが一致するとフィルターが有効になります。デフォルトは true です。

表A.20 configurable-sasl-server-factory 属性

属性説明

filters

順番に評価し、or を使用して組み合わせるフィルターの一覧。

properties

SASL サーバーファクトリー呼び出しに渡されるカスタムプロパティー。

protocol

メカニズムの作成時にファクトリーに渡されるプロトコル。

sasl-server-factory

ラップされる SASL サーバーファクトリーへの参照。

server-name

メカニズムの作成時にファクトリーに渡されるサーバー名。

表A.21 configurable-sasl-server-factory フィルター属性

属性説明

predefined-filter

メカニズム名をフィルターするために使用する事前定義フィルター。使用できる値は、HASH_MD5HASH_SHAHASH_SHA_256HASH_SHA_384HASH_SHA_512GS2SCRAMDIGESTIEC_ISO_9798EAPMUTUALBINDINGRECOMMENDED です。

pattern-filter

正規表現に基づくメカニズム名のフィルター。

有効化

true の場合は、ファクトリーが一致するとフィルターが有効になります。デフォルトは true です。

表A.22 constant-permission-mapper 属性

属性説明

permission-sets

一致する場合に割り当てるパーミッションセット。パーミッションセットを使用すると、パーミッションをアイデンティティーに割り当てることができます。

permission-set は以下の属性を取ることができます。

  • permission-set

    パーミッションセットへの参照。

注記

permissions 属性は非推奨となり、permission-sets に置き換えられました。

表A.23 constant-principal-decoder 属性

属性説明

constant

プリンシパルデコーダーが常に返す定数値。

表A.24 constant-principal-transformer 属性

属性説明

constant

このプリンシパルトランスフォーマーが常に返す定数値。

表A.25 constant-realm-mapper 属性

属性説明

realm-name

返されるレルムへの参照。

表A.26 case-principal-transformer 属性

属性説明

upper-case

true (true)に設定されている場合にプリンシパルトランスフォーマーの名前を大文字に変換する任意の属性。これはデフォルト設定です。プリンシパルトランスフォーマーの名前を小文字に変換するには、属性を false に設定します。

表A.27 constant-role-mapper 属性

属性説明

roles

返されるロールの一覧です。

表A.28 credential-store 属性

属性説明

create

認証情報ストアが存在しない場合に、ストレージを作成するかどうかを指定します。

credential-reference

保護パラメーターの作成に使用される認証情報への参照。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。

implementation-properties

クレデンシャルストアの実装固有のプロパティーのマッピング。

location

クレデンシャルストアストレージのファイル名。

modifiable

クレデンシャルストアが変更可能であるかどうか。

other-providers

クレデンシャルストア内で必要な Jakarta Connectors オブジェクトを作成できるプロバイダーを検索するプロバイダーの名前。これはキーストアベースのクレデンシャルストアにのみ有効です。これが指定されていない場合は、代わりにプロバイダーのグローバル一覧が使用されます。

provider-name

CredentialStoreSpi をインスタンス化するために使用するプロバイダーの名前。プロバイダーが指定されていない場合は、指定したタイプのインスタンスを作成できる、見つかった最初のプロバイダーが使用されます。

providers

必要なクレデンシャルストアタイプを作成できるプロバイダーを検索するプロバイダーの名前。これが指定されていない場合は、代わりにプロバイダーのグローバル一覧が使用されます。

relative-to

このクレデンシャルストアパスが相対するベースパス。

type

クレデンシャルストアのタイプ (例: KeyStoreCredentialStore )

表A.29 credential-store エイリアス

属性説明

entry-type

クレデンシャルストアに保存された認証情報エントリーのタイプ。

secret-value

パスワードなどのシークレット値。

表A.30 credential-store KeyStoreCredentialStore 実装プロパティー

属性説明

cryptoAlg

外部ストレージでのエントリーの暗号化と複合化に使用される暗号化アルゴリズム名。この属性は、external が有効な場合にのみ有効です。デフォルトは AES です。

