서버 보안 구성 방법

1. 키 저장소를 생성하여 관리 인터페이스를 보호합니다.

   참고

   관리 인터페이스가 JCEKS 형식의 키 저장소와 호환되지 않으므로 이 키 저장소는 JKS 형식이어야 합니다.

   다음을 사용하여 매개 변수의 예제 값(예: 별칭,keypass,keystore,storepass 및 dname )을 해당 환경에 대한 올바른 값으로 교체하여 키 저장소를 생성합니다.

   참고

   매개변수 validity 는 키가 유효한 일 수를 지정합니다. 730 의 값은 2년입니다.

   keytool 명령을 사용하여 터미널에서 키 저장소를 생성

   $ keytool -genkeypair -alias appserver -storetype jks -keyalg RSA -keysize 2048 -keypass password1 -keystore EAP_HOME/standalone/configuration/identity.jks -storepass password1 -dname "CN=appserver,OU=Sales,O=Systems Inc,L=Raleigh,ST=NC,C=US" -validity 730 -v

   Copy to Clipboard Toggle word wrap

2. 관리 인터페이스가 HTTPS에 바인딩되는지 확인합니다.

   1. 독립 실행형 서버 실행.

      관리 인터페이스가 HTTPS에 바인딩되도록 하려면 management-https 구성을 추가하고 management-http 구성을 제거해야 합니다.

      다음 CLI 명령을 사용하여 관리 인터페이스를 HTTPS에 바인딩합니다.

      /core-service=management/management-interface=http-interface:write-attribute(name=secure-socket-binding, value=management-https)
      
      /core-service=management/management-interface=http-interface:undefine-attribute(name=socket-binding)

      Copy to Clipboard Toggle word wrap

   2. 관리형 도메인 실행

      secure-port 를 추가하고 포트 구성을 제거하여 management-interface 섹션 내에서 socket 요소를 변경합니다.

      다음 명령을 사용하여 관리 인터페이스를 HTTPS에 바인딩합니다.

      /host=master/core-service=management/management-interface=http-interface:write-attribute(name=secure-port,value=9993)
      
      /host=master/core-service=management/management-interface=http-interface:undefine-attribute(name=port)

      Copy to Clipboard Toggle word wrap

3. 선택 사항: 사용자 지정 socket-binding-group을 사용합니다. 사용자 지정 socket-binding-group 을 사용하려면 기본적으로 포트 9993 에 바인딩되는 management-https 바인딩이 정의되어 있는지 확인해야 합니다. 서버 구성 파일의 socket-binding-group 섹션을 검토하거나 관리 CLI를 사용하여 이를 확인할 수 있습니다.

   관리 CLI를 사용하여 socket-binding-group 구성의 예

   /socket-binding-group=standard-sockets/socket-binding=management-https:read-resource(recursive=true)
   
   {
       "outcome" => "success",
       "result" => {
           "client-mappings" => undefined,
           "fixed-port" => false,
           "interface" => "management",
           "multicast-address" => undefined,
           "multicast-port" => undefined,
           "name" => "management-https",
           "port" => expression "${jboss.management.https.port:9993}"
       }
   }

   Copy to Clipboard Toggle word wrap

4. 새 보안 영역을 만듭니다. 이 예에서 HTTPS를 사용하는 새 보안 영역인 ManagementRealmHTTPS는 사용자 이름과 암호를 저장하기 위해 EAP_HOME/standalone/configuration/ 디렉터리에 있는 https-mgmt-users.properties 라는 속성 파일을 사용합니다. 나중에 사용자 이름과 암호를 파일에 추가할 수 있지만 지금은 https-mgmt-users.properties 라는 빈 파일을 생성하여 해당 위치에 저장해야 합니다. 다음 예제에서는 touch 명령을 사용하는 방법을 보여 주지만 텍스트 편집기와 같은 다른 메커니즘을 사용할 수도 있습니다.

   touch 명령을 사용하여 빈 파일 생성 예

   $ touch EAP_HOME/standalone/configuration/https-mgmt-users.properties

   Copy to Clipboard Toggle word wrap

   다음으로 다음 CLI 명령을 입력하여 ManagementRealmHTTPS라는 새 보안 영역을 생성합니다.

