Red Hat Summit4.3. 역할 기반 액세스 제어
역할 기반 액세스 제어의 기본 사항은 역할 기반 액세스 제어 및 보안 아키텍처 가이드 의 관리 인터페이스에 RBAC 추가 섹션에서 다룹니다.
4.3.1. 역할 기반 액세스 제어 활성화
기본적으로 RBAC(역할 기반 액세스 제어) 시스템은 비활성화되어 있습니다. provider 속성을 simple 에서 rbac 로 변경하여 사용할 수 있습니다. provider 는 management 요소의 access-control 요소의 속성입니다. 이 작업은 관리 CLI를 사용하거나 서버가 오프라인 상태인 경우 서버 구성 XML 파일을 편집하여 수행할 수 있습니다. 실행 중인 서버에서 RBAC를 비활성화하거나 활성화하면 서버 구성이 적용되기 전에 다시 로드해야 합니다.
활성화된 후에는 Administrator 또는 SuperUser 역할의 사용자만 비활성화할 수 있습니다. 기본적으로 관리 CLI는 서버와 동일한 시스템에서 실행되는 경우 SuperUser 역할로 실행됩니다.
관리 CLI를 사용하여 RBAC를 활성화하려면 액세스 권한 부여 리소스의 write-attribute 작업을 사용하여 provider 속성을 RBAC로 설정합니다.
CLI에서 RBAC 활성화
/core-service=management/access=authorization:write-attribute(name=provider, value=rbac)
관리 CLI를 사용하여 RBAC를 비활성화하려면 액세스 권한 부여 리소스의 write-attribute 작업을 사용하여 provider 속성을 simple 로 설정합니다.
CLI에서 RBAC를 비활성화합니다.
/core-service=management/access=authorization:write-attribute(name=provider, value=simple)
서버가 오프라인 상태인 경우 XML 구성을 편집하여 RBAC를 활성화하거나 비활성화할 수 있습니다. 이렇게 하려면 관리 요소의 access-control 요소의 provider 특성을 편집합니다. 값을 rbac 로 설정하고 쉽게 비활성화 할 수 있습니다.
XML 예
<management>
<access-control provider="rbac">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>
</management>
4.3.2. 권한 결합 정책 변경
Permission Combination Policy는 사용자가 두 개 이상의 역할을 할당하는 경우 권한을 결정하는 방법을 결정합니다. 허용 또는 거부로 설정할 수 있습니다. 기본값은 permissive 입니다.
허용 으로 설정하면 작업을 허용하는 사용자에게 역할이 할당되면 작업이 허용됩니다.
거부 로 설정하면 사용자에게 여러 역할이 할당된 경우 작업이 허용되지 않습니다. 즉, 정책이 거부되도록 설정된 경우 각 사용자에게 하나의 역할만 할당해야 합니다. 정책이 거부되도록 설정된 경우 여러 역할이 있는 사용자는 관리 콘솔 또는 관리 CLI를 사용할 수 없습니다.
Permission Combination Policy는 permission-combination-policy 속성을 허용 또는 거부 로 설정하여 구성됩니다. 이 작업은 관리 CLI를 사용하거나 서버가 오프라인 상태인 경우 서버 구성 XML 파일을 편집하여 수행할 수 있습니다. permission-combination-policy 속성은 access-control 요소의 일부이며 access-control 요소는 management 요소에서 찾을 수 있습니다.
Permission Combination Policy 설정
액세스 권한 부여 리소스의 write-attribute 작업을 사용하여 permission-combination-policy 속성을 필수 정책 이름으로 설정합니다.
/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
유효한 정책 이름은 거부 및 허용 입니다.
CLI 예
/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting)
서버가 오프라인 상태인 경우 XML 구성을 편집하여 권한 조합 정책 값을 변경할 수 있습니다. 이렇게 하려면 access-control 요소의 permission-combination-policy 속성을 편집합니다.