external

データが外部ストレージに保存され、keyAlias によって暗号化されるかどうか。デフォルトは false です。

externalPath

外部ストレージへのパスを指定します。この属性は、external が有効な場合にのみ有効です。

keyAlias

外部ストレージへのデータの暗号化または復号化に使用されるクレデンシャルストア内のシークレットキーエイリアス。

keyStoreType

PKCS11 など、キーストアタイプデフォルトは KeyStore.getDefaultType() です。

表A.31 custom-credential-security-factory 属性

属性説明

configuration

カスタムセキュリティーファクトリーのオプションのキーおよび値設定。

class-name

カスタムセキュリティーファクトリーの実装のクラス名。

module

カスタムセキュリティーファクトリーのロードに使用するモジュール。

表A.32 custom-modifiable-realm 属性

属性説明

configuration

カスタムレルムのオプションのキーおよび値設定。

class-name

カスタムレルムの実装のクラス名。

module

カスタムレルムのロードに使用するモジュール。

表A.33 custom-permission-mapper 属性

属性説明

configuration

パーミッションマッパーのオプションのキーおよび値設定。

class-name

パーミッションマッパーの完全修飾クラス名。

module

パーミッションマッパーのロードに使用するモジュールの名前。

表A.34 custom-principal-decoder 属性

属性説明

configuration

プリンシパルデコーダーのオプションのキーおよび値設定。

class-name

プリンシパルデコーダーの完全修飾クラス名。

module

プリンシパルデコーダーのロードに使用するモジュールの名前。

表A.35 custom-principal-transformer 属性

属性説明

configuration

プリンシパルトランスフォーマーのオプションのキーおよび値設定。

class-name

プリンシパルトランスフォーマーの完全修飾クラス名。

module

プリンシパルトランスフォーマーのロードに使用するモジュールの名前。

表A.36 custom-realm 属性

属性説明

configuration

カスタムレルムのオプションのキーおよび値設定。

class-name

カスタムレルムの完全修飾クラス名。

module

カスタムレルムのロードに使用するモジュールの名前。

表A.37 custom-realm-mapper 属性

属性説明

configuration

レルムマッパーのオプションのキーおよび値設定。

class-name

レルムマッパーの完全修飾クラス名。

module

レルムマッパーのロードに使用するモジュールの名前。

表A.38 custom-role-decoder 属性

属性説明

configuration

ロールデコーダーのオプションのキーおよび値設定。

class-name

ロールデコーダーの完全修飾クラス名。

module

ロールデコーダーのロードに使用するモジュールの名前。

表A.39 custom-role-mapper 属性

属性説明

configuration

ロールマッパーのオプションのキーおよび値設定。

class-name

ロールマッパーの完全修飾クラス名。

module

ロールマッパーのロードに使用するモジュールの名前。

表A.40 dir-context 属性

属性説明

authentication-context

LDAP サーバーに接続するためのログイン認証情報を取得する認証コンテキスト。authentication-levelnone の場合は省略できます。これは、匿名認証に相当します。

authentication-level

使用する認証レベル (セキュリティーレベルまたは認証メカニズム)SECURITY_AUTHENTICATION または java.naming.security.authentication 環境プロパティーに対応します。許可される値は nonesimple、および sasl_mech 形式です。sasl_mech 形式は、SASL メカニズム名のスペース区切りリストです。

connection-timeout

LDAP サーバーへの接続のタイムアウト (ミリ秒単位)。

credential-reference

LDAP サーバーを認証し、接続するクレデンシャル参照。これは、authentication-levelnone の場合は省略できます。これは、匿名認証に相当します。

enable-connection-pooling

true 接続プールが有効になっている場合。デフォルトは false です。

module

クラスローディングベースとして使用されるモジュールの名前。

principal

LDAP サーバーを認証し、接続するプリンシパル。これは、authentication-levelnone の場合は省略できます。これは、匿名認証に相当します。

properties

DirContext の追加接続プロパティー。

read-timeout

LDAP 操作の読み取りタイムアウト (ミリ秒単位)。

referral-mode

照会に従う必要があるかどうかを判断するために使用されるモード。使用できる値は FOLLOWIGNORE、および THROW です。デフォルトは IGNORE です。

ssl-context

LDAP サーバーへの接続をセキュア化するために使用される SSL コンテキストの名前。

url

接続 URL

表A.41 filesystem-realm 属性

属性説明

encoded

アイデンティティー名がファイル名でエンコードされて (Base32) 保存されるべきかどうか。

レベル

適用するディレクトリーハッシュのレベルの数。デフォルト値は 2 です。

path

レルムを含むファイルへのパス。

relative-to

path で使用する事前に定義された相対パス。例: jboss.server.config.dir

表A.42 filtering-key-store 属性

属性説明

alias-filter

key-store から返されたエイリアスに適用するフィルター。返すエイリアスのコンマ区切りの一覧、または以下の形式のいずれかを指定できます。

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2
注記

alias-filter 属性は、大文字と小文字を区別します。elytronAppServer などの大文字・小文字を合わせたエイリアスまたは大文字のエイリアスの使用は一部のキーストアプロバイダーで認識されない可能性があるため、elytronappserver などの小文字のエイリアスを使用することが推奨されます。

key-store

フィルター処理する key-store への参照。

表A.43 http-authentication-factory 属性

属性説明

http-server-mechanism-factory

このリソースに関連付ける HttpServerAuthenticationMechanismFactory

mechanism-configurations

メカニズム固有の設定のリスト。

security-domain

このリソースに関連付けるセキュリティードメイン。

表A.44 http-authentication-factory mechanism-configurations 属性

属性説明

credential-security-factory

メカニズムで必要な認証情報の取得に使用するセキュリティーファクトリー。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

host-name

この設定が適用されるホスト名。

mechanism-name

この設定は、名前を指定したメカニズムが使用される場合にのみ適用されます。この属性を省略すると、メカニズム名に一致します。

mechanism-realm-configurations

メカニズムが理解するレルム名の定義の一覧です。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

protocol

この設定が適用されるプロトコル。

realm-mapper

メカニズムによって使用されるレルムマッパー。

表A.45 http-authentication-factory mechanism-configurations mechanism-realm-configurations 属性

属性説明

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

realm-mapper

メカニズムによって使用されるレルムマッパー。

realm-name

メカニズムにより提示されるレルムの名前。

表A.46 identity-realm 属性

属性説明

attribute-name

このアイデンティティーに関連付けられた属性の名前。

attribute-values

Identity 属性に関連付けられた値の一覧。

identity

セキュリティーレルムから利用可能なアイデンティティー。

表A.47 jaspi-configuration 属性

属性説明

name

管理モデルでリソースを参照できる名前。

layer

この設定を AuthConfigFactoryに登録する際に使用されます。ワイルドカードの一致を許可するために省略できます。

application-context

この設定を AuthConfigFactory に登録する際に使用されます。ワイルドカードの一致を許可するために省略できます。

description

AuthConfigFactory に説明を加えるために使用されます。

表A.48 jaSPI-configuration server-auth-module 属性

属性説明

class-name

ServerAuthModule の完全修飾クラス名。

module

ServerAuthModule をロードするモジュール。

flag

このモジュールが他のモジュールに関連してどのように動作するかを示す制御フラグ。

options

初期化の際に ServerAuthModule に渡される設定オプション。

表A.49 jdbc-realm 属性

属性説明

principal-query

特定の鍵タイプに基づいてユーザーを認証するために使用される認証クエリーの一覧。

表A.50 jdbc-realm principal-query 属性

属性説明

attribute-mapping

このリソースに定義された属性マッピングのリスト。

bcrypt-mapper

SQL クエリーから返されるコラムを Bcrypt キータイプにマッピングするキーマッパー。

clear-password-mapper

SQL クエリーから返されるこらコラムをクリアパスワードキータイプにマッピングするキーマッパー。これには、ユーザーのパスワードを表す認証クエリーからのコラムインデックスである password-index 子要素があります。

