KerberosとJAASを使用したセキュアなJava EE Webサービス

Question

Found this article on JavaベースのSSOシステムで、セキュリティ保護されたWebサービスに適用できるかどうかは疑問でした。セキュアなWebサービスと

、次のものが必要です。

1. 安全な輸送
3. 暗号化されたペイロード

通常、これは、いくつかのOASIS-で実現することができる認証

デジタルサイネージ（CXF、WSS4J、XWSSなど）をSSLを介して転送するために使用されます。

私はKerberos、JAAS、GSSに慣れていませんが、クライアントと複数のJava EEアプリケーション間の安全な接続を維持するために使用できるのであれば、なぜ使用できないのでしょうか？ WSSを提供するためにこれらのフレームワークの1つ（WSS4Jのような）に接する。

SSLの代わりにKerberosを使用して、WSS4JにすべてのWS固有のものを処理させることができます。

このようにして、SSOとWebサービスのトランスポート層セキュリティの両方で使用できる再利用可能なKerberosコンポーネントを作成できました。

私はここで私のロッカーを完全にオフにしていますか？

Answer 1

Eugie、 上記の要件は一般的なものです。しかし、詳細は大きく異なります。 したがって、単一のアプローチまたは解決策で結論するのは現実的ではありません。

要件をさらに細分化して別々に分析する必要があります。

例：SSOには、広く2つの要求があります。a）認証b）認可。 それぞれのソリューションの両方に複数のソリューションを使用することもできます。正式なシステムは、フォームベース、証明書ベース、トークンベース、リモート認証などの複数の認証を同時に使用することができます。

承認の場合、私たちはLDAP/ActiveDirectory/Domino を使用して仲介ソリューションを提供することも、上記のすべてを調整して分散することもできます。

これらのソリューションのそれぞれの限界があるが、例えばのために、Kerberosは、セキュリティソリューションの選択はprrformaceなど、コスト、 persived脅威のような多くのパラメータに依存

パスワード推測攻撃に対して有効ではない..です

WS-Securityプロジェクトは、このような多くのアーキテクチャ上の問題に対処しようとしています。 あなたの質問に答えてください - いいえ、SSOとトランスポート層暗号化の両方にケルベロスを使用できません。 --Kiran.Kumar