XML 예
<access-control provider="rbac" permission-combination-policy="rejecting">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>
4.3.3. 역할 관리
RBAC(역할 기반 액세스 제어)를 활성화하면 관리 사용자가 수행할 수 있는 작업은 사용자가 할당되는 역할에 따라 결정됩니다. JBoss EAP 7은 사용자와 그룹 멤버십을 기반으로 하는 포함 및 제외 시스템을 사용하여 사용자가 속한 역할을 결정합니다.
사용자가 다음과 같은 경우 역할에 할당되는 것으로 간주됩니다.
- 역할에 포함될 사용자로 나열되는 경우
- 역할에 포함할 그룹의 멤버입니다.
사용자가 아닌 경우 역할에 할당되는 사용자도 고려됩니다.
- 역할에서 제외할 사용자로 나열되거나
- 역할에서 제외되도록 나열된 그룹의 멤버입니다.
제외는 포함보다 우선합니다.
역할은 관리 콘솔과 관리 CLI를 사용하여 사용자 및 그룹의 설정을 구성하고 제외할 수 있습니다.
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
4.3.3.1. 관리 CLI를 사용하여 사용자 역할 할당 구성
사용자와 그룹을 역할에 매핑하는 구성은 role-mapping 요소로 /core-service=management/access=authorization 에 있습니다.
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
역할 할당 구성 보기
:read- children-names 작업을 사용하여 구성된 역할의 전체 목록을 가져옵니다.
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
{
"outcome" => "success",
"result" => [
"Administrator",
"Deployer",
"Maintainer",
"Monitor",
"Operator",
"SuperUser"
]
}지정된 역할 매핑의 read-resource 작업을 사용하여 특정 역할의 전체 세부 정보를 가져옵니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
{
"outcome" => "success",
"result" => {
"include-all" => false,
"exclude" => undefined,
"include" => {
"user-theboss" => {
"name" => "theboss",
"realm" => undefined,
"type" => "USER"
},
"user-harold" => {
"name" => "harold",
"realm" => undefined,
"type" => "USER"
},
"group-SysOps" => {
"name" => "SysOps",
"realm" => undefined,
"type" => "GROUP"
}
}
}
}새 역할 추가
다음 절차에서는 역할에 대한 역할 매핑 항목을 추가하는 방법을 보여줍니다. 이 작업은 역할을 구성하기 전에 수행해야 합니다.
add 작업을 사용하여 새 역할 구성을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:add
- ROLENAME은 새 매핑의 역할 이름(예: 감사자)입니다.
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor:add
역할에 포함된 사용자 추가
다음 절차에서는 포함된 역할 목록에 사용자를 추가하는 방법을 보여줍니다.
역할에 대한 구성이 없는 경우 먼저 역할 매핑 항목을 수행해야 합니다.
추가 작업을 사용하여 역할 포함 목록에 사용자 항목을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=USERNAME, type=USER)
- ROLENAME은 구성 중인 역할의 이름입니다. (예: 감사자)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. Red Hat은 user-USERNAME(예: user-max)과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다.
- USERNAME은 include 목록에 추가되는 사용자의 이름입니다. (예: max)
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor/include=user-max:add(name=max, type=USER)
역할에서 제외된 사용자 추가
다음 절차에서는 사용자를 제외된 역할 목록에 추가하는 방법을 보여줍니다.
역할에 대한 구성이 없는 경우 먼저 역할 매핑 항목을 수행해야 합니다.
add 작업을 사용하여 역할의 excludes 목록에 사용자 항목을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=USERNAME, type=USER)
- ROLENAME은 구성 중인 역할의 이름입니다. (예: 감사자)
- USERNAME은 제외 목록에 추가되는 사용자의 이름입니다. (예: max)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. Red Hat은 user-USERNAME(예: user-max)과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다.
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor/exclude=user-max:add(name=max, type=USER)
사용자 역할 제거 구성
다음 절차에서는 역할 매핑에서 사용자 포함 항목을 제거하는 방법을 보여줍니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
- ROLENAME은 구성 중인 역할의 이름입니다(예: 감사자)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. Red Hat은 user-USERNAME(예: user-max)과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다.