data-source

データベースに接続するために使用されるデータソースの名前。

salted-simple-digest-mapper

SQL クエリーから返されたコラムを Simple Digest キータイプにマッピングするキーマッパー。

scram-mapper

SQL クエリーから返されるコラムを SCRAM キータイプにマッピングするキーマッパー。

simple-digest-mapper

SQL クエリーから返されたコラムを Simple Digest キータイプにマッピングするキーマッパー。

sql

特定のユーザーのテーブル列としてキーを取得し、そのタイプに応じてキーをマッピングするために使用される SQL ステートメント。

表A.51 jdbc-realm principal-query attribute-mapping 属性

属性説明

index

マッピングされた属性を表すクエリーからのコラムインデックス。

上記を以下に変更します。

SQL クエリーから返されるコラムからマッピングされたアイデンティティー属性の名前。

表A.52 jdbc-realm principal-query bcrypt-mapper 属性

属性説明

iteration-count-index

パスワードの iteration count (反復回数) (サポートされている場合) を表す認証クエリーからの列インデックス。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

salt-index

パスワードの salt (サポートされている場合) を表す認証クエリーからのコラムインデックス。

表A.53 jdbc-realm principal-query salted-simple-digest-mapper 属性

属性説明

algorithm

特定のパスワードキーマッパーのアルゴリズム。利用できる値は、password-salt-digest-md5password-salt-digest-sha-1password-salt-digest-sha-256password-salt-digest-sha-384password-salt-digest-sha-512salt-password-digest-md5salt-password-digest-sha-1salt-password-digest-sha-256salt-password-digest-sha-384salt-password-digest-sha-512 です。デフォルトは password-salt-digest-md5 です。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

salt-index

パスワードの salt (サポートされている場合) を表す認証クエリーからのコラムインデックス。

表A.54 jdbc-realm principal-query simple-digest-mapper 属性

属性説明

algorithm

特定のパスワードキーマッパーのアルゴリズム。利用できる値は、simple-digest-md2simple-digest-md5simple-digest-sha-1simple-digest-sha-256simple-digest-sha-384simple-digest-sha-512 です。デフォルトは simple-digest-md5 です。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

表A.55 jdbc-realm principal-query scram-mapper 属性

属性説明

algorithm

特定のパスワードキーマッパーのアルゴリズム。使用できる値は scram-sha-1 および scram-sha-256 です。デフォルト値は scram-sha-256 です。

iteration-count-index

パスワードの iteration count (反復回数) (サポートされている場合) を表す認証クエリーからの列インデックス。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

salt-index

パスワードの salt (サポートされている場合) を表す認証クエリーからのコラムインデックス。

表A.56 kerberos-security-factory 属性

属性説明

debug

true の場合、認証情報を取得する JAAS ステップでデバッグロギングが有効になります。デフォルトは false です。

mechanism-names

認証情報を使用できるメカニズム名。名前は OID に変換され、mechanism-oids 属性からの OID とともに使用されます。

mechanism-oids

認証情報を使用できるメカニズム OID のリスト。

minimum-remaining-lifetime

キャッシュされた認証情報を再作成するまでの秒数。

obtain-kerberos-ticket

KerberosTicket は、認証情報と関連付ける必要があります。これは、認証情報がサーバーに委任される場合に true である必要があります。

options

Krb5LoginModule 追加オプション。

path

認証情報を取得するために読み込む keytab のパス。

principal

キータブで表されるプリンシパル。

relative-to

キータブへの相対パス。

request-lifetime

新しく作成された認証情報に要求する有効期間。

required

サービスの開始時に、十分なプリンシパルを持つキータブファイルが存在する必要があるかどうか。

server

true の場合、このファクトリーは Kerberos 認証のサーバー側の部分に使用されます。false の場合、クライアント側の使用に使用されます。デフォルト値は true です。

wrap-gss-credential

誤った不一致を防ぐために、生成された GSS 認証情報をラップすべきかどうか。

表A.57 key-manager 属性

属性説明

algorithm

基礎となる KeyManagerFactory を作成するために使用するアルゴリズムの名前。これは JDK によって提供されます。たとえば、SunJSSE を使用する JDK は、PKIX および SunX509 アルゴリズムを提供します。SunJSSE の詳細は、『Java Secure Socket Extension (JSSE) Reference Guide』を参照してください。

alias-filter

キーストアから返されるエイリアスに適用するフィルター。これは、返すエイリアスのコンマ区切りの一覧または次のいずれかの形式で指定できます。

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2

credential-reference

キーストア項目を復号化するための認証情報リファレンス。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。これはキーストアのパスワードではありません。

key-store

基礎となる KeyManagerFactory の初期化に使用する key-store への参照。

provider-name

基礎となる KeyManagerFactory を作成するために使用するプロバイダーの名前。

providers

基礎となる KeyManagerFactory の作成時に使用する Provider[] を取得するための参照。

表A.58 key-store 属性

属性説明

alias-filter

キーストアから返されるエイリアスに適用するフィルターは、返すエイリアスのコンマ区切りリストまたは以下の形式のいずれかになります。

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2
注記

alias-filter 属性は、大文字と小文字を区別します。elytronAppServer などの大文字・小文字を合わせたエイリアスまたは大文字のエイリアスの使用は一部のキーストアプロバイダーで認識されない可能性があるため、elytronappserver などの小文字のエイリアスを使用することが推奨されます。

