2.2. レガシーコアマネジメント認証を用いたドメインコントローラーのパスワード認証の設定

手順

1. マスタードメインコントローラーにユーザーを追加するには、add-user スクリプトを使用します。

   1. マスターが管理インターフェイスをセキュア化するために使用する同じレルムにユーザーが追加されていることを確認します (デフォルトでは ManagementRealm)。

   2. 次の例のように、スレーブユーザーを追加します。また、Is this new user going to be used for one AS process to connect to another AS process? (この新しいユーザーは、ある AS プロセスが別の AS プロセスに接続するために使用されますか ?) という質問に必ず yes を選択します。

      $ EAP_HOME/bin/add-user.sh
      
      What type of user do you wish to add?
       a) Management User (mgmt-users.properties)
       b) Application User (application-users.properties)
      (a): a
      
      Enter the details of the new user to add.
      Using realm 'ManagementRealm' as discovered from the existing property files.
      Username : slave-user
      Password recommendations are listed below. To modify these restrictions edit the add-user.properties configuration file.
       - The password should be different from the username
       - The password should not be one of the following restricted values {root, admin, administrator}
       - The password should contain at least 8 characters, 1 alphabetic character(s), 1 digit(s), 1 non-alphanumeric symbol(s)
      Password :
      Re-enter Password :
      What groups do you want this user to belong to? (Please enter a comma separated list, or leave blank for none)[  ]:
      About to add user 'slave-user' for realm 'ManagementRealm'
      Is this correct yes/no? yes
      Added user 'slave-user' to file '/home/user/EAP-7.4.0/standalone/configuration/mgmt-users.properties'
      Added user 'slave-user' to file '/home/user/EAP-7.4.0/domain/configuration/mgmt-users.properties'
      Added user 'slave-user' with groups  to file '/home/user/EAP-7.4.0/standalone/configuration/mgmt-groups.properties'
      Added user 'slave-user' with groups  to file '/home/user/EAP-7.4.0/domain/configuration/mgmt-groups.properties'
      Is this new user going to be used for one AS process to connect to another AS process?
      e.g. for a slave host controller connecting to the master or for a Remoting connection for server to server EJB calls.
      yes/no? yes
      To represent the user add the following to the server-identities definition <secret value="ABCzc3dv11Qx" />

      重要

      ユーザーを追加した後、スクリプトは <secret> 要素を出力します。この要素は次のステップで使用する必要があります。

2. クレデンシャルを使用するようにスレーブコントローラーを設定します。マスタードメインコントローラーでユーザーを作成した後に、ホスト設定ファイルでそのクレデンシャルを使用するように各スレーブコントローラーを更新する必要があります。たとえば、host.xml や host-slave.xml などです。

   次の例では、ドメインコントローラーの設定で <remote> 要素にユーザー名を追加しています。さらにこの例では、<remote> 要素のセキュリティー保護に使用するレルムの server-identities に <secret> を追加しています。

   注記

   直前の手順でユーザーをマスタードメインコントローラーに追加する時に、ユーザー名と <secret> の両方が取得されていました。

   ...
   <security-realm name="ManagementRealm">
       <server-identities>
           <!-- Replace this with either a base64 password of your own, or use a vault with a vault expression -->
           <secret value="ABCzc3dv11Qx"/>
       </server-identities>
   ...
   <domain-controller>
     <remote security-realm="ManagementRealm" username="slave-user">
         <discovery-options>
             <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9990}"/>
         </discovery-options>
     </remote>
   </domain-controller>