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor/include=user-max:remove
포함 목록에서 사용자를 제거해도 시스템에서 사용자가 제거되지 않으며 역할이 사용자에게 할당되지 않습니다. 이 역할은 그룹 멤버십에 따라 계속 할당될 수 있습니다.
사용자 역할 제외 구성 제거
다음 절차에서는 역할 매핑에서 사용자 제외 항목을 제거하는 방법을 보여줍니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
- ROLENAME은 구성 중인 역할의 이름입니다. (예: 감사자)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. Red Hat은 user-USERNAME(예: user-max)과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다.
/core-service=management/access=authorization/role-mapping=Auditor/exclude=user-max:remove
제외 목록에서 사용자를 제거해도 시스템에서 사용자가 제거되지 않으며 역할이 사용자에게 할당된다는 보장도 없습니다. 역할은 그룹 멤버십에 따라 제외될 수 있습니다.
4.3.4. 역할 및 사용자 그룹
mgmt-users.properties 파일 또는 LDAP 서버를 사용하여 인증된 사용자는 사용자 그룹의 멤버일 수 있습니다. 사용자 그룹은 하나 이상의 사용자에게 할당할 수 있는 임의의 레이블입니다.
RBAC 시스템은 멤버가 속한 사용자 그룹에 따라 사용자에게 역할을 자동으로 할당하도록 구성할 수 있습니다. 그룹 멤버십에 따라 역할에서 사용자를 제외할 수도 있습니다.
mgmt-users.properties 파일을 사용하는 경우 그룹 정보는 mgmt-groups.properties 파일에 저장됩니다. LDAP를 사용하는 경우 그룹 정보는 LDAP 서버에 저장되고 LDAP 서버를 담당하는 사용자가 유지 관리합니다.
4.3.5. 관리 CLI를 사용하여 그룹 역할 할당 구성
역할에 포함되거나 제외할 그룹은 관리 콘솔 및 관리 CLI에서 구성할 수 있습니다. 이 주제에서는 관리 CLI 사용만 보여줍니다.
사용자와 그룹을 역할에 매핑하는 구성은 역할 매핑 요소로 /core-service=management/access=authorization 의 관리 API에 있습니다.
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
그룹 역할 할당 구성 보기
read- children-names 작업을 사용하여 구성된 역할의 전체 목록을 가져옵니다.
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
{
"outcome" => "success",
"result" => [
"Administrator",
"Deployer",
"Maintainer",
"Monitor",
"Operator",
"SuperUser"
]
}지정된 역할 매핑의 read-resource 작업을 사용하여 특정 역할의 전체 세부 정보를 가져옵니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
{
"outcome" => "success",
"result" => {
"include-all" => false,
"exclude" => undefined,
"include" => {
"user-theboss" => {
"name" => "theboss",
"realm" => undefined,
"type" => "USER"
},
"user-harold" => {
"name" => "harold",
"realm" => undefined,
"type" => "USER"
},
"group-SysOps" => {
"name" => "SysOps",
"realm" => undefined,
"type" => "GROUP"
}
}
}
}새 역할 추가
다음 절차에서는 역할에 대한 역할 매핑 항목을 추가하는 방법을 보여줍니다. 이 작업은 역할을 구성하기 전에 수행해야 합니다.
add 작업을 사용하여 새 역할 구성을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:add
역할에 포함된 그룹 추가
다음 절차에서는 포함된 역할 목록에 그룹을 추가하는 방법을 보여줍니다.
역할에 대한 구성이 없는 경우 먼저 역할 매핑 항목을 수행해야 합니다.
추가 작업을 사용하여 역할 포함 목록에 그룹 항목을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=GROUPNAME, type=GROUP)
- ROLENAME은 구성 중인 역할의 이름입니다. (예: 감사자)
- GROUPNAME은 include 목록에 추가되는 그룹의 이름입니다. (예: 조사자)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. Red Hat은 group-GROUPNAME과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다. (예: group-investigators)
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor/include=group-investigators:add(name=investigators, type=GROUP)
역할에서 제외된 그룹 추가
다음 절차에서는 제외된 역할 목록에 그룹을 추가하는 방법을 보여줍니다.
