Realm(レルム)について

Tomcat のユーザーの認証方式 Realm の説明です。

Realm(レルム)

Tomcat では Realm という標準的なユーザー認証機能が用意されています。
Realmについて、詳しくは Realmとは？ (英語)を参照してください。
要約しますと、

「Realm」はWEBアプリケーションのユーザーとパスワードのデータベースです。

一つ補足として、WEBアプリケーション内で「誰が」「何が出来るか」は、個々のユーザーで判断するのではなく、
特定の役割(ロール) をユーザーに与えて行うべき、という考え方が含まれています。

Tomcat では、Servlet仕様に基づき、6つの標準プラグインが用意されています。

• JDBCRealm  - リレーショナルデータベースに格納された認証情報にアクセスし、
  JDBCドライバを介してアクセスします。
  
  
• DataSourceRealm  - 名前付きJNDI JDBC DataSource経由でアクセスされるリレーショナルデータベースに
  格納された認証情報にアクセスします。
  
  
• JNDIRealm  -  JNDIプロバイダを介してアクセスする、LDAPベースのディレクトリサーバーに
  格納されている認証情報にアクセスします。
  
  
• UserDatabaseRealm  -  UserDatabase JNDIリソースに格納されている認証情報にアクセスします。
  通常、XMLドキュメント（conf / tomcat-users.xml）に記述します。
  
  
• MemoryRealm  -  XMLドキュメント（conf / tomcat-users.xml）から初期化されたメモリ内
  オブジェクトコレクションに格納された認証情報にアクセスします。
  
  
• JAASRealm  -  JAAS（Java Authentication＆Authorization Service）フレームワークを
  介して認証情報にアクセスします。

良く使うのは、UserDatabaseRealm で、manager アプリケーションでも使われています。
/conf ディレクトリ配下のファイルで管理するのでとても簡単です。
ユーザーの追加等で設定を変えると、tomcat を再起動させる必要があるのが不便なところです。

会社で、LDAP や Windows の ActiveDirectory(AD) で管理している場合は、
JNDIRealm の使用をお勧めします。(AD の)LDAP を参照することで、パスワードを個別に管理する必要がありません。
ロールもADで管理することも出来ます。(あまりお勧めしません)

インターネットで公開する場合は、JDBCRealm あたりが良く使われると思います。
DataSourceRealm は JDBCRealm と実質的に変わりません。
認証で使うDBとアプリケーションで使うＤＢが同じであれば、後者を使ったほうが良いでしょう。

« 前頁

次頁 »