Tomcatで認証とRealm設定

Tomcatには、ユーザ認証のアカウント管理にいくつかの方法があります。J2EEではレルムという方法で管理できますが、そのなかでTomcatに固有の設定を見てみましょう。

レルムには、ユーザとロール(グループのようなもの)があります。レルムを辞書で引いてみると、領域というような意味があります。

Tomcatの管理方式

メモリーレルム / UserDatabaseレルム
JDBCRealm
JNDIRealm
DataSourceRealm
その他?

メモリーレルム(MemoryRealm)とUserDatabaseレルム

初期設定されているのはメモリーレルム、とその上位互換性のあるUserDatabaseレルムです。UserDatabaseレルムはtomcat-users.xml の更新にも対応した形式で、ファイルは同じものです。

ダイジェスト認証は古いMemoryRealmのみ対応しているらしい。(5.0.27の場合)

JDBCレルムとDataSourceレルム

こちらはデータベースを使って管理する方法です。

JNDIレルム

LDAPなどのJNDIに対応した方式? のようです。DataSourceは、別です。

認証方式

これは、Tomcatに限らず選べます。BASIC認証やFORM認証などがありますが、Tomcat固有ではないのでここでは省略します。

参考

Webアプリケーション

設定 (configuration)

各方式の設定についてみてみます。MemoryRealmだけが管理画面から設定することができました。

conf/server.xml などに設定します。

<Engine>、<Host>、<Context> などの下に<Realm>を定義できます。より小さなところに書かれたRealmが機能します。

<Realm className="" debug="0" resourceName="" /> こんな感じなので、classNameを変えれば独自のTomcat用レルムが用意できそうです。親となる org.apache.catalina.Realm が用意されています。J2EEで共通というわけではないようです。

メモリーレルム

(よくあるので省略)。これはTomcatの管理画面からも設定できます。その他の設定はできないようです。

UserDatabaseレルム

よくわからないが、こんな感じ。メモリーレルムの上位互換?

JDBCレルム、DataSourceレルム

データベースに最低限必要なテーブルは

ユーザ
- ユーザ名
- パスワード
ロール
- ロール名
- ユーザ名(ユーザテーブルのユーザ名と同じ列名)

この2つの関係です。ユーザ名を指定する列名は、双方同じでないといけません。IDなどで関連づけできないですね。

テーブル
ユーザ	アカウント	パスワード
ロール	ロール名
リレー	アカウント	ロール名

ロール名だけのテーブルは必要ありませんが、ロール名を決めておきたければ、こんな感じで作って、ユーザとリレーをレルムに指定してもいいんじゃないでしょうか。

JDBCレルムの場合

DataSourceレルムの場合

バグっぽいもの

Tomcat 5.0.29のAdministration Toolでは、DatsDourceRealmを追加するときに digestに何も指定していなくても、digest=""が追加されてしまいます。そのまま保存すると再読み込みできない状態になるので、動かなくなったときはdigest=""の部分を該当するファイルから削除しましょう。

DataSourceRealm と JdbcDataSource を同じコンテキストの設定ファイルに書き出すと、DataSourceRealmが先、JdbcDataSourceが後になってしまうためか、DataSourceRealmは上位のJdbcDataSourceを参照してしまいます。順番を変えることで同じファイル内のDataSourceを参照してくれるでしょうか。

参考

Tomcat5 サーブレット/JSPコンテナのレルム設定方法