역할에 대한 구성이 없는 경우 먼저 역할 매핑 항목을 생성해야 합니다.
add 작업을 사용하여 역할의 excludes 목록에 그룹 항목을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=GROUPNAME, type=GROUP)
- ROLENAME은 구성 중인 역할의 이름입니다(예: 감사자)
- GROUPNAME은 include 목록에 추가되는 그룹의 이름(예: supervisors)입니다.
- ALIAS는 이 매핑에 대한 고유한 이름입니다. group-GROUPNAME과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다. (예: group-supervisors)
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor/exclude=group-supervisors:add(name=supervisors, type=GROUP)
그룹 역할 제거: 구성
다음 절차에서는 역할 매핑에서 그룹 포함 항목을 제거하는 방법을 보여줍니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
- ROLENAME은 구성 중인 역할의 이름입니다(예: 감사자)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. Red Hat은 group-GROUPNAME과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다. (예: group-investigators)
CLI 예
/core-service=management/access=authorization/role-mapping=Auditor/include=group-investigators:remove
includes 목록에서 그룹을 제거해도 시스템에서 그룹이 제거되지 않으며 이 그룹의 사용자에게 역할이 할당되지 않을 수도 있습니다. 이 역할은 그룹의 사용자에게 개별적으로 할당될 수 있습니다.
사용자 그룹 제외 항목 제거
다음 절차에서는 역할 매핑에서 그룹 제외 항목을 제거하는 방법을 보여줍니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
- ROLENAME은 구성 중인 역할의 이름입니다. (예: 감사자)
- ALIAS는 이 매핑에 대한 고유한 이름입니다. group-GROUPNAME과 같은 별칭에 이름 지정 규칙을 사용하는 것이 좋습니다. (예: group-supervisors)
/core-service=management/access=authorization/role-mapping=Auditor/exclude=group-supervisors:remove
제외 목록에서 그룹을 제거해도 시스템에서 그룹은 제거되지 않습니다. 또한 그룹 멤버에게 역할이 할당되는 것을 보장하지 않습니다. 역할은 그룹 멤버십에 따라 제외될 수 있습니다.
4.3.6. LDAP에서 RBAC 사용
LDAP와 RBAC를 사용하는 기본 사항 및 LDAP와 함께 RBAC를 사용하기 위해 JBoss EAP 7을 구성하는 방법에 대한 기본 사항은 Identity Management 구성 가이드 의 LDAP 및 RBAC 섹션에서 다룹니다.
4.3.7. 범위가 지정된 역할
범위가 지정된 역할은 표준 역할 중 하나의 권한을 부여하지만 JBoss EAP 관리형 도메인에서 하나 이상의 지정된 서버 그룹 또는 호스트에 대한 권한을 부여하는 사용자 정의 역할입니다. 범위가 지정된 역할을 사용하면 관리 사용자에게 필요한 서버 그룹 또는 호스트로만 제한되는 권한을 부여할 수 있습니다.
범위가 지정된 역할은 Administrator 또는 SuperUser 역할이 할당된 사용자가 생성할 수 있습니다.
이는 5 가지 특성에 의해 정의됩니다.
- 고유한 이름입니다.
- 표준 역할 중 기반으로 하는 역할은 무엇입니까.
- 서버 그룹 또는 호스트에 적용되는 경우
- 제한된 서버 그룹 또는 호스트 목록.
- 모든 사용자가 자동으로 포함된 경우 기본값은 false입니다.
범위가 지정된 역할을 생성한 후에는 표준 역할과 동일한 방식으로 사용자와 그룹에 할당할 수 있습니다.