   /core-service=management/security-realm=ManagementRealmHTTPS:add
   
   /core-service=management/security-realm=ManagementRealmHTTPS/authentication=properties:add(path=https-mgmt-users.properties,relative-to=jboss.server.config.dir)

   Copy to Clipboard Toggle word wrap

   이 시점에서 새 보안 영역을 생성하고 인증에 속성 파일을 사용하도록 구성했습니다. 이제 EAP_HOME/bin/ 디렉터리에서 사용할 수 있는 add-user 스크립트를 사용하여 해당 속성 파일에 사용자를 추가해야 합니다. add-user 스크립트를 실행할 때 각각 -up 및 -r 옵션을 사용하여 properties 파일과 보안 영역을 모두 지정해야 합니다. 여기에서 add-user 스크립트는 https-mgmt-users.properties 파일에 저장할 사용자 이름 및 암호 정보를 대화식으로 요청합니다.

   $ EAP_HOME/bin/add-user.sh -up EAP_HOME/standalone/configuration/https-mgmt-users.properties -r ManagementRealmHTTPS
   ...
   Enter the details of the new user to add.
   Using realm 'ManagementRealmHTTPS' as specified on the command line.
   ...
   Username : httpUser
   Password requirements are listed below. To modify these restrictions edit the add-user.properties configuration file.
    - The password must not be one of the following restricted values {root, admin, administrator}
    - The password must contain at least 8 characters, 1 alphabetic character(s), 1 digit(s), 1 non-alphanumeric symbol(s)
    - The password must be different from the username
   ...
   Password :
   Re-enter Password :
   About to add user 'httpUser' for realm 'ManagementRealmHTTPS'
   ...
   Is this correct yes/no? yes
   ..
   Added user 'httpUser' to file 'EAP_HOME/configuration/https-mgmt-users.properties'
   ...
   Is this new user going to be used for one AS process to connect to another AS process?
   e.g. for a slave host controller connecting to the master or for a Remoting connection for server to server EJB calls.
   yes/no? no

   Copy to Clipboard Toggle word wrap
   중요

   속성 파일을 사용하여 사용자 이름과 암호를 저장하는 보안 영역을 구성할 때 각 영역에서 다른 영역과 공유되지 않는 고유한 속성 파일을 사용하는 것이 좋습니다.

5. 새 보안 영역을 사용하도록 관리 인터페이스를 구성합니다.

   /core-service=management/management-interface=http-interface:write-attribute(name=security-realm,value=ManagementRealmHTTPS)

   Copy to Clipboard Toggle word wrap

6. 키 저장소를 사용하도록 관리 인터페이스를 구성합니다.

   다음 CLI 명령을 사용하여 키 저장소를 사용하도록 관리 인터페이스를 구성합니다. 매개 변수 파일의 경우 암호 및 별칭 값을 첫 번째 단계에서 복사해야 합니다.

   보안 저장소에 키 저장소를 추가하는 CLI 명령

   /core-service=management/security-realm=ManagementRealmHTTPS/server-identity=ssl:add(keystore-path=identity.jks,keystore-relative-to=jboss.server.config.dir,keystore-password=password1, alias=appserver)

   Copy to Clipboard Toggle word wrap

   참고

   키 저장소 암호를 업데이트하려면 다음 CLI 명령을 사용합니다.

   /core-service=management/security-realm=ManagementRealmHTTPS/server-identity=ssl:write-attribute(name=keystore-password,value=newpassword)

   Copy to Clipboard Toggle word wrap

   이 시점에서 서버의 구성을 다시 로드해야 합니다.

   reload

   Copy to Clipboard Toggle word wrap

   서버 구성을 다시 로드한 후 로그에 시작되는 서비스 수를 나타내는 텍스트 바로 앞에 다음이 포함되어야 합니다.