credential-reference

キーストアへのアクセスに使用するパスワード。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。

path

キーストアファイルへのパス。

provider-name

キーストアのロードに使用するプロバイダーの名前。この属性を設定すると、指定したタイプのキーストアを作成できる最初のプロバイダーの検索が無効になります。

providers

検索するプロバイダーインスタンスの一覧を取得するために使用されるプロバイダーへの参照。指定しない場合は、代わりにプロバイダーのグローバル一覧が使用されます。

relative-to

このストアが相対するベースパス。完全パスまたは jboss.server.config.dir などの事前定義パスを指定できます。

required

true の場合は、キーストアサービスの開始時に存在するキーストアファイルが必要になります。デフォルト値は false です。

type

キーストアのタイプ (JKSなど)。

注記

以下のキーストアタイプが自動的に検出されます。

  • JKS
  • JCEKS
  • PKCS12
  • BKS
  • BCFKS
  • UBER

その他のキーストアタイプは手動で指定する必要があります。

キーストアタイプの完全なリストは、『Java Cryptography Architecture Standard Algorithm Name Documentation for JDK 8』を参照してください。

表A.59 key-store-realm 属性

属性説明

key-store

このセキュリテーレルムに使用されるキーストアへの参照。

表A.60 ldap-key-store 属性

属性説明

alias-attribute

項目エイリアスが保存される LDAP 属性の名前。

certificate-attribute

証明書が保存される LDAP 属性の名前。

certificate-chain-attribute

証明書チェーンが保存される LDAP 属性の名前。

certificate-chain-encoding

証明書チェーンのエンコーディング。

certificate-type

証明書のタイプ。

dir-context

LDAP サーバーとの通信に使用される dir-context の名前。

filter-alias

エイリアス別にキーストア内のアイテムを取得するための LDAP フィルター。

filter-certificate

証明書ごとにキーストア内のアイテムを取得するための LDAP フィルター。

filter-iterate

キーストアのすべての項目を繰り返し処理するための LDAP フィルター。

key-attribute

キーが保存される LDAP 属性の名前。

key-type

LDAP 属性でシリアル化された方法で保存されるキーストアのタイプ。例: JKS です。キーストアタイプの完全なリストは、『Java Cryptography Architecture Standard Algorithm Name Documentation for JDK 8』を参照してください。

new-item-template

項目作成の設定。これは、新しく作成されたキーストア項目の LDAP エントリーの表示方法を定義します。

search-path

キーストア項目を検索する LDAP のパス。

search-recursive

LDAP 検索を再帰的にする場合。

search-time-limit

LDAP からキーストアアイテムを取得するための時間制限 (ミリ秒単位)。デフォルトは 10000 です。

表A.61 ldap-key-store new-item-template 属性

属性説明

new-item-attributes

新しく作成されたアイテムに設定される LDAP 属性。これは、namevalue を持つ項目のリストを取得します。

new-item-path

新しく作成されたキーストア項目が保存される LDAP のパス。

new-item-rdn

新しく作成された項目に対する LDAP RDN の名前。

表A.62 ldap-realm 属性

属性説明

allow-blank-password

このレルムが、空のパスワードの直接検証に対応しているかどうか。空のパスワードを試みると拒否されます。

dir-context

LDAP サーバーへの接続に使用される dir-context の名前。

直接検証

true の場合、認証中のアカウントとして LDAP に直接接続することで認証情報の検証に対応します。そうでない場合は、パスワードは LDAP サーバーから取得され、JBoss EAP で検証されます。有効にする場合は、JBoss EAP サーバーがクライアントからユーザーのプレーンパスワードを取得できなければなりません。これには、認証に PLAIN SASL または BASIC HTTP メカニズムのいずれかを使用する必要があります。デフォルトは false です。

identity-mapping

基礎となる LDAP サーバーで対応するエントリーにプリンシパルをマッピングする方法を定義する設定オプション。

表A.63 ldap-realm identity-mapping 属性

属性説明

rdn-identifier

LDAP エントリーからプリンシパル名を取得するために使用されるプリンシパルの DN の RDN 部分。これは新規アイデンティティーの作成時にも使用されます。

use-recursive-search

true の場合、アイデンティティー検索クエリーは再帰的になります。デフォルトは false です。

search-base-dn

アイデンティティーを検索するベース DN。

attribute-mapping

このリソースに定義された属性マッピングのリスト。

filter-name

名前でアイデンティティーを取得する LDAP フィルター。

iterator-filter

レルムのアイデンティティーを繰り返し処理する LDAP フィルター。

new-identity-parent-dn

新しく作成されたアイデンティティーの親の DN。レルムの変更に必要。

new-identity-attributes

新しく作成されたアイデンティティーの属性一覧。これはレルムの変更に必要です。これは、namevalue ペアオブジェクトです。

user-password-mapper

userPassword と同様の認証情報の認証情報のマッピング。

otp-credential-mapper

OTP 認証情報の認証情報のマッピング。

x509-credential-mapper

X509 認証情報のストレージとして LDAP を使用できる設定。-from 子属性が定義されていない場合は、この設定は無視されます。複数の -from 子属性が定義されている場合、ユーザー証明書は定義されたすべての基準に一致する必要があります。