범위가 지정된 역할을 생성하면 새 권한을 정의할 수 없습니다. 범위가 지정된 역할은 제한된 범위에서 기존 역할의 권한을 적용하는 데만 사용할 수 있습니다. 예를 들어 단일 서버 그룹으로 제한되는 Deployer 역할을 기반으로 범위가 지정된 역할을 생성할 수 있습니다.
역할을 제한할 수 있는 두 가지 범위만 있습니다.
- 호스트 범위 역할
- 호스트 범위의 역할은 해당 역할의 권한을 하나 이상의 호스트로 제한합니다. 즉, 액세스는 관련 /host=*/ 리소스 트리에 제공되지만 다른 호스트에 고유한 리소스가 숨겨집니다.
- 서버-그룹 범위 역할
- server-group 범위의 역할은 해당 역할의 권한을 하나 이상의 서버 그룹으로 제한합니다. 또한 역할 권한은 지정된 서버 그룹과 연결된 프로필, 소켓 바인딩 그룹, 서버 구성 및 서버 리소스에도 적용됩니다. server-group과 논리적으로 관련이 없는 하위 리소스 내의 모든 하위 리소스는 사용자에게 표시되지 않습니다.
4.3.7.1. 관리 CLI에서 범위가 지정된 역할 구성
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
새 범위 역할 추가
새 범위 역할을 추가하려면 다음 작업을 수행해야 합니다.
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:add
/core-service=management/access=authorization/server-group-scoped-role=NEW-SCOPED-ROLE:add(base-role=BASE-ROLE, server-groups=[SERVER-GROUP-NAME])
NEW-SCOPED-ROLE, BASE-ROLE, SERVER-GROUP-NAME 을 적절한 정보로 교체합니다.
범위가 지정된 역할 매핑 보기 및 편집
범위가 지정된 역할 세부 정보( members 포함)는 다음 명령을 실행하여 확인할 수 있습니다.
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:read-resource(recursive=true)
NEW-SCOPED-ROLE을 적절한 정보로 교체합니다.
범위가 지정된 역할의 세부 정보를 편집하려면 write-attribute 명령을 사용할 수 있습니다. 예를 들면 다음과 같습니다.
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:write-attribute(name=include-all, value=true)
NEW-SCOPED-ROLE을 적절한 정보로 교체합니다.
범위가 지정된 역할 삭제
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:remove
/core-service=management/access=authorization/server-group-scoped-role=NEW-SCOPED-ROLE:remove
NEW-SCOPED-ROLE을 적절한 정보로 교체합니다.
사용자 또는 그룹이 할당되면 범위가 지정된 역할을 삭제할 수 없습니다. 먼저 역할 할당을 제거한 다음 삭제합니다.
사용자 추가 및 제거
범위가 지정된 역할에서 사용자를 추가 및 제거하는 작업은 표준 역할을 추가 및 제거하는 것과 동일한 프로세스를 따릅니다.
4.3.7.2. 관리 콘솔에서 범위가 지정된 역할 구성
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
관리 콘솔의 범위가 지정된 역할 구성은 다음 단계를 통해 확인할 수 있습니다.
- 관리 콘솔에 로그인
- 액세스 제어 탭을 클릭합니다.
- 왼쪽의 Roles 메뉴를 클릭하면 모든 역할(범위된 역할 포함)이 표시됩니다.
다음 절차에서는 범위가 지정된 역할에 대한 구성 작업을 수행하는 방법을 보여줍니다.
새 범위 역할 추가
- 관리 콘솔에 로그인
- 액세스 제어 탭을 클릭합니다.
- 왼쪽의 Roles 메뉴를 클릭합니다.
- 추가 를 클릭합니다.
다음 세부 정보를 지정합니다.
- 새 범위가 지정된 역할의 고유한 이름입니다.
- 이 역할이 권한을 기반으로 하는 역할인 기본 역할.
- 이 역할이 호스트 또는 서버 그룹으로 제한될지 여부를 입력합니다.
- 역할이 제한된 호스트 또는 서버 그룹 목록. 여러 항목을 선택할 수 있습니다.
