패키지 org.ietf.jgss

이 패키지는, Kerberos 등이 다양한 부하의 시큐리티 기구의 통합된 API 를 사용해, 인증, 데이터의 무결성, 데이터의 기밀성등의 시큐리티 서비스를 어플리케이션 개발자가 이용할 수 있는 시스템를 제공합니다.

참조처:
설명

인터페이스의 개요

GSSContext	이 인터페이스는, GSS-API 의 시큐리티 문맥을 캡슐화해, 그 문맥으로 이용할 수 있는 시큐리티 서비스를 제공합니다.
GSSCredential	이 인터페이스에서는, 엔티티의 GSS-API 자격을 캡슐화합니다.
GSSName	이 인터페이스는, 단일의 GSS-API 주체 엔티티를 캡슐화합니다.

클래스의 개요

ChannelBinding	이 클래스는, 호출측으로부터 제공되는 채널 바인딩 정보의 개념을 캡슐화합니다.
GSSManager	이 클래스는, 다른 중요한 GSS-API 클래스의 팩토리로서 기능해, 지원되고 있는 기구에 관한 정보도 제공합니다.
MessageProp	이 유틸리티 클래스는, 메세지마다의 GSSContext 메소드내에서 사용해, 메세지마다의 프로퍼티을 설정합니다.
Oid	이 클래스는, OID (Universal Object Identifier)와 거기에 관련지을 수 있었던 조작을 나타냅니다.

예외의 개요

GSSException

이 예외는, GSS-API 기구 고유의 에러를 포함한 GSS-API 에러가 발생했을 때에 throw 됩니다.

패키지 org.ietf.jgss 의 설명

이 패키지는, Kerberos 등이 다양한 부하의 시큐리티 기구의 통합된 API 를 사용해, 인증, 데이터의 무결성, 데이터의 기밀성등의 시큐리티 서비스를 어플리케이션 개발자가 이용할 수 있는 시스템를 제공합니다. 어플리케이션으로부터 선택할 수 있는 시큐리티 기구는, 일의의 객체 식별자에 의해 식별됩니다. 예를 들어, Kerberos v5 GSS-API 기구는, 객체 식별자 1.2. 840.113554. 1.2. 2 에 의해 식별됩니다. 이 기구는, GSSManager 클래스의 디폴트 인스턴스를 개입시켜 이용할 수 있습니다.

GSS-API 는,RFC 2743 으로 정의되고 있다, 언어에 의존하지 않는 API 입니다. Java 언어 바인딩은 RFC 2853 으로 정의되고 있습니다.

어플리케이션에서는, 최초로 GSSManager 의 인스턴스를 작성합니다. 이 인스턴스는, 시큐리티 문맥의 팩토리로서 기능합니다. 어플리케이션으로 사용하는 특정의 주체명이나 자격도, GSSManager 를 사용해 작성합니다. 문맥을 인스턴스화할 때는, 시스템의 디폴트를 사용할 수도 있습니다. 다음에, 문맥의 확립 루프를 실행합니다. 피어와의 문맥이 확립되면(자), 인증이 완료합니다. 무결성이나 기밀성등의 데이터 보호는, 이 문맥으로부터 취득할 수 있습니다.

GSS-API 에서는, 피어와의 통신은 실시하지 않습니다. 어플리케이션으로부터 상대방의 피어에 전송 하는 토큰을 작성할 뿐입니다.

자격의 취득

GSS-API 자체는, 부하의 기구가 인증에 필요한 자격을 취득하는 방법을 규정하고 있습니다. GSS-API 를 호출하기 전에 필요한 자격을 취득해, 기구 프로바이더가 인식하고 있는 장소에 포함해 두는 것이 전제가 되고 있습니다. 다만, Java 플랫폼의 디폴트 모델에서는, 기구 프로바이더는 현재의 액세스 제어 문맥 Subject 에 관련지을 수 있고 있는 공개 또는 비공개의 자격 세트로부터 마셔 자격을 취득할 필요가 있습니다. Kerberos v5 기구는 비공개의 자격 세트를 검색해 필요한 INITIATE 자격과 ACCEPT 자격 (KerberosTicket 및 KerberosKey )을 가져옵니다만, 기구에 따라서는, 공개 자격 세트를 검색하는 것이나, 공개 세트와 비공개 세트의 양쪽 모두를 검색하는 것도 있습니다. 필요한 자격이 현재의 Subject 의 해당하는 자격 세트에 발견되지 않는 경우, GSS-API 의 호출은 실패합니다.

이 모델에게는, 어플리케이션의 관점으로부터 자격 관리가 단순해 예측 가능하다라고 말하는 이점이 있습니다. 액세스권이 부여된 어플리케이션에서는, 표준의 Java API 를 사용해, Subject 의 자격을 퍼지 또는 갱신할 수 있습니다. 자격을 퍼지 하면(자), JGSS 기구는 실패합니다. 시간 베이스의 자격을 갱신하면(자), JGSS 기구는 성공합니다.

이 모델에서는,JAAS login 를 실행해 Subject 를 인증해, 필요한 정보를 설정해, JGSS 기구를 나중에 사용할 수 있도록(듯이) 해 둘 필요가 있습니다. 다만 어플리케이션에서는, 시스템 프로퍼티 javax.security.auth.useSubjectCredsOnly 를 사용해 이 제한을 조정할 수 있습니다. 디폴트에서는 이 시스템 프로퍼티은 true 라고 보여지고 (미설정의 경우에서도), 프로바이더는 현재의 Subject 에 들어가 있는 자격 밖에 사용할 수 없습니다. 그러나, 어플리케이션이 이 프로퍼티을 명시적으로 false 로 설정했을 경우, 프로바이더는 임의의 자격 캐쉬를 선택해 사용할 수 있습니다. 예를 들어, 디스크 캐쉬 프로그램, 메모리내 캐쉬, 현재의 Subject 자체등에서 선택할 수 있습니다.

관련 문서

Java GSS-API 의 사용법에 관한 온라인 튜토리얼은,「JAAS 및 Java GSS-API 의 튜토리얼의 소개」를 참조해 주세요.

도입된 버젼:

1.4