5.2. 管理インターフェースに HTTPS と RBAC が追加された Red Hat JBoss Enterprise Application Platform
ここでは、管理インターフェースで HTTPS が有効で、RBAC が ManagementRealm
セキュリティーレルムに追加されている場合に JBoss EAP をセキュアにする方法を取り上げます。
![シナリオ2](https://access.redhat.com/webassets/avalon/d/Red_Hat_JBoss_Enterprise_Application_Platform-7.2-Security_Architecture-ja-JP/images/8a0ddd796c40300d298a1779e07392a8/scenario2.png)
5.2.1. Security
JBoss EAP は管理コンソールを含む、管理インターフェースによる HTTPS の使用をサポートします。HTTPS を有効にするには、secure-interface
要素を設定し、secure-port
を管理インターフェースの http-interface
セクションに追加し、希望の設定 (サーバー ID、プロトコル、キーストア、エイリアスなど) で既存または新規セキュリティーレルムを設定します。これにより、管理インターフェースがすべての HTTP トラフィックに SSL/TLS を使用できるようになります。HTTPS と管理インターフェースのセキュア化に関する背景情報は、「高度なセキュリティー」を参照してください。
JBoss EAP では、複数の異なる認証スキームを使用して、管理インターフェースの RBAC を有効にすることもできます。この例では、ManagementRealm
で使用される既存のプロパティーファイルでユーザー名とパスワードを使用します。RBAC を有効にするには、管理インターフェースに対して provider
属性を rbac
に設定し、希望のユーザーとロールで ManagementRealm
を更新します。
5.2.2. 仕組み
この例では、以下のユーザーが既存のセキュリティーレルムに追加されています。
ユーザー名 | パスワード | セキュリティーレルム |
---|---|---|
Suzy | Testing123! | ManagementRealm |
Tim | Testing123! | ManagementRealm |
Emily | Testing123! | ManagementRealm |
Zach | Testing123! | ManagementRealm |
Natalie | Testing123! | ManagementRealm |
グループメンバーシップを基に、ユーザーは以下の RBAC ロールにマップされています。
ユーザー名 | RBAC ロール |
---|---|
Suzy | SuperUser |
Tim | Administrator |
Emily | Maintainer |
Zach | Deployer |
Natalie | Monitor |
起動時、JBoss EAP は ManagementRealm
と RBAC 設定、および管理インターフェースをコアサービスの一部としてロードします。また、管理インターフェースの HTTPS 用に設定された http-interface
も起動されます。ユーザーは HTTPS を介して管理インターフェースにアクセスできるようになり、RBAC も有効化および設定されます。RBAC が有効になっていない場合、ManagementRealm
のユーザーはすべて SuperUser
として考慮され、アクセスが無制限になります。RBAC は有効になっているため、各ユーザーは持っているロールに応じて制限されるようになります。上記の表のとおり、Suzy、Tim、Emily Zach および Natalie は、異なるロールを持っています。たとえば、Suzy と Tim のみがアクセス制御情報の読み取りと編集を行えます。Suzy、Tim、および Emily はランタイム状態とその他の永続設定の情報を編集できます。Zach
もランタイム状態とその他の永続設定の情報を編集できますが、アプリケーションリソース関係のみに限定されます。Suzy、Tim、Emily、Zack、および Natalie は設定および状態情報を読み取りできますが、Natalie は何も更新できません。各ロールの詳細とJBoss EAP による RBAC の処理方法については、「ロールベースのアクセス制御」と「管理インターフェースへの RBAC の追加」を参照してください。