- 이 역할에 모든 사용자를 자동으로 포함할 경우 모두 포함됩니다. 기본값은 no입니다.
- 저장을 클릭하면 대화 상자가 닫히고 새로 생성된 역할이 테이블에 표시됩니다.
범위가 지정된 역할 편집
- 관리 콘솔에 로그인
- 액세스 제어 탭을 클릭합니다.
- 왼쪽의 Roles 메뉴를 클릭합니다.
- 편집할 범위가 지정된 역할을 클릭하고 편집을 클릭합니다.
- 원하는 세부 정보를 변경하여 변경 후 저장 버튼을 클릭합니다.
범위가 지정된 역할 멤버 보기
- 관리 콘솔에 로그인
- 액세스 제어 탭을 클릭합니다.
- 왼쪽의 Roles 메뉴를 클릭합니다.
- 원하는 범위가 지정된 역할을 클릭하고 포함 또는 제외 를 선택하여 포함 또는 제외를 선택합니다.
범위가 지정된 역할 삭제
- 관리 콘솔에 로그인
- 액세스 제어 탭을 클릭합니다.
- 왼쪽의 Roles 메뉴를 클릭합니다.
- 원하는 범위가 지정된 역할을 클릭하고 편집 버튼 옆에 있는 드롭다운 화살표를 클릭하고 제거를 클릭합니다.
- 확인을 클릭합니다. 대화 상자가 닫히고 역할이 제거됩니다.
사용자 또는 그룹을 할당하면 범위가 지정된 역할을 삭제할 수 없습니다. 먼저 역할 할당을 제거한 다음 삭제합니다.
사용자 추가 및 제거
범위가 지정된 역할에 대한 사용자 추가 및 제거는 표준 역할을 추가 및 제거하는 것과 동일한 프로세스를 따릅니다. 사용자 범위가 지정된 역할을 업데이트하려면 다음을 수행합니다.
- 관리 콘솔에 로그인
- 액세스 제어 탭을 클릭합니다.
- 왼쪽의 Roles 메뉴를 클릭합니다.
- 원하는 범위가 지정된 역할을 클릭하고 포함 또는 제외 를 선택하여 포함 또는 제외를 선택합니다.
- 멤버를 추가하려면 추가 를 클릭하고 포함 또는 제외할 멤버를 선택하고 저장을 클릭합니다.
- 멤버를 제거하려면 제거할 멤버를 선택하고 제거를 클릭합니다.
4.3.8. 제한 구성
4.3.8.1. 민감성 제약 조건 구성
각 민감한 리소스 제약 조건은 중요한 리소스 집합을 정의합니다. 중요한 리소스는 일반적으로 암호와 같이 시크릿이어야 하거나 네트워킹, JVM 구성 또는 시스템 속성과 같이 서버에 심각한 영향을 미치는 리소스입니다. 액세스 제어 시스템 자체도 민감한 것으로 간주됩니다. 리소스 민감도는 특정 리소스를 읽고, 쓰거나, 처리할 수 있는 역할을 제한합니다.
민감도 제약 조건 구성은 at /core-service=management/access=authorization/constraint=sensitivity-classification 에 있습니다.
관리 모델 내에서 각 민감성 제약 조건은 분류로 식별됩니다. 그런 다음 분류는 유형으로 그룹화됩니다. 13 가지 유형으로 정렬되는 39 개의 분류가 있습니다.
민감도 제약 조건을 구성하려면 write-attribute 작업을 사용하여 configured-requires-read,configured-requires-write 또는 configured-requires-addressable 특성을 설정합니다. 이러한 유형의 작업을 민감하게 설정하려면 특성 값을 true 로 설정합니다. 그렇지 않으면 민감하지 않게 설정하려면 false 로 설정합니다. 기본적으로 이러한 속성은 설정되지 않으며 default-requires-read,default-requires-write, default-requires-addressable 의 값이 사용됩니다. 구성된 속성이 설정되면 기본값 대신 사용되는 값이 됩니다. 기본값은 변경할 수 없습니다.
