February 19, 2015

OpenAMのPersistent Cookie認証モジュールで遊んでみる

OpenAMにPersistent Cookie認証モジュールというものがある。JWT形式のCookie を使って実現されているということで、JWTという言葉が気になったという理由だけでw 遊んでみた時のメモ。

Persistent Cookie認証を設定してみる

Persistent Cookie認証の機能は、レルムの中の認証モジュールと認証連鎖を設定することで利用できる。ここでは「/ (最上位のレルム)」にPersistent Cookie認証を設定してみることにする。

以降の手順は、先に書いたエントリ OpenAMとWeb Policy Agentを同じApacheインスタンスに同居させる [非公式手順] の手順でセットアップした環境で実行している。

OpenAMのキーストアの設定を行なう

Persistent Cookie認証モジュールが生成するJWTは、公開鍵で暗号化されるようになっている。JWTの暗号化、復号化に使うキーペアをOpenAMのキーストアに設定する。

新しいキーペアを生成する

新しいキーペアを、仮のキーストアに生成する。以下の例では openam-YYYYMMDD という名前 (alias) の1年間有効なキーペアを生成している。

$ keytool -genkeypair -keyalg rsa -keysize 2048 -validity 380 -keystore newkey.jks -dname "CN=openam, DC=www, DC=example, DC=com" -alias openam-20150218
Enter keystore password:
Re-enter new password:
Enter key password for <openam-20150218>
        (RETURN if same as keystore password):

“Enter keystore password” と聞かれるので、16文字程度の安全なパスワードを入力する。”Re-enter new passowrd” にも同じパスワードを入力する。

続いて “Enter key password for <openam-YYYYMMDD>” と聞かれるので、ここは何も入力せずに [ENTER] を押す。

Note

キーペアは、一定の期間ごと (今回の例では1年毎) に更新する必要がある。ここでは、キーペアの名前 (alias) に年月日をつけ、キーペア更新の際にキーペアを正しく選択できるようにしている。

また、キーペアの有効期間を1年と15日に設定することで、更新作業日に 15日の猶予をもたせている。

生成したキーペアの内容を確認しておく。

$ keytool -list -keystore newkey.jks -alias openam-20150218 -rfc | keytool -printcert
Enter keystore password:
Owner: CN=openam, DC=www, DC=example, DC=com
Issuer: CN=openam, DC=www, DC=example, DC=com
Serial number: 51870931
Valid from: Wed Feb 18 21:51:52 JST 2015 until: Fri Mar 04 21:51:52 JST 2016
Certificate fingerprints:
         MD5:  63:C5:EF:0A:D1:C8:50:99:A8:8D:B0:33:7B:F8:DA:6E
         SHA1: BC:AD:AF:4B:33:50:10:7A:E9:05:28:E3:F5:D2:9A:F4:64:B3:AA:2D
         SHA256: 66:4B:8E:E4:B2:48:1A:ED:3F:F9:BA:28:C4:66:5F:FD:B2:95:47:A9:37
:8D:D2:21:3A:DF:CF:37:E8:12:84:B1
         Signature algorithm name: SHA256withRSA
         Version: 3

Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 02 94 81 9A F4 4E EA 5E   BB 5B 77 FF 5E F1 3A 15  .....N.^.[w.^.:.
0010: 25 E4 08 CC                                        %...
]
]

キーペアをOpenAMのキーストアにインポートする

生成したキーペアを、OpenAMが参照しているキーストアにインポートする。

$ sudo keytool -importkeystore -srckeystore newkey.jks -srcalias openam-20150218 -destkeystore /usr/share/tomcat8/openam/openam/keystore.jks
Enter destination keystore password:
Enter source keystore password:

“Enter destination keystore password”と聞かれるので、OpenAMが参照しているキーストアのパスワードを入力する。デフォルトは changeit になっている。

次に “Enter source keystore password” と聞かれるので、先の手順でキーペアを生成したときに入力したパスワードを入力する。

キーペアが正しくインポートされたことを確認しておく。

$ keytool -list -keystore /usr/share/tomcat8/openam/openam/keystore.jks -alias openam-20150218
Enter keystore password:
openam-20150218, Feb 18, 2015, PrivateKeyEntry,
Certificate fingerprint (SHA1): BC:AD:AF:4B:33:50:10:7A:E9:05:28:E3:F5:D2:9A:
F4:64:B3:AA:2D

Caution

この段階では、まだOpenAMが使うキーペアの切り替えが完了していない。そのため、古いキーペアを消してしまわないこと。古いキーペアを消してしまうと、 XUIを使ったOpenAMへのログインができなくなる。

Tomcatを再起動する

キーストアの更新を反映するためにTomcatを再起動する。

$ sudo service tomcat8 restart
$ sudo tail -f /var/log/tomcat8/catalina.out
...
INFO: Server startup in 121156 ms
^C

OpenAMが参照するキーペアを変更する

OpenAMの管理コンソール画面で、 [アクセス制御] → [/ (最上位のレルム)] → [認証] とたどる。

コアの [すべてのコア設定…] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_1.png

セキュリティの [組織認証の証明書のエイリアス] にキーペアの名前 (alias) openam-YYYYMMDD を入力する。

../../../_images/20150219_openam_persistent_cookie_auth_2.png

[保存] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_3.png

Caution

ここで入力する名前に誤り（誤字・脱字など）があると、OpenAMでログインができなくなるため、慎重に作業を行なう。

Persistent Cookie認証モジュールを設定する

OpenAM Administration Guideの 2.3.18. Hints for the Persistent Cookie Module を参考にしながらPersistent Cookie認証モジュールを設定していく。

