Red Hat Summit3.3. ロールベースのアクセス制御
ロールベースのアクセス制御の基本については、Red Hat JBoss Enterprise Application Platform セキュリティーアーキテクチャーガイド の ロールベースのアクセス制御 と 管理インターフェイスへの RBAC の追加 セクションで説明しています。
3.3.1. ロールベースのアクセス制御の有効化
デフォルトでは、Role-Based Access Control (RBAC) システムが無効になっています。有効にするには、provider 属性を simple から rbac に変更します。provider は、management 要素の access-control 要素の属性です。これは、管理 CLI を使用するか、サーバーがオフラインの場合にはサーバー設定 XML ファイルを編集して実行できます。稼働中のサーバーで RBAC を無効化または有効化した場合、サーバー設定をリロードして変更を反映する必要があります。
一度有効にすると、無効化できるのは Administrator または SuperUser ロールのユーザーのみとなります。デフォルトでは、サーバーと同じマシンで実行される場合、管理 CLI は SuperUser ロールとして実行されます。
管理 CLI で RBAC を有効にするには、アクセス承認リソースの write-attribute 操作で provider 属性を rbac に設定します。
RBAC を有効化する CLI
/core-service=management/access=authorization:write-attribute( \ name=provider, value=rbac)
管理 CLI で RBAC を無効化にするには、アクセス承認リソースの write-attribute 操作で provider 属性を simple に設定します。
RBAC を無効にする CLI
/core-service=management/access=authorization:write-attribute( \ name=provider, value=simple)
サーバーがオフラインの場合、XML 設定を編集して RBAC を有効または無効にすることができます。これを行うには、管理要素の access-control 要素の provider 属性を編集します。この値を rbac に設定して有効にし、simple で無効にします。
XML の例
<management>
<access-control provider="rbac">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>
</management>