表A.64 ldap-realm identity-mapping attribute-mapping 属性

属性説明

extract-rdn

Raw 形式の値が X.500 形式の場合に、属性の値として使用する RDN キー。

filter

特定の属性の値を取得するために使用するフィルター。

filter-base-dn

フィルターが実行されるコンテキストの名前。

from

アイデンティティー属性にマッピングするための LDAP 属性の名前。定義されていない場合は、エントリーの DN が使用されます。

reference

値を取得するエントリーの DN を含む LDAP 属性の名前。

role-recursion

再帰的なロール割り当ての最大深度。0 で、再起なしを指定します。デフォルトは 0 です。

role-recursion-name

ロールエントリーの LDAP 属性を確認します。これは、ロールのロール検索時に filter-name の "{0}" に代わるものです。

search-recursive

true 属性の場合、LDAP 検索クエリーは再帰的になります。デフォルト値は true です。

上記を以下に変更します。

特定の LDAP 属性からマップされたアイデンティティー属性の名前。指定されない場合、属性の名前は from の定義と同じになります。from も定義されていない場合は、dn が使用されます。

表A.65 ldap-realm identity-mapping user-password-mapper 属性

属性説明

from

アイデンティティー属性にマッピングするための LDAP 属性の名前。定義されていない場合は、エントリーの DN が使用されます。

verifiable

true パスワードを使用してユーザーを検証できる場合。デフォルト値は true です。

writable

true の場合は、パスワードを変更できます。デフォルトは false です。

表A.66 ldap-realm identity-mapping otp-credential-mapper 属性

属性説明

algorithm-from

OTP アルゴリズムの LDAP 属性の名前。

hash-from

OTP ハッシュ関数の LDAP 属性の名前。

seed-from

OTP シードの LDAP 属性の名前。

sequence-from

OTP シーケンス番号の LDAP 属性名。

表A.67 ldap-realm identity-mapping x509-credential-mapper 属性

属性説明

certificate-from

エンコードされたユーザー証明書にマップする LDAP 属性の名前。定義されていない場合は、エンコードされた証明書はチェックされません。

digest-algorithm

ユーザー証明書のダイジェストを計算するために使用される、ハッシュ関数のダイジェストアルゴリズム。digest-from が定義されている場合にのみ使用されます。

digest-from

ユーザー証明書ダイジェストにマップする LDAP 属性の名前。定義されていない場合、証明書のダイジェストはチェックされません。

serial-number-from

ユーザー証明書のシリアル番号にマップする LDAP 属性の名前。定義されていない場合は、シリアル番号はチェックされません。

subject-dn-from

ユーザー証明書のサブジェクト DN にマップする LDAP 属性の名前。定義されていない場合、サブジェクト DN はチェックされません。

表A.68 logical-permission-mapper 属性

属性説明

left

操作の左側に対して使用するパーミッションマッパーへの参照。

logical-operation

パーミッションマッパーを組み合わせるために使用する論理操作。使用できる値は、andorxor、および unlessです。

right

操作の右側に対して使用するパーミッションマッパーへの参照。

表A.69 logical-role-mapper 属性

属性説明

left

操作の左側で使用されるロールマッパーへの参照。

logical-operation

ロールマッパーマッピングで実行される論理操作。使用できる値は、andminusorxor です。

right

操作の右側で使用されるロールマッパーへの参照。

表A.70 mapped-regex-realm-mapper 属性

属性説明

delegate-realm-mapper

パターンを使用して一致がない場合に委譲するレルムマッパー。

pattern

名前からレルムを抽出するために少なくとも 1 つのキャプチャーグループが含まれる必要がある正規表現。

realm-map

正規表現を使用して抽出したレルム名の定義レルム名へのマッピング。

表A.71 mechanism-provider-filtering-sasl-server-factory 属性

属性説明

有効化

true の場合は、フィルターのいずれかと一致しない限り、プロバイダーの読み込みメカニズムが有効ではありません。デフォルトは true です。

filters

プロバイダーのメカニズムを比較する際に適用するフィルターの一覧です。フィルターは、指定したすべての値がメカニズムおよびプロバイダーのペアと一致する場合に一致します。

sasl-server-factory

この定義でラップされる SASL サーバーファクトリーへの参照。

表A.72 mechanism-provider-filtering-sasl-server-factory フィルター属性

属性説明

mechanism-name

このフィルターがマッチする SASL メカニズムの名前。

provider-name

このフィルターが一致したプロバイダーの名前。

provider-version

プロバイダーのバージョンを比較する際に使用するバージョン。

version-comparison

プロバイダーのバージョンを評価する際に使用する等価性。使用できる値は less-thangreater-than です。デフォルト値は less-than です。

表A.73 online-certificate-status-protocol 属性

属性説明

responder

証明書から解決した OCSP Responder URI を上書きします。

responder-certificate

responder-keystore が定義されていない場合の、responder-keystore または trust-manager キーストアに位置するレスポンダー証明書のエイリアス。

responder-keystore

レスポンダー証明書の代替キーストア。Responder-certificate を定義する必要があります。

prefer-crls

OCSP メカニズムと CRL メカニズムの両方が設定されている場合、OCSP メカニズムが最初に呼び出されます。Prefer-crlstrue に設定すると、CRL メカニズムが最初に呼び出されます。

