Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

1.4. JBoss EAP 管理 CLI を使用したクレデンシャルストアの操作

実行中の JBoss EAP サーバーで JBoss EAP クレデンシャルを管理するには、提供されている管理 CLI 操作を使用します。PasswordCredential および SecretKeyCredential は、JBoss EAP 管理 CLI を使用して管理できます。

注記

これらの操作は、変更可能なクレデンシャルストアに対してのみ行うことができます。デフォルトでは、クレデンシャルストアタイプはすべて変更可能です。

1.4.1. スタンドアロンサーバー用の credential-store の作成
リンクのコピー

ファイルシステムの任意のディレクトリーに、スタンドアロンサーバーとして動作する JBoss EAP 用の credential-store を作成します。セキュリティーの理由から、このストアを含むディレクトリーは、一部のユーザーのみがアクセスできるようにする必要があります。

前提条件

  • 最低でも、JBoss EAP が実行されているユーザーアカウントの KeyStoreCredentialStore を含むディレクトリーへの読み取り/書き込みアクセスが割り当てられている。
注記

credential-storesecret-key-credential-store は同じ Elytron 機能 (org.wildfly.security.credential-store) を実装しているため、同じ名前を指定できません。

手順

  • 以下の管理用 CLI コマンドで KeyStoreCredentialStore を作成します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:add(path="<path_to_store_file>", relative-to=<base_path_to_store_file>, credential-reference={clear-text=<store_password>}, create=true)
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:add(path="exampleKeyStoreCredentialStore.jceks", relative-to=jboss.server.data.dir, credential-reference={clear-text=password}, create=true)
{"outcome" => "success"}

1.4.2. マネージドドメインでの credential-store の作成
リンクのコピー

マネージドドメインに credential-store を作成できますが、最初に WildFly Elytron ツールを使用して、KeyStoreCredentialStore を準備する必要があります。1 つのマネージドドメインに複数のホストコントローラーがある場合は、以下のいずれかのオプションを選択します。

  • 各ホストコントローラーに credential-store を作成し、各 credential-store にクレデンシャルを追加します。
  • 1 つのホストコントローラーから他のすべてのホストコントローラーに、入力された credential-store をコピーします。
  • credential-store ファイルをネットワークファイルシステム (NFS) に保存し、作成するすべての credential-store リソースにそのファイルを使用します。

また、WildFly Elytron ツールを使用せずに、ホストコントローラー上でクレデンシャルを含む credential-store ファイルを作成することもできます。

注記

同じプロファイルのすべてのサーバーには、credential-store ファイルが含まれているため、全サーバーに credential-store リソースを定義する必要はありません。credential-store ファイルは、サーバー data ディレクトリー relative-to=jboss.server.data.dir にあります。

重要

credential-storesecret-key-credential-store は同じ Elytron 機能 (org.wildfly.security.credential-store) を実装しているため、同じ名前を指定できません。

次の手順では、NFS を使用してすべてのホストコントローラーに credential-store を提供する方法を説明します。

手順

  1. WildFly Elytron ツールを使用して、credential-store ストレージファイルを作成します。詳細は、WildFly Elytron tool credential-store operations を参照してください。

  2. ストレージファイルを配布します。たとえば、scp コマンドを使用して各ホストコントローラーに割り当てたり、NFS に保存してすべての credential-store リソースに使用したりします。

    注記

    複数のリソースとホストコントローラーが使用し、NFS に保存した credential-store ファイルの一貫性を維持するには、credential-store を読み取り専用モードで使用する必要があります。さらに、credential-store ファイルの絶対パスを必ず指定してください。

    構文

    /profile=<profile_name>/subsystem=elytron/credential-store=<name_of_credential_store>:add(path=<absolute_path_to_store_keystore>,credential-reference={clear-text="<store_password>"},create=false,modifiable=false)
     

    /profile=full-ha/subsystem=elytron/credential-store=exampleCredentialStoreDomain:add(path=/usr/local/etc/example-cred-store.cs,credential-reference={clear-text="password"},create=false,modifiable=false)

  3. オプション: プロファイルに credential-store リソースを定義する必要がある場合は、ストレージファイルを使用してリソースを作成します。

    構文

    /profile=<profile_name>/subsystem=elytron/credential-store=<name_of_credential_store>:add(path=<path_to_store_file>,credential-reference={clear-text="<store_password>"})
     

    /profile=full-ha/subsystem=elytron/credential-store=exampleCredentialStoreHA:add(path=/usr/local/etc/example-cred-store-ha.cs, credential-reference={clear-text="password"})

  4. オプション: ホストコントローラーの credential-store リソースを作成します。

    構文

    /host=<host_controller_name>/subsystem=elytron/credential-store=<name_of_credential_store>:add(path=<path_to_store_file>,credential-reference={clear-text="<store_password>"})
     

    /host=master/subsystem=elytron/credential-store=exampleCredentialStoreHost:add(path=/usr/local/etc/example-cred-store-host.cs, credential-reference={clear-text="password"})