   13:50:54,160 INFO  [org.jboss.as] (Controller Boot Thread) WFLYSRV0061: Http management interface listening on https://127.0.0.1:9993/management
   13:50:54,162 INFO  [org.jboss.as] (Controller Boot Thread) WFLYSRV0052: Admin console listening on https://127.0.0.1:9993

   Copy to Clipboard Toggle word wrap

   관리 인터페이스는 이제 프로시저가 성공했는지 확인하는 포트 9993 에서 수신 대기 중입니다.

   중요

   이 시점에서 CLI의 연결이 끊어지고 포트 바인딩이 변경되었으므로 다시 연결할 수 없습니다. CLI를 다시 연결할 수 있도록 jboss-cli.xml 을 업데이트하려면 다음 단계로 이동합니다.

7. jboss-cli.xml 을 업데이트합니다.

   관리 CLI를 사용하여 관리 작업을 수행하는 경우 EAP_HOME/bin/jboss-cli.xml 파일을 다음과 같이 변경해야 합니다.

   • < default-protocol >의 값을 https-remoting 으로 업데이트합니다.
   • &lt ;default-controller >에서 < protocol >의 값을 https-remoting 으로 업데이트합니다.

   • &lt ;default-controller >에서 < port >의 값을 9993 로 업데이트합니다.

     jboss-cli.xml 예

     <jboss-cli xmlns="urn:jboss:cli:2.0">
         <default-protocol use-legacy-override="true">https-remoting</default-protocol>
         <!-- The default controller to connect to when 'connect' command is executed w/o arguments -->
         <default-controller>
             <protocol>https-remoting</protocol>
             <host>localhost</host>
             <port>9993</port>
         </default-controller>
     ...

     Copy to Clipboard Toggle word wrap

     다음에 관리 CLI를 사용하여 관리 인터페이스에 연결할 때 서버 인증서를 수락하고 ManagementRealmHTTPS 보안 영역에 대해 인증해야 합니다.

     서버 인증서 수락 및 인증 예

     $ ./jboss-cli.sh -c
     Unable to connect due to unrecognised server certificate
     Subject    - CN=appserver,OU=Sales,O=Systems Inc,L=Raleigh,ST=NC,C=US
     Issuer     - CN=appserver, OU=Sales, O=Systems Inc, L=Raleigh, ST=NC, C=US
     Valid From - Tue Jun 28 13:38:48 CDT 2016
     Valid To   - Thu Jun 28 13:38:48 CDT 2018
     MD5 : 76:f4:81:8b:7e:c3:be:6d:ee:63:c1:7a:b7:b8:f0:fb
     SHA1 : ea:e3:f1:eb:53:90:69:d0:c9:69:4a:5a:a3:20:8f:76:c1:e6:66:b6
     
     Accept certificate? [N]o, [T]emporarily, [P]ermenantly : p
     Authenticating against security realm: ManagementRealmHTTPS
     Username: httpUser
     Password:
     [standalone@localhost:9993 /]

     Copy to Clipboard Toggle word wrap

1. 키 저장소를 생성합니다.

   $ keytool -genkeypair -alias HOST1_alias -keyalg RSA -keysize 1024 -validity 365 -keystore HOST1.keystore.jks -dname "CA_HOST1" -keypass secret -storepass secret
   
   $ keytool -genkeypair -alias HOST2_alias -keyalg RSA -keysize 1024 -validity 365 -keystore HOST2.keystore.jks -dname "CA_HOST2" -keypass secret -storepass secret

   Copy to Clipboard Toggle word wrap

2. 인증서를 내보냅니다.

   $ keytool -exportcert  -keystore HOST1.keystore.jks -alias HOST1_alias -keypass secret -storepass secret -file HOST1.cer
   
   $ keytool -exportcert  -keystore HOST2.keystore.jks -alias HOST2_alias -keypass secret -storepass secret -file HOST2.cer

   Copy to Clipboard Toggle word wrap

3. 인증서를 반대 신뢰 저장소로 가져옵니다.