예 - 시스템 속성을 중요한 작업으로 설정
/core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property:write-attribute(name=configured-requires-read,value=true)
결과
/core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property:read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-addressable" => undefined,
"configured-requires-read" => true,
"configured-requires-write" => undefined,
"default-requires-addressable" => false,
"default-requires-read" => false,
"default-requires-write" => true,
"applies-to" => {
"/core-service=platform-mbean/type=runtime" => undefined,
"/system-property=*" => undefined,
"/" => undefined
}
}
}이러한 속성의 구성에 따라 다음 표에 요약된 작업을 수행할 수 있는 역할은 다음과 같습니다.
| 현재의 | requires-read | requires-write | requires-addressable |
|---|---|---|---|
| true | 읽기는 민감합니다. Auditor, Administrator, SuperUser만 읽을 수 있습니다. | 쓰기는 민감합니다. Administrator 및 SuperUser만 쓸 수 있습니다. | 주소 지정은 민감합니다. 감사자인 SuperUser만 처리할 수 있습니다. |
| false | 읽기는 민감하지 않습니다. 모든 관리 사용자가 읽을 수 있습니다. | 쓰기는 민감하지 않습니다. 유지 관리자, 관리자 및 슈퍼유저만 쓸 수 있습니다. 배포자는 리소스인 애플리케이션 리소스도 작성할 수 있습니다. | 주소 지정은 민감하지 않습니다. 모든 관리 사용자가 처리할 수 있습니다. |
4.3.8.2. 애플리케이션 리소스 제약 조건 구성
각 애플리케이션 리소스 제약 조건은 일반적으로 애플리케이션 및 서비스 배포와 관련된 리소스, 속성 및 작업 집합을 정의합니다. 애플리케이션 리소스 제약 조건이 활성화된 경우 배포자 역할의 관리 사용자에게 적용되는 리소스에 대한 액세스 권한이 부여됩니다.
애플리케이션 제약 조건 구성은 /core-service=management/access=authorization/constraint=application-classification/ 에 있습니다.
각 애플리케이션 리소스 제약 조건은 분류로 식별됩니다. 그런 다음 분류는 유형으로 그룹화됩니다. 8 가지 유형으로 정렬되는 14 개의 분류가 있습니다. 각 분류에는 분류 구성이 적용되는 리소스 경로 패턴 목록인 applies-to 요소가 있습니다.
기본적으로 활성화된 유일한 애플리케이션 리소스 분류는 core입니다. 코어에는 배포, 배포 오버레이 및 배포 작업이 포함됩니다.
애플리케이션 리소스를 활성화하려면 write-attribute 작업을 사용하여 분류의 configured-application 특성을 true 로 설정합니다. 애플리케이션 리소스를 비활성화하려면 이 속성을 false 로 설정합니다. 기본적으로 이러한 속성은 설정되지 않으며 default-application 속성 값이 사용됩니다. 기본값은 변경할 수 없습니다.
logger-profile 애플리케이션 리소스 분류 활성화
/core-service=management/access=authorization/constraint=application-classification/type=logging/classification=logging-profile:write-attribute(name=configured-application,value=true)
결과
/core-service=management/access=authorization/constraint=application-classification/type=logging/classification=logging-profile:read-resource
{
"outcome" => "success",
"result" => {
"configured-application" => true,
"default-application" => false,
"applies-to" => {"/subsystem=logging/logging-profile=*" => undefined}
}
}애플리케이션 리소스 제한은 구성과 일치하는 모든 리소스에 적용됩니다. 예를 들어 Deployer 사용자에게 하나의 데이터 소스 리소스에 대한 액세스 권한을 부여할 수는 없지만 다른 데이터 소스는 부여할 수 없습니다. 이 수준의 분리가 필요한 경우 다른 서버 그룹에서 리소스를 구성하고 각 그룹에 대해 다른 범위 배포자 역할을 생성하는 것이 좋습니다.
