패키지 org.ietf.jgss

이 패키지는 Kerberos 등이 다양한 부하의 시큐러티 도구 의 통합된 API를 사용해, 인증, 데이터의 정합성, 데이터의 기밀성등의 시큐러티 서비스를 어플리케이션 개발자가 이용할 수 있는 체제를 제공합니다.

참조처:
설명

인터페이스 개요

GSSContext	이 인터페이스는 GSS-API 시큐러티 컨텍스트를 캡슐화해, 그 컨텍스트 으로 이용할 수 있는 시큐러티 서비스를 제공합니다.
GSSCredential	이 인터페이스에서는 엔티티의 GSS-API 자격을 캡슐화합니다.
GSSName	이 인터페이스는 단일의 GSS-API 주체 엔티티를 캡슐화합니다.

클래스 개요

ChannelBinding	이 클래스는 호출측으로부터 제공되는 채널 바인딩 정보의 개념을 캡슐화합니다.
GSSManager	이 클래스는 다른 중요한 GSS-API 클래스의 팩토리로서 기능해, 지원 되고 있는 도구에 관한 정보도 제공합니다.
MessageProp	이 유틸리티 클래스는 메세지마다의 GSSContext 메서드내에서 사용해, 메세지마다의 프로퍼티를 설정합니다.
Oid	이 클래스는 OID (Universal Object Identifier)와 거기에 관련된 조작을 나타냅니다.

예외 개요

GSSException

이 예외는 GSS-API 도구 고유의 에러를 포함한 GSS-API 에러가 발생했을 때에 예외를 발생시킵니다.

패키지 org.ietf.jgss 설명

이 패키지는 Kerberos 등이 다양한 부하의 시큐러티 도구 의 통합된 API를 사용해, 인증, 데이터의 정합성, 데이터의 기밀성등의 시큐러티 서비스를 어플리케이션 개발자가 이용할 수 있는 체제를 제공합니다. 어플리케이션으로부터 선택할 수 있는 시큐러티 도구는 일의의 객체 식별자에 의해 식별됩니다. 예를 들어 Kerberos v5 GSS-API 도구는 객체 식별자 1.2. 840.113554. 1.2. 2에 의해 식별됩니다. 이 도구는 GSSManager 클래스의 디폴트 인스턴스를 개입시켜 이용할 수 있습니다.

GSS-API는 RFC 2743 으로 정의되고 있다, 언어에 존하지 않는 API 입니다. Java 언어 바인딩은 RFC 2853 으로 정의되고 있습니다.

어플리케이션에서는 최초로 GSSManager 인스턴스를 작성합니다. 이 인스턴스는 시큐러티 컨텍스트 의 팩토리로서 기능합니다. 어플리케이션으로 사용하는 특정의 주체명이나 자격도, GSSManager를 사용해 작성합니다. 컨텍스트를 인스턴스화할 때는 시스템의 디폴트를 사용할 수도 있습니다. 다음에 컨텍스트 의 확립 루프를 실행합니다. 피어와의 컨텍스트이 확립되면, 인증이 완료합니다. 정합성이나 기밀성등의 데이터 보호는 이 컨텍스트 으로부터 취득할 수 있습니다.

GSS-API 에서는 피어와의 통신은 실시하지 않습니다. 어플리케이션으로부터 상대방의 피어에 전송 하는 토큰을 작성할 뿐입니다.

자격의 취득

GSS-API 자체는 부하의 도구가 인증에 필요한 자격을 얻는 방법을 규정하고 있습니다. GSS-API를 호출하기 전에 필요한 자격을 취득해, 도구 프로바이더가 인식하고 있는 장소에 포함해 두는 것이 전제가 되고 있습니다. 다만, Java 2 플랫폼의 디폴트 모델에서는 도구 프로바이더는 현재의 액세스 제어 컨텍스트 Subject에 관련된 공개 또는 비공개의 자격 세트로부터 마셔 자격을 취득할 필요가 있습니다. Kerberos v5 도구는 비공개의 자격 세트를 검색해 필요한 INITIATE 자격과 ACCEPT 자격 (KerberosTicket 및 KerberosKey )을 취득합니다만, 도구에 따라서는 공개 자격 세트를 검색하는 것이나, 공개 세트와 비공개 세트의 양쪽 모두를 검색하는 것도 있습니다. 필요한 자격이 현재의 Subject 해당하는 자격 세트에 발견되지 않는 경우, GSS-API 호출은 실패합니다.

이 모델에게는 어플리케이션의 관점으로부터 자격 관리가 단순해 예측 가능하다라고 말하는 이점이 있습니다. 접근 권한이 부여된 어플리케이션에서는 표준의 Java API를 사용해, Subject 자격을 퍼지 또는 갱신할 수 있습니다. 자격을 퍼지 하면, JGSS 도구는 실패합니다. 시간 베이스의 자격을 갱신하면, JGSS 도구는 성공합니다.

이 모델에서는 JAAS login를 실행해 Subject를 인증해, 필요한 정보를 설정해, JGSS 도구를 나중에 사용할 수 있도록의해 둘 필요가 있습니다. 다만 어플리케이션에서는 시스템 프로퍼티 javax.security.auth.useSubjectCredsOnly를 사용해 이 제한을 조정할 수 있습니다. 디폴트에서는 이 시스템 프로퍼티는 true 라고 보여지고 (미설정의 경우에서도), 프로바이더는 현재의 Subject에 들어가 있는 자격 밖에 사용할 수 없습니다. 그러나, 어플리케이션이 이 프로퍼티를 명시적으로 false 로 설정했을 경우, 프로바이더는 임의의 자격 캐쉬를 선택해 사용할 수 있습니다. 예를 들어 디스크 캐쉬 프로그램, 메모리내 캐쉬, 현재의 Subject 자체등에서 선택할 수 있습니다.

관련 문서

Java GSS-API 사용법에 관한 온라인 튜토리얼은, 「JAAS 및 Java GSS-API 튜토리얼의 소개」를 참조하십시오.

도입된 버전 :

1.4