   $ keytool -importcert -keystore HOST1.truststore.jks -storepass secret -alias HOST2_alias -trustcacerts -file HOST2.cer
   
   $ keytool -importcert -keystore HOST2.truststore.jks -storepass secret -alias HOST1_alias -trustcacerts -file HOST1.cer

   Copy to Clipboard Toggle word wrap

4. CertificateRealm을 정의합니다.

   서버의 구성(host.xml 또는 standalone.xml)에 CertificateRealm을 정의하고 인터페이스를 가리킵니다. 이 작업은 다음 명령을 사용하여 수행할 수 있습니다.

   /core-service=management/security-realm=CertificateRealm:add()
   
   /core-service=management/security-realm=CertificateRealm/server-identity=ssl:add(keystore-path=/path/to/HOST1.keystore.jks, keystore-password=secret,alias=HOST1_alias)
   
   /core-service=management/security-realm=CertificateRealm/authentication=truststore:add(keystore-path=/path/to/HOST1.truststore.jks,keystore-password=secret)

   Copy to Clipboard Toggle word wrap

5. http-interface 의 security-realm 을 새 CertificateRealm으로 변경합니다.

   /core-service=management/management-interface=http-interface:write-attribute(name=security-realm,value=CertificateRealm)

   Copy to Clipboard Toggle word wrap

6. CLI에 대한 SSL/TLS 구성을 추가합니다.

   중요

   양방향 SSL/TLS를 추가하는 것 외에도 관리 인터페이스도 HTTPS에 바인딩하도록 구성해야 합니다.

   EAP_HOME/bin/jboss-cli.xml 을 설정 파일로 사용하는 CLI의 SSL/TLS 구성을 추가합니다.

   키 저장소 및 신뢰 저장소 암호를 일반 텍스트에 저장하려면 EAP_HOME/bin/jboss-cli.xml 을 편집하고 변수에 적절한 값을 사용하여 SSL/TLS 구성을 추가합니다.

   jboss-cli.xml XML 예

   <ssl>
     <alias>HOST2_alias</alias>
     <key-store>/path/to/HOST2.keystore.jks</key-store>
     <key-store-password>secret</key-store-password>
     <trust-store>/path/to/HOST2.truststore.jks</trust-store>
     <trust-store-password>secret</trust-store-password>
     <modify-trust-store>true</modify-trust-store>
   </ssl>

   Copy to Clipboard Toggle word wrap

   암호 자격 증명 모음에 저장된 키 저장소 및 신뢰 저장소 암호를 사용하려면 자격 증명 모음 구성과 적절한 vault 값을 EAP_HOME/bin/jboss-cli.xml 에 추가해야 합니다.

   jboss-cli.xml XML 예

   <ssl>
     <vault>
       <vault-option name="KEYSTORE_URL" value="path-to/vault/vault.keystore"/>
       <vault-option name="KEYSTORE_PASSWORD" value="MASK-5WNXs8oEbrs"/>
       <vault-option name="KEYSTORE_ALIAS" value="vault"/>
       <vault-option name="SALT" value="12345678"/>
       <vault-option name="ITERATION_COUNT" value="50"/>
       <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/>
     </vault>
     <alias>HOST2_alias</alias>
     <key-store>/path/to/HOST2.keystore.jks</key-store>
     <key-store-password>VAULT::VB::cli_pass::1</key-store-password>
     <key-password>VAULT::VB::cli_pass::1</key-password>
     <trust-store>/path/to/HOST2.truststore.jks</trust-store>
     <trust-store-password>VAULT::VB::cli_pass::1</trust-store-password>
     <modify-trust-store>true</modify-trust-store>
   </ssl>

   Copy to Clipboard Toggle word wrap

1. 먼저 HTTPS 보안 영역을 추가하고 구성합니다. HTTPS 보안 영역이 구성되면 보안 영역을 참조하는 undertow 하위 시스템에서 https-listener 를 구성합니다.

   batch
   
   /core-service=management/security-realm=HTTPSRealm/:add
   
   /core-service=management/security-realm=HTTPSRealm/server-identity= \
   ssl:add(keystore-path=identity.jks, \
   keystore-relative-to=jboss.server.config.dir, \
   keystore-password=password1, alias=appserver)
   
   /subsystem=undertow/server=default-server/https-listener=https:add( \
   socket-binding=https, security-realm=HTTPSRealm)
   
   run-batch

   Copy to Clipboard Toggle word wrap
   주의

   Red Hat은 영향을 받는 모든 패키지에서 TLSv1.1 또는 TLSv1.2를 사용하도록 SSLv2, SSLv3 및 TLSv1.0을 명시적으로 비활성화할 것을 권장합니다.