1.4.3. スタンドアロンサーバー用の secret-key-credential-store の作成
リンクのコピー

管理 CLI を使用して secret-key-credential-store を作成します。secret-key-credential-store を作成すると、JBoss EAP はデフォルトでシークレットキーを生成します。生成された鍵の名前は key で、そのサイズは 256 ビットです。

前提条件

  • JBoss EAP が実行されている。
  • 少なくとも、JBoss EAP を実行しているユーザーアカウントの secret-key-credential-store を格納したディレクトリーへの読み取り/書き込みアクセスが割り当てられている。

手順

  • 以下のコマンドで、管理 CLI を使用して secret-key-credential-store を作成します。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_credential_store>:add(path="<path_to_the_credential_store>", relative-to=<path_to_store_file>)
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:add(path=examplePropertiesCredentialStore.cs, relative-to=jboss.server.config.dir)
{"outcome" => "success"}

1.4.4. credential-store への PasswordCredential の追加
リンクのコピー

PasswordCredential としてパスワードを必要とするリソースのプレインテキストパスワードを credential-store に追加し、そのパスワードを設定ファイルで非表示にします。この保存したクレデンシャルを参照して、パスワードを公開することなく、これらのリソースにアクセスできます。

前提条件

手順

  • 新しい PasswordCredential を credential-store に追加します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:add-alias(alias=<alias>, secret-value=<secret-value>)
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:add-alias(alias=passwordCredentialAlias, secret-value=StrongPassword)
{"outcome" => "success"}

検証

  • 次のコマンドを実行して、PasswordCredential が credential-store に追加されたことを確認します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:read-aliases()
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:read-aliases()
{
    "outcome" => "success",
    "result" => ["passwordcredentialalias"]
}

1.4.5. credential-store での SecretKeyCredential の生成
リンクのコピー

credential-store で SecretKeyCredential を生成します。デフォルトでは、Elytron は 256 ビットの鍵を作成します。別のサイズにする場合は、key-size 属性に 128 ビットまたは 192 ビットの鍵を指定します。

前提条件

手順

  • 以下の管理 CLI コマンドを使用して、credential-store に SecretKeyCredential を生成します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:generate-secret-key(alias=<alias>, key-size=<128_or_192>)
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:generate-secret-key(alias=secretKeyCredentialAlias)

検証

  • 以下のコマンドを実行して、Elytron が SecretKeyCredential を credential-store に保存したことを確認します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:read-aliases()
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:read-aliases()
{
    "outcome" => "success",
    "result" => [
        "secretkeycredentialalias"
    ]
}

1.4.6. secret-key-credential-store で SecretKeyCredential の生成
リンクのコピー

secret-key-credential-store で SecretKeyCredential を生成します。デフォルトでは、Elytron は 256 ビットの鍵を作成します。別のサイズにする場合は、key-size 属性に 128 ビットまたは 192 ビットの鍵を指定します。

SecretKeyCredential を生成すると、Elytron は新しいランダムな秘密鍵を生成して SecretKeyCredential として保存します。secret-key-credential-store でエクスポート操作を使用して、クレデンシャルの内容を表示できます。

重要

JBoss EAP は失われた Elytron クレデンシャルを復号化または取得できないため、secret-key-credential-store か SecretKeyCredential、またはその両方のバックアップを必ず作成してください。

secret-key-credential-storeexport 操作を使用して、SecretKeyCredential の値を取得できます。この値をバックアップとして保存できます。

前提条件

手順

  • 以下の管理 CLI コマンドを使用して、secret-key-credential-store に SecretKeyCredential を生成します。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_the_properties_credential_store>:generate-secret-key(alias=<alias>, key-size=<128_or_192>)
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:generate-secret-key(alias=secretKeyCredentialAlias)
{"outcome" => "success"}

検証

  • 以下のコマンドを実行して、Elytron が SecretKeyCredential を作成したことを確認します。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_the_properties_credential_store>:read-aliases()
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:read-aliases()
{
    "outcome" => "success",
    "result" => [
        "secretkeycredentialalias",
        "key"
    ]
}

1.4.7. secret-key-credential-store への SecretKeyCredential のインポート
リンクのコピー

secret-key-credential-store 以外で作成された SecretKeyCredential を Elytron の secret-key-credential-store にインポートできます。たとえば別のクレデンシャルストア (例: credential-store) から SecretKeyCredential をエクスポートした場合、それを secret-key-credential-store にインポートできます。

前提条件

手順

  1. 以下のコマンドを使用すると、管理 CLI でコマンドのキャッシュを無効にできます。

    重要

    キャッシングを無効にしない場合は、管理 CLI の履歴ファイルにアクセスできるユーザーは誰でも、秘密鍵を確認できます。 

    history --disable

  2. 次の管理 CLI コマンドを使用して、秘密鍵をインポートします。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_credential_store>:import-secret-key(alias=<alias>, key="<secret_key>")
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:import-secret-key(alias=imported, key="RUxZAUs+Y1CzEPw0g2AHHOZ+oTKhT9osSabWQtoxR+O+42o11g==")