Persistent Cookie認証のモジュールインスタンスを追加する

OpenAMの管理コンソール画面で、 [アクセス制御] → [/ (最上位のレルム)] → [認証] とたどる。

モジュールインスタンスの [新規] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_4.png

「名前」に PersistentCookie と入力し、「タイプ」で [持続Cookie] を選択して、[了解] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_5.png

Persistent Cookie認証を行なう認証連鎖を定義する

「(最上位のレルム) - 認証」の画面で、認証連鎖の [新規] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_6.png

「名前」に PersistentCookieAuthService と入力し、[了解] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_7.png

[追加] ボタンをクリックして認証モジュールを追加し、以下のような設定にする。

../../../_images/20150219_openam_persistent_cookie_auth_8.png

インスタンス	条件	オプション
PersistentCookie	十分	(空欄)
DataStore	必要	(空欄)

同じ画面の「認証ポストプロセスクラス」に org.forgerock.openam.authentication.modules.persistentcookie.PersistentCookieAuthModule を追加する。

../../../_images/20150219_openam_persistent_cookie_auth_9.png

[保存] をクリックして設定を保存し、[認証へ戻る] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_10.png

認証をPersistent Cookie認証に切り替える

「(最上位のレルム) - 認証」の画面の「組織認証設定」で [PersistentCookieAuthService] を選んで、 [保存] をクリックする。

../../../_images/20150219_openam_persistent_cookie_auth_11.png

動作確認

Persistent Cookie認証の設定ができたので、動作を確認してみる。

動作確認用にセットアップしたサーバは https://www1.example.com/ となるようにしている。テストユーザとして “test0001” を作っている。

ログイン⇒ブラウザ閉じる⇒再アクセス

https://www1.example.com にアクセスする。

../../../_images/20150219_openam_persistent_cookie_auth_20.png

OpenAMの認証画面が表示される。

../../../_images/20150219_openam_persistent_cookie_auth_21.png

ログインすると、コンテンツが表示される。

../../../_images/20150219_openam_persistent_cookie_auth_22.png

ブラウザをいったん閉じて、立ち上げなおす。その後、 https://www1.example.com にアクセスする。

ブラウザがOpenAMの認証画面にリダイレクトされるが・・・

../../../_images/20150219_openam_persistent_cookie_auth_23.png

そのまま再度リダイレクトされ、コンテンツが表示される。

サーバを2台用意して実験してみる

サーバをもう一台、https://www2.example.com/ となるように準備してみる。設定するキーペアは www1 と同じものを設定し、テストユーザも www1 と同じ “test0001” を作っておく。

https://www1.example.com にアクセスする。

OpenAMの認証画面が表示される。

ログインすると、コンテンツが表示される。

ブラウザをいったん閉じて、立ち上げなおす。今度は https://www2.example.com にアクセスする。

../../../_images/20150219_openam_persistent_cookie_auth_25.png

リダイレクトが2回行なわれて、コンテンツが表示される。

../../../_images/20150219_openam_persistent_cookie_auth_26.png

サーバを2台用意して実験してみる(その2)

今度は https://www1.example.com にアクセスした後、ブラウザを閉じずに、そのまま https://www2.example.com にアクセスしてみる。

そうすると、次のようなエラーが表示される。

../../../_images/20150219_openam_persistent_cookie_auth_27.png

細かなロジックは不明であるが、OpenAMが認識していない無効なセッション値を持っているためにエラーとしているものと考えられる。

セッション用のCookie “iPlanetDirectoryPro” を消して再アクセスしなおすと、コンテンツが正しく表示される。

authenticateエンドポイントを直接叩いてみる

Persistent Cookie (session-jwt) がある状態でコンテンツにアクセスすると、いったんOpenAMにリダイレクトされる。このとき OpenAM の XUI の中で、 authenticateエンドポイントにアクセスをして認証処理を行なっている。

直接 authenticate エンドポイントを叩いて反応を見ておこう。

$ curl -D - --data "" --cookie "session-jwt=eyAidH...ZgImw" http://localhost:80
80/openam/json/authenticate
HTTP/1.1 200 OK
Set-Cookie: amlbcookie=01; Domain=.example.com; Path=/
Set-Cookie: session-jwt=eyAidH...p_Zig; Domain=.example.com; Expires=Thu, 19-Fe
b-2015 17:43:22 GMT; Path=/; Secure; HttpOnly
Content-API-Version: protocol=1.0,resource=2.0
Date: Thu, 19 Feb 2015 12:52:16 GMT
Accept-Ranges: bytes
Server: Restlet-Framework/2.1.7
Vary: Accept-Charset, Accept-Encoding, Accept-Language, Accept
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0
Content-Type: application/json;charset=UTF-8
Content-Length: 139

{"tokenId":"AQIC5w...MzE5*","successUrl":"/openam/console"}

“session-jwt” をCookieに設定して、authenticateエンドポイントにPOST リクエストを送ると、Persistent Cookieを使った認証処理が行なわれる。

認証が成功すると、JSONの “tokenId” 属性でセッションIDが返される。この値がセッション用のCookie “iPlanetDirectoryPro” にセットされている値になっている。

そして、認証が成功したときには、新しい “session-jwt” が生成されて Set-Cookieされるようにもなっている。

所感

Persistent Cookie認証を使うと、クラウドサービスによくあるログイン状態を保ってくれるタイプのサイトをOpenAMで構成することができる。

しかしそれだけではなく、2台のサーバ間で同一のPersistent Cookie (session-jwt) を使って、同じように認証を振舞わせることができる点が興味深い。

JWT… いろんな想像を掻き立てさせる。(つづく)

投稿者 @paoneJP

タグ: openam, jwt, debian

実験メモとかいろいろ

python, xperia, debian, oidc 辺りを中心に