2. 변경 사항을 적용하려면 서버를 다시 로드합니다.

   reload

   Copy to Clipboard Toggle word wrap

1. 클라이언트와 서버 둘 다에 대한 저장소를 생성
2. 클라이언트와 서버 모두에 대한 인증서 내보내기
3. 인증서를 반대 신뢰 저장소로 가져옵니다.
4. 서버의 키 저장소 및 신뢰 저장소를 사용하는 서버에서 보안 영역(예: CertificateRealm )을 정의합니다.
5. 보안 영역을 사용하도록 undertow 하위 시스템을 업데이트하면 클라이언트 확인이 필요합니다.

1. 마스터 도메인 컨트롤러에서 SSL/TLS 보안 영역을 생성합니다.

   NSS 데이터베이스를 PKCS11 공급자로 사용하도록 구성된 마스터 도메인 컨트롤러에서 SSL/TLS 보안 영역을 생성해야 합니다.

   보안의 예

   <security-realm name="HTTPSRealm">
       <server-identities>
           <ssl>
               <engine enabled-protocols="TLSv1.1"/>
               <keystore provider="PKCS11" keystore-password="strongP@ssword1"/>
           </ssl>
       </server-identities>
       <authentication>
           <local default-user="\$local"/>
           <properties path="https-users.properties" relative-to="jboss.domain.config.dir"/>
       </authentication>
   </security-realm>

   Copy to Clipboard Toggle word wrap

2. 각 호스트 컨트롤러에 SSL/TLS 보안 영역을 생성합니다.

   인증을 위해 SSL/TLS 신뢰 저장소를 사용하여 보안 영역을 생성해야 합니다.

   보안의 예

   <security-realm name="HTTPSRealm">
     <authentication>
       <truststore provider="PKCS11" keystore-password="strongP@ssword1"/>
     </authentication>
   </security-realm>

   Copy to Clipboard Toggle word wrap

   참고

   각 호스트에서 이 프로세스를 반복해야 합니다.

3. 마스터 도메인 컨트롤러에서 네이티브 인터페이스를 보호합니다.

   방금 생성한 보안 영역으로 마스터 도메인 컨트롤러의 기본 인터페이스가 보호되도록 해야 합니다.

   네이티브 인터페이스의 예

   <management-interfaces>
     ...
     <native-interface security-realm="HTTPSRealm">
       <socket interface="management" port="${jboss.management.native.port:9999}"/>
      </native-interface>
   </management-interfaces>

   Copy to Clipboard Toggle word wrap

4. 각 호스트 컨트롤러에서 SSL/TLS 영역을 사용하여 마스터 도메인 컨트롤러에 연결합니다.

   마스터 도메인 컨트롤러 연결에 사용되는 보안 영역을 업데이트해야 합니다. 이 변경 사항은 서버가 실행되지 않는 동안 호스트 컨트롤러의 구성 파일(예: host.xml 또는 host-slave.xml )에서 직접 수행해야 합니다.

   호스트 컨트롤러 구성 파일의 예

   <domain-controller>
     <remote security-realm="HTTPSRealm">
       <discovery-options>
         <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9999}"/>
       </discovery-options>
     </remote>
   </domain-controller>

   Copy to Clipboard Toggle word wrap

5. 각 서버가 호스트 컨트롤러에 다시 연결하는 방법을 업데이트합니다.

   또한 각 서버가 호스트 컨트롤러에 다시 연결하는 방법을 업데이트해야 합니다.