  3. 以下の管理 CLI コマンドを使用して、コマンドのキャッシングを再度有効にしてください。 

    history --enable

1.4.8. credential-store 内のクレデンシャルリスト
リンクのコピー

credential-store に保存されているすべてのクレデンシャルを表示するには、管理 CLI を使用してリストを表示できます。

手順

  • 以下の管理 CLI コマンドを使用して、credential-store に保存されているクレデンシャルをリスト表示します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:read-aliases()
     

    {
    "outcome" => "success",
    "result" => [
        "passwordcredentialalias",
        "secretkeycredentialalias"
    ]
}

1.4.9. credential-store からの SecretKeyCredential のエクスポート
リンクのコピー

credential-store から既存の SecretKeyCredential をエクスポートして、SecretKeyCredential を使用したり、SecretKeyCredential のバックアップを作成したりできます。

前提条件

手順

  • 以下の管理 CLI コマンドを使用して、credential-store から SecretKeyCredential をエクスポートします。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:export-secret-key(alias=<alias>)
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:export-secret-key(alias=secretKeyCredentialAlias)
{
    "outcome" => "success",
    "result" => {"key" => "RUxZAUui+8JkoDCE6mFyA3cCIbSAZaXq5wgYejj1scYgdDqWiw=="}
}

1.4.10. secret-key-credential-store からの SecretKeyCredential のエクスポート
リンクのコピー

secret-key-credential-store から既存の SecretKeyCredential をエクスポートして、SecretKeyCredential を使用したり、SecretKeyCredential のバックアップを作成したりできます。

前提条件

手順

  • 以下の管理 CLI コマンドを使用して、secret-key-credential-store から SecretKeyCredential をエクスポートします。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_credential_store>:export-secret-key(alias=<alias>)
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:export-secret-key(alias=secretkeycredentialalias)
{
    "outcome" => "success",
    "result" => {"key" => "RUxZAUtxXcYvz0aukZu+odOynIr0ByLhC72iwzlJsi+ZPmONgA=="}
}

1.4.11. credential-store からのクレデンシャルの削除
リンクのコピー

credential-store にすべてのクレデンシャルタイプを保存できますが、クレデンシャルを削除すると、デフォルトで Elytron は PasswordCredential であると想定します。別のクレデンシャルタイプを削除する場合は、entry-type 属性で指定します。

手順

  • 以下の管理 CLI コマンドを使用して、credential-store からクレデンシャルを削除します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:remove-alias(alias=<alias>, entry-type=<credential_type>)

    PasswordCredential の削除例

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:remove-alias(alias=passwordCredentialAlias)
{
    "outcome" => "success",
    "response-headers" => {"warnings" => [{
        "warning" => "Update dependent resources as alias 'passwordCredentialAlias' does not exist anymore",
        "level" => "WARNING",
        "operation" => {
            "address" => [
                ("subsystem" => "elytron"),
                ("credential-store" => "exampleKeyStoreCredentialStore")
            ],
            "operation" => "remove-alias"
        }
    }]}
}

    SecretKeyCredential の削除例

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:remove-alias(alias=secretKeyCredentialAlias, entry-type=SecretKeyCredential)
{
    "outcome" => "success",
    "response-headers" => {"warnings" => [{
        "warning" => "Update dependent resources as alias 'secretKeyCredentialAl
ias' does not exist anymore",
        "level" => "WARNING",
        "operation" => {
            "address" => [
                ("subsystem" => "elytron"),
                ("credential-store" => "exampleKeyStoreCredentialStore")
            ],
            "operation" => "remove-alias"
        }
    }]}
}

検証

  • 次のコマンドを実行して、Elytron がクレデンシャルを削除したことを確認します。

    構文

    /subsystem=elytron/credential-store=<name_of_credential_store>:read-aliases()
     

    /subsystem=elytron/credential-store=exampleKeyStoreCredentialStore:read-aliases()
{
    "outcome" => "success",
    "result" => []
}

    削除したクレデンシャルはリストにありません。

1.4.12. secret-key-credential-store からのクレデンシャルの削除
リンクのコピー

secret-key-credential-store には SecretKeyCredential タイプのみ保存できます。つまり、secret-key-credential-store からクレデンシャルを削除する時に、entry-type を指定する必要はありません。

手順

  • 次のコマンドを使用して、secret-key-credential-store から SecretKeyCredential を削除します。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_credential_store>:remove-alias(alias=<alias>)
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:remove-alias(alias=secretKeyCredentialAlias)
{
    "outcome" => "success",
    "response-headers" => {"warnings" => [{
        "warning" => "Update dependent resources as alias 'secretKeyCredentialAlias' does not exist anymore",
        "level" => "WARNING",
        "operation" => {
            "address" => [
                ("subsystem" => "elytron"),
                ("secret-key-credential-store" => "examplePropertiesCredentialSt
ore")
            ],
            "operation" => "remove-alias"
        }
    }]}
}

検証

  • 次のコマンドを実行して、Elytron がクレデンシャルを削除したことを確認します。

    構文

    /subsystem=elytron/secret-key-credential-store=<name_of_credential_store>:read-aliases()
     

    /subsystem=elytron/secret-key-credential-store=examplePropertiesCredentialStore:read-aliases()
{
    "outcome" => "success",
    "result" => []
}

    削除したクレデンシャルはリストにありません。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る