表A.74 properties-realm 属性

属性説明

groups-attribute

アイデンティティーのグループメンバーシップ情報が含まれる必要がある、返された AuthorizationIdentity の属性の名前。

groups-properties

ユーザーおよびそれらのグループが含まれるプロパティーファイル。

users-properties

ユーザーとパスワードが含まれるプロパティーファイル。

表A.75 properties-realm users-properties 属性

属性説明

digest-realm-name

プロパティーファイルで検出されない場合に、ダイジェストされたパスワードに使用するデフォルトのレルム名。

path

ユーザーおよびパスワードを含むファイルへのパス。このファイルには、レルム名の宣言が含まれる必要があります。

plain-text

true の場合は、プレーンテキストで保存されたプロパティーファイルのパスワードを使用します。false であれば、事前にハッシュが指定されます。これは、HEX( MD5( username \":\" realm \":\" password))) の形式で取得されます。デフォルトは false です。

relative-to

パスが相対する、事前に定義されたパス。

表A.76 properties-realm groups-properties 属性

属性説明

path

ユーザーおよびそれらのグループを含むファイルへのパスです。

relative-to

パスが相対する、事前に定義されたパス。

表A.77 provider-http-server-mechanism-factory 属性

属性説明

providers

ファクトリーの検索に使用するプロバイダー。指定されない場合は、グローバルに登録されたプロバイダーの一覧が使用されます。

表A.78 provider-loader 属性

属性説明

argument

Provider がインスタンス化されるとき、コンストラクターに渡される引数。

class-names

読み込むプロバイダーの完全修飾クラス名の一覧。これらは service-loader がプロバイダーを検出した後にロードされ、重複はスキップされます。

configuration

初期化するためにプロバイダーに渡されるキーおよび値の設定。

module

プロバイダーのロード元となるモジュールの名前。

path

プロバイダーの初期化に使用するファイルのパス。

relative-to

設定ファイルのベースパス。

表A.79 provider-sasl-server-factory 属性

属性説明

providers

ファクトリーの検索に使用するプロバイダー。指定されない場合は、グローバルに登録されたプロバイダーの一覧が使用されます。

表A.80 regex-principal-transformer 属性

属性説明

pattern

置き換える名前の一部を見つけるために使用する正規表現。

replace-all

true の場合は、一致するすべてのパターンが置き換えられます。false の場合は、最初に出現したもののみが置き換えられます。デフォルトは false です。

replacement

代替として使用する値。

表A.81 regex-validating-principal-transformer 属性

属性説明

match

true の場合、検証を成功させるには、指定したパターンに名前が一致する必要があります。false の場合、検証を成功させるには、指定したパターンに名前が一致することはできません。デフォルトは true です。

pattern

プリンシパルトランスフォーマーに使用する正規表現。

表A.82 sasl-authentication-factory 属性

属性説明

mechanism-configurations

メカニズム固有の設定のリスト。

sasl-server-factory

このリソースに関連付ける SASL サーバーファクトリー。

security-domain

このリソースに関連付けるセキュリティードメイン。

表A.83 sasl-authentication-factory mechanism-configurations 属性

属性説明

credential-security-factory

メカニズムで必要な認証情報の取得に使用するセキュリティーファクトリー。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

host-name

この設定が適用されるホスト名。

mechanism-name

この設定は、名前を指定したメカニズムが使用される場合にのみ適用されます。この属性を省略すると、メカニズム名に一致します。

mechanism-realm-configurations

メカニズムが理解するレルム名の定義の一覧です。

protocol

この設定が適用されるプロトコル。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

realm-mapper

メカニズムによって使用されるレルムマッパー。

表A.84 sasl-authentication-factory mechanism-configurations mechanism-realm-configurations 属性

属性説明

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

realm-mapper

メカニズムによって使用されるレルムマッパー。

realm-name

メカニズムにより提示されるレルムの名前。

表A.85 server-ssl-context 属性

属性説明

authentication-optional

true の場合、セキュリティードメインがクライアント証明書を拒否しても接続は妨害されません。このため、フォールスルーにより、クライアント証明書がセキュリティードメインによって拒否される場合に、別の認証メカニズム (フォームログインなど) を使用できます。これはセキュリティードメインが設定されている場合に限り有効になります。デフォルトは false です。

cipher-suite-filter

有効な暗号スイートを指定するために適用するフィルター。このフィルターは、コロン、コンマ、またはスペースで区切られた項目の一覧を取得します。各項目は、OpenSSL 形式の暗号スイート名、標準の SSL/TLS 暗号スイート名、または TLSv1.2DES などのキーワードになります。キーワードの詳細な一覧およびフィルター作成の詳細は、『CipherSuiteSelector』の Javadoc で掲載されています。デフォルト値は DEFAULT で、NULL 暗号化のない既知の暗号スイートすべてに対応し、認証のない暗号スイートを除外します。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

key-manager

SSLContext 内で使用するキーマネージャーへの参照。

maximum-session-cache-size

キャッシュされる SSL/TLS セッションの最大数。

need-client-auth

true の場合は、SSL ハンドシェイクでクライアント証明書が必要になります。信頼されたクライアント証明書がない接続は拒否されます。デフォルトは false です。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

プロトコル

有効なプロトコル。利用できるオプションは SSLv2SSLv3TLSv1TLSv1.1TLSv1.2TLSv1.3 です。これは、デフォルトで TLSv1TLSv1.1TLSv1.2、および TLSv1.3 を有効にするように設定されています。

