3.2.2. レガシーのコア管理認証を使用した Kerberos での管理インターフェイスのセキュア化
レガシーのコア管理認証を使用して管理インターフェイスでの Kerberos 認証を有効にするには、以下の手順を実行する必要があります。
ここで使用する管理 CLI コマンドは、JBoss EAP スタンドアロンサーバーを実行していることを仮定しています。JBoss EAP 管理対象ドメインの管理 CLI を使用する場合の詳細は 管理 CLI ガイド を参照してください。
関連するシステムプロパティーを有効にします。
前の項 で説明したとおり、Kerberos サーバーへの接続に必要な JBoss EAP システムプロパティーを有効にします。
Kerberos サーバーアイデンティティーをセキュリティーレルムに追加します。
Kerberos 認証をセキュリティーレルムで使用できるようにするには、Kerberos サーバーへの接続を追加する必要があります。以下の例は、Kerberos サーバーアイデンティティーを既存の管理レルムに追加する方法を表しています。
service-name、hostname、およびMY-REALMは適切な値に置き換える必要があります。サーバーアイデンティティーをセキュリティーレルムに追加する CLI の例
/core-service=management/security-realm=ManagementRealm/server-identity=kerberos:add() /core-service=management/security-realm=ManagementRealm/server-identity=kerberos/keytab=service-name\/hostname@MY-REALM:add(path=/home\/username\/service.keytab, debug=true) reload
重要管理インターフェイスに Kerberos 認証を設定するとき、JBoss EAP が KDC に対して認証行うために設定したサービスプリンシパルに注意することが大変重要になります。このサービスプリンシパルは
service-name/hostnameの形式を取ります。JBoss EAP は、web ベースの管理コンソールに対して認証を行うときはHTTP/localhostのようにHTTPがサービス名になることを想定し、管理 CLI の場合はremote/localhostのようにremoteがサービス名になること想定します。セキュリティーレルムで認証方法を更新します。
Kerberos サーバーアイデンティティーが適切に設定された後、使用するためにはセキュリティーレルム認証メソッドを更新する必要があります。
例: Kerberos 認証のセキュリティーレルムへの追加
/core-service=management/security-realm=ManagementRealm/authentication=kerberos:add() reload
重要管理インターフェイスにアクセスするとき、JBoss EAP はセキュリティーレルムで定義された認証メカニズムの順番を基に、その順番でユーザーを認証しようとします。
両方のインターフェイスを Kerberos でセキュアにします。
web ベースの管理コンソールと管理 CLI の両方をセキュアする場合、 Kerberos サーバーアイデンティティーを両方に設定する必要があります。アイデンティティーを追加するには、以下のコマンドを使用します。
/core-service=management/security-realm=ManagementRealm/server-identity=kerberos/keytab=remote\/hostname@MY-REALM:add(path=/home\/username\/remote.keytab, debug=true) reload
