セキュリティサービス

注記: このセクションで説明されるセキュリティAPIは、CORBA CSIv2(Common Secure Interoperability)のサポートで置き換えられました。

Novell exteNd Messaging PlatformのORBは、CORBAsecurity仕様で定義されているとおり、標準的なサポートを装備しています。 さらに、「realms」 と呼ばれるプラグ式保護スペースを使用して、カスタムクライアント認証をサポートしています。追加のセキュリティ機能には、マルチホームホストで特定のネットワークインタフェースのみをリッスンするORBの機能が含まれ、呼び出し側のIPアドレスを使用してアクセス制御を実行するためのサポートも提供されます。


注記:ここに記載されているほとんどのセキュリティ機能には、認証、識別伝達、およびIIOP/SSLが含まれ、POAを使用するオブジェクトに対してのみ有効です。IDLまたはJava RMIのいずれかを使用してオブジェクトインタフェースを作成できます。

認証サポート
セキュリティレルム
レルムは一組のユーザを定義し、認証のためのAPIを備えています。 プリンシパルが自分自身を認証するとき、ORBはユーザから要求された特定のレルムに認証要求を委任します。
認証者
ORBは、指定した地域で自分自身を認定するために、クライアントが使用するローカル性が制約された初期オブジェクト参照である「認証者」を指定します。認証者はHTTP 1.1仕様で定義されたとおり、基本認証スキームだけではなく、ダイジェスト認証スキームもサポートします。認証者は、SecurityCurrentを使用して、スレッドレベルまたはORBレベルで設定できるAuthenticatedPrincipalを返します。
Security Current
SecurityCurrentは、ローカル性が制約された初期オブジェクトで認証識別子を設定/取得するために、クライアントおよびサーバが使用できます。また、偽装もサポートします。
POAセキュリティポリシー
ORBでは、POAで実装されるオブジェクトのグループに対して該当するレルムを設定するために使用できるPOAセキュリティポリシーがあります。レルムが指定されると、POAはクライアントがPOAで実装されたオブジェクトにアクセスする前に、指定されたレルムに対して自身を認証していることを確認します。
  基本セキュリティレルムおよびレルムツール
ORBでは「基本レルム」 と呼ばれる、ユーザを管理し、認証をサポートするセキュリティレルムの実装が行われます。基本レルムのインスタンスを管理するためのツールがあります。
カスタムセキュリティレルムの作成
ORBは、固有のリソースを保護するために内部で使用する基本レルム実装を備えています。 アプリケーションが固有のレルムを作成し、その領域の実装をORBで登録することがサポートされています。
セキュリティ保護されたバンクアプリケーション
このセクションでは、ORBのセキュリティサポートのさまざまな面を示すサンプルプログラムを示します。
  JDK 1.2セキュリティの統合
このセクションは、Java 2の下で実行されるときに強制されるさまざまなORB特有の許可を定義します。これらの許可はorb.shutdownのような敏感なAPIへのアクセスを保護します。

すべての例は、Java Security Managerを有効にしたJava 2の下で実行できます。 セキュリティマネージャを実行するためには、Java 2拡張としてORBがインストールされていることを確認し、security.policyファイルを参照するようにjava.security.managerプロパティを使用して例を実行します。

アクセス制御
ORBはアクセス制御のための直接サポートを装備していません。オブジェクトの実装、またはPOA Servant Managerは、SecurityCurrentオブジェクトを使用して呼び出し側の識別情報を取得できます。その後、該当するアクセス制御を行うことができます。また、呼び出し側のIPアドレスを検索して、IPアドレスに基づいたアクセス制御を行うこともできます。

アクセス制御の単純な例は、「安全なバンクアプリケーション」にあります。ここでは、特定のアカウントにAccountRecordを渡す前に、呼び出し側がプリンシパルbankserver@bankであることがAccountBalancesオブジェクトによって確認されます。

整合性と機密性(IIOP/SSL)
ORBのIIOP/SSL機能には、整合性と機密性が備えられています。

Copyright © 1998-2003, Novell, Inc.All rights reserved.