Red Hat Summit3장. 관리형 도메인 보안
관리 인터페이스 보안 외에도 관리형 도메인의 JBoss EAP 인스턴스 간 통신을 보호할 수도 있습니다.
관리형 도메인 운영 모드에 대한 개념 및 일반 구성에 대한 자세한 내용은 JBoss EAP 구성 가이드의 도메인 관리 섹션을 참조하십시오.
3.1. Slaves 및 도메인 컨트롤러 간 암호 인증 구성
관리형 도메인을 구성할 때 기본적으로 마스터 도메인 컨트롤러는 해당 도메인에 연결하는 각 슬레이브 컨트롤러에 대한 인증이 필요하도록 구성됩니다. 적절한 인증 정보를 사용하여 슬레이브 컨트롤러를 구성하려면 다음을 수행해야 합니다.
마스터 도메인 컨트롤러에 사용자 추가
add-user 스크립트를 사용하여 마스터 도메인 컨트롤러에 사용자를 추가해야 합니다. 특히 사용자가 마스터가 관리 인터페이스를 보호하는 데 사용하는 동일한 영역에 사용자를 추가해야 합니다. 기본적으로 ManagementRealm 입니다. 또한 하나의 AS 프로세스에서 다른 AS 프로세스에 연결하기 위해 이 새 사용자를 사용할 예정 이라는 질문에 yes 라고 대답해야 합니다.
중요사용자를 추가한 후 스크립트는 다음 단계에서 사용할 & lt;secret > 요소를 출력합니다. 다음 단계에서 사용하려면 이 값을 유지해야 합니다.
Slave 사용자 추가 예
$ EAP_HOME/bin/add-user.sh What type of user do you wish to add? a) Management User (mgmt-users.properties) b) Application User (application-users.properties) (a): a Enter the details of the new user to add. Using realm 'ManagementRealm' as discovered from the existing property files. Username : slave-user Password recommendations are listed below. To modify these restrictions edit the add-user.properties configuration file. - The password should be different from the username - The password should not be one of the following restricted values {root, admin, administrator} - The password should contain at least 8 characters, 1 alphabetic character(s), 1 digit(s), 1 non-alphanumeric symbol(s) Password : Re-enter Password : What groups do you want this user to belong to? (Please enter a comma separated list, or leave blank for none)[ ]: About to add user 'slave-user' for realm 'ManagementRealm' Is this correct yes/no? yes Added user 'slave-user' to file '/home/user/EAP-7.0.0/jboss-eap-7.0/standalone/configuration/mgmt-users.properties' Added user 'slave-user' to file '/home/user/EAP-7.0.0/jboss-eap-7.0/domain/configuration/mgmt-users.properties' Added user 'slave-user' with groups to file '/home/user/EAP-7.0.0/jboss-eap-7.0/standalone/configuration/mgmt-groups.properties' Added user 'slave-user' with groups to file '/home/user/EAP-7.0.0/jboss-eap-7.0/domain/configuration/mgmt-groups.properties' Is this new user going to be used for one AS process to connect to another AS process? e.g. for a slave host controller connecting to the master or for a Remoting connection for server to server EJB calls. yes/no? yes To represent the user add the following to the server-identities definition <secret value="ABCzc3dv11Qx" />인증 정보를 사용하도록 슬레이브 컨트롤러를 구성합니다.
마스터 도메인 컨트롤러에서 사용자를 생성한 후에는 호스트 구성 파일에서 해당 인증 정보를 사용하도록 각 슬레이브 컨트롤러를 업데이트해야 합니다(예:
host.xml또는host-slave.xml). 이렇게 하려면 도메인 컨트롤러 구성의 < remote> 요소에 사용자 이름을 추가해야 합니다. < remote> 요소를 보호하는 데 사용되는 영역의 서버 ID 에 < secret >을 추가해야 합니다. 이전 단계에서 사용자를 마스터 도메인 컨트롤러에 추가할 때 사용자 이름과 < secret >을 모두 가져왔습니다.예
... <security-realm name="ManagementRealm"> <server-identities> <!-- Replace this with either a base64 password of your own, or use a vault with a vault expression --> <secret value="ABCzc3dv11Qx"/> </server-identities> ... <domain-controller> <remote security-realm="ManagementRealm" username="slave-user"> <discovery-options> <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9999}"/> </discovery-options> </remote> </domain-controller>
