Red Hat Summit第5章 管理インターフェースのセキュア化
一般的な開発シナリオでは、セキュア化されていない JBoss EAP 6 を管理インターフェースで実行し、迅速に設定を変更できるようにします。
実稼働に向けた開発段階では、少なくとも以下の方法で管理インターフェースをセキュアにします。
また、デフォルトのサイレントローカル認証モードを使用すると、ローカルクライアント(サーバーマシン上)はユーザー名やパスワードなしに管理 CLI に接続できます。これは、ローカルユーザーと管理 CLI スクリプトで便利です。これを無効にするには、「デフォルトセキュリティーレルムからのサイレント認証の削除」 を参照してください。
5.1. デフォルトのユーザーセキュリティー設定
はじめに
JBoss EAP 6 のすべての管理インターフェースはデフォルトで保護されます。このセキュリティーには、2 つの形式があります。
- ローカルインターフェースは、ローカルクライアントとサーバーとの間の SASL コントラクトによって保護されます。このセキュリティーメカニズムは、ローカルファイルシステムにアクセスできるクライアントの機能を基にしています。これは、ローカルファイルシステムへのアクセスにより、クライアントがユーザーを追加できるか、その他のセキュリティーメカニズムに設定を変更できるためです。これは、ファイルシステムへの物理アクセスが達成されると、他のセキュリティーメカニズムが一杯になるという原則に従います。このメカニズムは 4 つの手順で行われます。注記HTTP を使用してローカルホストへ接続する場合でも、HTTP のアクセスはリモートと見なされます。
- ローカル SASL メカニズムを用いて認証する要求が含まれるメッセージをクライアントがサーバーに送信します。
- サーバーは 1 度限りのトークンを生成して、固有のファイルに書き込み、そのファイルのフルパスが含まれるメッセージをクライアントに送信します。
- クライアントはファイルよりトークンを読み取り、サーバーへ送信し、ファイルシステムへローカルアクセスできるかを検証します。
- サーバーはトークンを検証し、ファイルを削除します。
- ローカル HTTP クライアントを含むリモートクライアントはレルムベースのセキュリティーを使用します。管理インターフェースを使用して JBoss EAP 6 インスタンスをリモートで設定するパーミッションがあるデフォルトのレルムは
ManagementRealmです。このレルム(または作成するレルム)にユーザーを追加できるスクリプトが提供されます。ユーザーの追加に関する詳細は、『JBoss EAP 6『管理および設定ガイド』の「ユーザー管理』 」の章を参照してください。『』ユーザーごとに、ユーザー名とハッシュ化されたパスワードはファイルに保存されます。- 管理対象ドメイン
EAP_HOME/domain/configuration/mgmt-users.properties- スタンドアロンサーバー
EAP_HOME/standalone/configuration/mgmt-users.properties
mgmt-users.propertiesの内容がマスクされますが、このファイルは機密ファイルとして扱う必要があります。ファイル所有者による読み取りおよび書き込みアクセス以外のアクセス権限を付与する600のファイルモードに設定することが推奨されます。