警告

Red Hat では、影響するすべてのパッケージで TLSv1.1 または TLSv1.2 を利用するために SSLv2、SSLv3、および TLSv1.0 を明示的に無効化することを推奨しています。

provider-name

使用するプロバイダーの名前。指定されていない場合は、プロバイダーからのプロバイダーはすべて SSLContext に渡されます。

providers

SSLContext の読み込みに使用する Provider[] を取得するプロバイダーの名前。

realm-mapper

SSL 認証に使用するレルムマッパー。

security-domain

SSL/TLS セッション確立中の認証に使用するセキュリティードメイン。

session-timeout

SSL/TLS セッションのタイムアウト。

trust-manager

SSLContext 内で使用する trust-manager への参照。

use-cipher-suites-order

true の場合は、サーバーに定義された暗号スイートの順序が使用されます。false の場合は、クライアントによって示される暗号スイートの順序が使用されます。デフォルト値は true です。

want-client-auth

true の場合、SSL ハンドシェイクでクライアント証明書がリクエストされますが、必須ではありません。セキュリティードメインが参照され、X509 エビデンスがサポートされる場合、これは自動的に true に設定されます。これは、need-client-auth が設定されると無視されます。デフォルトは false です。

wrap

true の場合は、返された SSLEngineSSLSocket、および SSLServerSocket インスタンスがラップされ、さらなる変更に対して保護されます。デフォルトは false です。

注記

server-ssl-context のレリムマッパーやプリンシパルトランスフォーマー属性は、証明書がトラストマネージャーによって検証される、SASL EXTERNAL メカニズムにのみ適用されます。HTTP CLIENT-CERT 認証設定は、http-authentication-factory で設定されます。

表A.86 service-loader-http-server-mechanism-factory 属性

属性説明

module

ファクトリーをロードするクラスローダーの取得に使用するモジュール。指定のない場合は、リソースをロードするクラスローダーが代わりに使用されます。

表A.87 service-loader-sasl-server-factory 属性

属性説明

module

ファクトリーをロードするクラスローダーの取得に使用するモジュール。指定のない場合は、リソースをロードするクラスローダーが代わりに使用されます。

表A.88 simple-permission-mapper 属性

属性説明

mapping-mode

複数の一致の場合に使用すべきマッピングモード。使用できる値は、areandorxorunlessfirst です。デフォルトは first です。

permission-mappings

定義されたパーミッションマッピングのリスト。

表A.89 simple-permission-mapper permission-mappings 属性

属性説明

permission-sets

一致する場合に割り当てるパーミッションセット。パーミッションセットを使用すると、パーミッションをアイデンティティーに割り当てることができます。

permission-set は以下の属性を取ることができます。

  • permission-set

    パーミッションセットへの参照。

重要

permissions 属性は非推奨となり、permission-sets に置き換えられました。

principals

パーミッションをマッピングする際に比較するプリンシパルの一覧。アイデンティティープリンシパルがリストの何かしらと一致する場合、それがマッチとなります。

roles

パーミッションをマッピングするときに比較するロールのリスト。アイデンティティがリストの何かしらのメンバーである場合は、それが一致となります。

表A.90 permission-set パーミッション属性

属性説明

action

構築されるときにパーミッションに渡すアクション。

class-name

パーミッションの完全修飾クラス名。

module

パーミッションのロードに使用するモジュール。

target-name

構築されるときにパーミッションに渡すターゲット名。

表A.91 simple-regex-realm-mapper 属性

属性説明

delegate-realm-mapper

パターンを使用して一致がない場合に委譲するレルムマッパー。

pattern

名前からレルムを抽出するために少なくとも 1 つのキャプチャーグループが含まれる必要がある正規表現。

表A.92 simple-role-decoder 属性

属性説明

attribute

直接ロールにマップするアイデンティティーの属性名。

表A.93 source-address-role-decoder 属性

属性説明

pattern

照合するクライアントの IP アドレスまたはクライアントの IP アドレスを指定する正規表現。

source-address

クライアントの IP アドレスを指定します。

roles

クライアントの IP アドレスが pattern 属性または source-address 属性で指定された値と一致する場合に、ユーザーに割り当てるロールの一覧を提供します。

注記

source-address 属性または pattern 属性のいずれかで、IP アドレスを少なくとも 1 つ指定する必要があります。それ以外の場合は、クライアントの IP アドレスに基づいて承認の決定を行うことはできません。

表A.94 syslog-audit-log 属性

属性説明

format

監査イベントを記録する形式。

サポートされる値:

  • SIMPLE
  • JSON

デフォルト値:

  • SIMPLE

host-name

syslog サーバーに送信されるすべてのイベントに組み込むホスト名。

port

syslog サーバーのリッスンポート。

reconnect-attempts

接続を閉じる前に Elytron が連続メッセージを syslog サーバーに送信試行する最大回数。この属性の値は、使用される送信プロトコルが UDP の場合にのみ有効です。

サポートされる値:

  • 正の integer
  • -1 は、再接続が無限に試行されることを示します。

デフォルト値:

  • 0

server-address

syslog サーバーの IP アドレス、または Java の InetAddress.getByName() メソッドによって解決できる名前。

ssl-context

syslog サーバーへの接続時に使用する SSL コンテキスト。この属性は、transportSSL_TCP に設定されている場合にのみ必要です。

syslog-format

監査イベントの記述に使用される RFC 形式。

サポートされる値:

  • RFC5424
  • RFC3164

デフォルト値:

  • RFC5424

transport

syslog サーバーへの接続に使用するトランスポート層プロトコル。

サポートされる値:

  • UDP
  • TCP
  • SSL_TCP

デフォルト値:

  • TCP

表A.95 token-realm 属性

属性説明

jwt

JWT/JWS 規格に基づくセキュリティートークンを処理するトークンベースのレルムとともに使用されるトークンバリデーター。

oauth2-introspection

トークンベースのレルムとともに使用されるトークンバリデーター。これは、OAuth2 アクセストークンを処理し、RFC-7662 OAuth2 Token Introspection 仕様に準拠するエンドポイントを使用して、このトークンを検証します。

principal-claim

プリンシパルの名前を取得するために使用される要求の名前。デフォルトは username です。

表A.96 token-realm jwt 属性

属性説明

audience

この設定でサポートされる対象を表す文字列の一覧。検証の際には、JWT トークンに、ここで定義した値のいずれかが含まれる aud 要求が必要です。

certificate

key-store 属性で定義されるキーストアからロードする公開鍵を持つ証明書の名前。

client-ssl-context

リモート JSON Web Key (JWK) に使用する SSL コンテキスト。これにより、jku (JSON Key URL) ヘッダーパラメーターの URL を使用して、トークンの検証用に公開鍵を取得できます。

host-name-verification-policy

リモート JSON Web キーの使用時にホスト名を検証する方法を定義するポリシー。属性に以下の値のいずれかを設定できます。

  • ANY: ホスト名の検証を無効にします。
  • DEFAULT: 証明書と接続したホストからのサーバー名で証明書の不一致が発生する接続を拒否します。

issuer

この設定でサポートされる発行者を表す文字列の一覧。検証の際には、JWT トークンに、ここで定義した値のいずれかが含まれる iss 要求が必要です。

key-store

公開鍵を持つ証明書をロードするキーストア。この属性は、certificate 属性とともに、public-key の代わりに使用することもできます。

public-key

PEM 形式の公開鍵。検証中に公開鍵が提供されると、署名はこの属性が提供するキー値に基づいて検証されます。

または、key-storecertificate を定義して、公開鍵を設定できます。この代替キーは、kid (Key ID) 要求なしでトークンを検証するために使用されます。

表A.97 token-realm oauth2-introspection 属性

属性説明

client-id

OAuth2 認証サーバーのクライアントの識別子。

client-secret

クライアントのシークレット。

client-ssl-context

イントロスペクションエンドポイントが HTTPS を使用している場合に使用する SSL コンテキスト。

host-name-verification-policy

HTTPS を使用する際にホスト名を検証する方法を定義するポリシー。属性に以下の値のいずれかを設定できます。

  • ANY: ホスト名の検証を無効にします。
  • DEFAULT: 証明書と接続したホストからのサーバー名で証明書の不一致が発生する接続を拒否します。

introspection-url

トークンイントロスペクションエンドポイントの URL。

表A.98 trust-manager 属性

属性説明

algorithm

基礎となる TrustManagerFactory を作成するために使用するアルゴリズムの名前。これは JDK によって提供されます。たとえば、SunJSSE を使用する JDK は、PKIX および SunX509 アルゴリズムを提供します。SunJSSE の詳細は、『Java Secure Socket Extension (JSSE) Reference Guide』を参照してください。

alias-filter

キーストアから返されるエイリアスに適用するフィルター。これは、返すエイリアスのコンマ区切りの一覧または次のいずれかの形式で指定できます。

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2

certificate-revocation-list

トラストマネージャーが確認できる証明書失効リストを有効にします。certificate-revocation-list の属性は以下の通りです。

  • path: プロバイダーを初期化するために使用される設定ファイルへのパス
  • relative-to: 証明書失効リストファイルのベースパス。
  • maximum-cert-path: 証明書パスに存在可能な自己発行でない中間証明書の最大数。デフォルト値は 5 です。(非推奨maximum-cert-pathtrust-manager で使用)

詳細は、「証明書失効リストの使用」を参照してください。

key-store

基礎となる TrustManagerFactory の初期化に使用する key-store への参照。

maximum-cert-path

証明書パスに存在可能な自己発行でない中間証明書の最大数。デフォルト値は 5 です。

この属性は、JBoss EAP 7.3 では、 trust-manager 内で certificate-revocation-list から trust-manager に移動されています。後方互換性を確立するためにも、属性は certificate-revocation-list にも存在します。次に進む前に、trust-managermaximum-cert-path を使用します。

注記

trust-manager または certificate-revocation-list のいずれかで maximum-cert-path を定義します。

only-leaf-cert

リーフ証明書のみの失効ステータスを確認します。これは任意の属性です。デフォルト値は false です。

provider-name

基礎となる TrustManagerFactory を作成するために使用するプロバイダーの名前。

providers

基礎となる TrustManagerFactory の作成時に使用する Provider[] を取得するための参照。

soft-fail

true に設定すると、失効ステータスが不明な証明書が許可されます。これは任意の属性です。デフォルト値は false です。

表A.99 x500-attribute-principal-decoder 属性

属性説明

attribute-name

マップする X.500 属性の名前。これは、oid 属性でも定義できます。

convert

true に設定すると、プリンシパルデコーダーは、タイプが異なる場合 X500Principal へのプリンシパルの変換を試行します。変換に失敗すると、元の値がプリンシパルとして使用されます。

joiner

結合文字列。デフォルト値はピリオド (.) です。

maximum-segments

マップする属性の最大出現数。デフォルト値は 2147483647 です。

oid

マップする X.500 属性の OID。これは、attribute-name 属性を使用して定義することもできます。

required-attributes

プリンシパルに存在する必要がある属性の属性名のリスト

required-oids

プリンシパルに存在する必要がある属性の OID の一覧。

reverse

true の場合、属性値は逆順で処理されて返されます。デフォルト値は false です。

start-segment

マップする属性の最初の出現。これはゼロベースのインデックスを使用し、デフォルト値は 0 です。

表A.100 x509-subject-alternative-name-evidence-decoder 属性

属性説明

alt-name-type

サブジェクトの別名タイプ。以下のサブジェクトの別名タイプのいずれかとなります。

  • directoryName
  • dNSName
  • iPAddress
  • registeredID
  • rfc822Name
  • uniformResourceIdentifier

これは必の須属性です。

segment

  • マップするサブジェクトの別名を 0 ベースの出現。
  • この属性は、指定されたタイプのサブジェクト代替名が複数ある場合に使用されます。デフォルト値は 0 です。