   서버 설정 예

   <server name="my-server" group="my-server-group">
     <ssl ssl-protocol="TLS" trust-manager-algorithm="SunX509" truststore-type="PKCS11" truststore-password="strongP@ssword1"/>
   </server>

   Copy to Clipboard Toggle word wrap

6. 관리형 도메인에서 양방향 SSL/TLS를 구성합니다.

   양방향 SSL/TLS를 활성화하려면 마스터 도메인 컨트롤러의 SSL/TLS 보안 영역에 신뢰 저장소 인증 방법을 추가하려면 다음 관리 CLI 명령을 실행합니다.

   /host=master/core-service=management/security-realm=HTTPSRealm/authentication=truststore:add(keystore-provider="PKCS11",keystore-password="strongP@ssword1")
   
   reload --host=master

   Copy to Clipboard Toggle word wrap

   또한 각 호스트 컨트롤러의 보안 영역을 SSL 서버 ID를 갖도록 업데이트해야 하며 다음 관리 CLI 명령을 실행합니다.

   /host=host1/core-service=management/security-realm=HTTPSRealm/server-identity=ssl:add(keystore-provider=PKCS11, keystore-password="strongP@ssword1",enabled-protocols=["TLSv1.1"])
   
   reload --host=host1

   Copy to Clipboard Toggle word wrap
   중요

   또한 각 호스트의 인증서를 도메인 컨트롤러의 신뢰 저장소로 가져와야 합니다.

1. 보안 도메인을 생성합니다.

   이 예에서는 UserRoles 로그인 모듈을 사용하여 보안 도메인이 생성되지만 다른 로그인 모듈도 사용할 수 있습니다.

   /subsystem=security/security-domain=UsersLMDomain:add(cache-type=default)
   
   /subsystem=security/security-domain=UsersLMDomain/authentication=classic:add
   
   /subsystem=security/security-domain=UsersLMDomain/authentication=classic/login-module=UsersRoles:add(code=UsersRoles, flag=required,module-options=[("usersProperties"=>"users.properties"),("rolesProperties"=>"roles.properties")])

   Copy to Clipboard Toggle word wrap

2. JAAS 인증을 사용하여 보안 영역을 만듭니다.

   /core-service=management/security-realm=SecurityDomainAuthnRealm:add
   
   /core-service=management/security-realm=SecurityDomainAuthnRealm/authentication=jaas:add(name=UsersLMDomain)

   Copy to Clipboard Toggle word wrap

3. 새 보안 영역을 사용하도록 http-interface 관리 인터페이스를 업데이트합니다.

   /core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=SecurityDomainAuthnRealm)

   Copy to Clipboard Toggle word wrap

4. 선택 사항: 그룹 멤버십을 할당합니다.

   특성 assign-groups 는 보안 영역의 그룹 할당에 보안 도메인의 로드된 사용자 멤버십 정보가 사용되는지 여부를 결정합니다. true 로 설정하면 이 그룹 할당이 RBAC(역할 기반 액세스 제어)에 사용됩니다.

   /core-service=management/security-realm=SecurityDomainAuthnRealm/authentication=jaas:write-attribute(name=assign-groups,value=true)

   Copy to Clipboard Toggle word wrap

1. 보안 도메인의 자세한 보기를 엽니다.

   • 화면 상단에 있는 구성 을 클릭합니다.
   • 관리형 도메인의 왼쪽 상단에 있는 프로필 선택 상자에서 수정할 프로필 을 선택합니다.
   • Cryostat를 클릭한 다음 보안 을 클릭합니다.
   • 편집할 보안 도메인을 클릭하고 보기를 클릭합니다.

2. 감사 구성으로 이동합니다.

   화면 왼쪽에서 감사를 클릭합니다.

   구성 영역은 공급자 모듈과 세부 정보라는 두 영역으로 나뉩니다. provider 모듈은 구성의 기본 단위입니다. 보안 도메인에는 각각 속성 및 옵션을 포함할 수 있는 여러 공급자 모듈이 포함될 수 있습니다.

3. 공급자 모듈을 추가합니다.