4.3.8.3. Vault 표현식 제약 조건 구성
기본적으로 vault 표현식을 읽고 쓰는 것은 민감한 작업입니다. Vault 표현식 제약 조건을 구성하면 해당 작업 중 하나 또는 둘 다 중요하지 않은 것으로 설정할 수 있습니다. 이 제약 조건을 변경하면 역할 수가 많을수록 vault 표현식을 읽고 쓸 수 있습니다.
vault 표현식 제약 조건은 at /core-service=management/access=authorization/constraint=vault-expression 에 있습니다.
vault 표현식 제약 조건을 구성하려면 write-attribute 작업을 사용하여 configured-requires-write 및 configured-requires-read 의 속성을 true 또는 false 로 설정합니다. 기본적으로 이 값은 설정되지 않으며 default-requires-read 및 default-requires-write 값이 사용됩니다. 기본값은 변경할 수 없습니다.
vault 표현식에 중요하지 않은 작업 작성
/core-service=management/access=authorization/constraint=vault-expression:write-attribute(name=configured-requires-write,value=false)
결과
/core-service=management/access=authorization/constraint=vault-expression:read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-read" => undefined,
"configured-requires-write" => false,
"default-requires-read" => true,
"default-requires-write" => true
}
}이 구성에 따라 vault 표현식을 읽고 쓸 수 있는 역할은 다음 표에 요약되어 있습니다.
| 현재의 | requires-read | requires-write |
|---|---|---|
| true | 읽기 작업은 민감합니다. Auditor, Administrator 및 SuperUser만 읽을 수 있습니다. | 쓰기 작업은 민감합니다. 관리자만 쓸 수 있으며 SuperUser는 작성할 수 있습니다. |
| false | 읽기 작업은 민감하지 않습니다. 모든 관리 사용자는 다음을 읽을 수 있습니다. | 쓰기 작업은 민감하지 않습니다. 모니터, 관리자 및 SuperUser는 작성할 수 있습니다. vault 표현식이 애플리케이션 리소스에 있는 경우에도 배포자는 작성할 수 있습니다. |
4.3.8.4. 애플리케이션 리소스 제약 조건 참조
유형: core - Classification: deployment-overlay
- 기본값: true
- PATH: /deployment-overlay=*
- PATH: /deployment=*
- 경로: /
- 작업: upload-deployment-stream, full-replace-deployment, upload-deployment-url, upload-deployment-bytes
유형: 데이터 소스 - 분류: 데이터 소스
- 기본값: false
- PATH: /deployment=*/subdeployment=*/subsystem=datasources/data-source=*
- PATH: /subsystem=datasources/data-source=*
- PATH: /subsystem=datasources/data-source=ExampleDS
- PATH: /deployment=*/subsystem=datasources/data-source=*
유형: 데이터 소스 - 분류: jdbc-driver
- 기본값: false
- PATH: /subsystem=datasources/jdbc-driver=*
유형: 데이터 소스 - 분류: xa-data-source
- 기본값: false
- PATH: /subsystem=datasources/xa-data-source=*
- PATH: /deployment=*/subsystem=datasources/xa-data-source=*
- PATH: /deployment=*/subdeployment=*/subsystem=datasources/xa-data-source=*
- PATH: /subsystem=logging/logger=*
- PATH: /subsystem=logging/logging-profile=*/logger=*
- PATH: /subsystem=logging/logging-profile=*
- PATH: /subsystem=mail/mail-session=*
- PATH: /subsystem=naming/binding=*
- PATH: /subsystem=resource-adapters/resource-adapter=*
- PATH: /subsystem=security/security-domain=*
4.3.8.5.
- /core-service=management/management-interface=http-interface
- PATH: /subsystem=security/security-domain=*
- PATH: /core-service=management/security-realm=*
- PATH: /socket-binding-group=*
- PATH: /system-property=*
- PATH: /subsystem=jmx
- PATH: /subsystem=naming/binding=*
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}