   추가 를 클릭하고 provider 모듈의 클래스 이름을 사용하여 Code 섹션을 작성합니다. 또한 이름 섹션에 원하는 이름을 입력합니다.

4. 모듈이 작동하는지 확인합니다.

   audit 모듈의 목표는 보안 하위 시스템에서 이벤트를 모니터링하는 방법을 제공하는 것입니다. 이 모니터링은 로그 파일, 이메일 알림 또는 기타 측정 가능한 감사 메커니즘에 쓰기를 통해 수행할 수 있습니다.

   예를 들어 JBoss EAP에는 기본적으로 org.jboss.security.audit.providers.LogAuditProvider 모듈이 포함되어 있습니다. 위의 단계에 따라 활성화된 경우 이 감사 모듈은 EAP_HOME 디렉터리 내의 로그 하위 폴더에 있는 audit.log 파일에 보안 알림을 씁니다.

   위의 단계가 org.jboss.security.audit.providers.LogAuditProvider 의 컨텍스트에서 작동하는지 확인하려면 알림을 트리거할 가능성이 있는 작업을 수행한 다음 감사 로그 파일을 확인합니다.

5. 선택 사항: 모듈 옵션을 추가, 편집 또는 제거합니다.

   모듈에 옵션을 추가하려면 모듈 목록에서 해당 항목을 클릭하고 페이지의 세부 정보 섹션에서 모듈 옵션 탭을 선택합니다. 추가 를 클릭하고 옵션의 키와 값을 제공합니다.

   이미 존재하는 옵션을 편집하려면 제거를 클릭하여 제거하고 추가를 클릭하여 올바른 옵션을 사용하여 다시 추가합니다.

adduser 스크립트를 통해 사용자를 추가하려면 다음을 수행합니다.

1. add-user.sh 또는 add-user.errors 명령을 실행합니다.
2. 관리 사용자 또는 애플리케이션 사용자를 추가할지 여부를 선택합니다.
3. 사용자가 추가할 영역을 선택합니다. 기본적으로 사용 가능한 유일한 영역은 ManagementRealm 및 ApplicationRealm입니다. 사용자 지정 영역을 추가한 경우 대신 해당 이름을 수동으로 입력할 수 있습니다.
4. 메시지가 표시되면 원하는 사용자 이름, 암호 및 선택적 역할을 입력합니다. 변경 사항은 보안 영역의 각 속성 파일에 작성됩니다.

1. 암호 자격 증명 모음 명령을 대화형으로 시작합니다.

   운영 체제의 명령줄 인터페이스를 시작하고(Microsoft Windows Server에서) EAP_HOME/bin/vault.sh (Red Hat Enterprise Linux 및 유사한 운영 체제) 또는 EAP_HOME\bin\vault. CAST를 실행합니다. 0 (영)을 입력하여 새 대화형 세션을 시작합니다.

2. 프롬프트 매개 변수를 완료합니다.

   프롬프트에 따라 필요한 매개 변수를 입력합니다. 이러한 값은 암호 자격 증명 모음을 만들 때 제공되는 값과 일치해야 합니다.

   참고

   키 저장소 암호는 마스킹되지 않은 일반 텍스트 형식으로 지정해야 합니다.

3. 민감한 문자열에 대한 프롬프트 매개 변수를 완료합니다.

   0 (0)을 입력하여 민감한 문자열을 저장하기 시작합니다. 프롬프트에 따라 필요한 매개 변수를 입력합니다.

4. 마스킹된 문자열에 대한 정보를 기록합니다.

   메시지는 표준 출력에 출력되어 vault 블록, 속성 이름, 마스크된 문자열 및 구성에서 문자열 사용에 대한 조언을 표시합니다. 이 정보는 안전한 위치에서 기록해 둡니다. 샘플 출력의 추출은 다음과 같습니다.

   Vault Block:ds_Example1
   Attribute Name:password
   Configuration should be done as follows:
   VAULT::ds_Example1::password::1

   Copy to Clipboard Toggle word wrap

5. 대화형 콘솔을 종료합니다.

   2 (two)를 입력하여 대화형 콘솔을 종료합니다.