Red Hat Summit5.2. 레거시 코어 관리 인증 사용
레거시 보안 하위 시스템을 사용하여 관리 인터페이스의 인증 소스로 LDAP 디렉터리 서버를 사용하려면 다음 단계를 수행해야 합니다.
LDAP 서버에 대한 아웃바운드 연결을 만듭니다.
아웃바운드 LDAP 연결을 생성하는 목적은 보안 영역(및 JBoss EAP 인스턴스)이 LDAP 서버에 대한 연결을 설정하도록 허용하는 것입니다. 보안 도메인에서
Database로그인 모듈과 함께 사용할 데이터 소스를 생성하는 경우와 유사합니다.LDAP 아웃바운드 연결을 통해 다음 속성을 사용할 수 있습니다.
Expand 속성 필수 항목 설명 url
제공됨
디렉터리 서버의 URL 주소입니다.
search-dn
아니요
검색을 수행할 권한이 있는 사용자의 고유 이름(DN)입니다.
search-credential
아니요
검색을 수행하기 위해 인증된 사용자의 암호입니다. 이 요소에서 지원하는 특성은 다음과 같습니다.
-
저장- 검색 자격 증명을 가져올 자격 증명 저장소에 대한 참조입니다. -
alias- 참조된 저장소에 있는 자격 증명의 별칭입니다. -
유형- 자격 증명 저장소에서 가져올 자격 증명 유형의 정규화된 클래스 이름입니다. -
일반 텍스트- 자격 증명 저장소를 참조하는 대신, 이 속성을 사용하여 일반 텍스트 암호를 지정할 수 있습니다.
initial-context-factory
아니요
연결을 설정할 때 사용할 초기 컨텍스트 팩토리입니다. 기본값은
com.sun.jndi.ldap.LdapCtxFactory입니다.security-realm
아니요
연결을 설정할 때 사용할 구성된
SSLContext를 얻기 위해 참조할 보안 영역입니다.추천
아니요
검색을 수행할 때 참조가 발생할 때 동작을 지정합니다. 유효한 옵션은
IGNORE,FOLLOW,THROW입니다.-
무시: 기본 옵션. 참조를 무시합니다. -
팔로우: 검색 중에 참조가 발생하면 사용 중인DirContext가 해당 참조를 따르려고 합니다. 이 경우 두 번째 서버에 연결하는 데 동일한 연결 설정을 사용할 수 있고 참조에 사용되는 이름에 도달할 수 있다고 가정합니다. -
THROW:DirContext에서 참조가 필요하다는 것을 나타내기 위해 예외LdapReferralException이 발생합니다. 보안 영역은 참조에 사용할 대체 연결을 처리하고 식별하려고 시도합니다.
always-send-client-cert
아니요
기본적으로 사용자 자격 증명을 확인하는 동안 서버의 클라이언트 인증서가 전송되지 않습니다.
true로 설정되면 항상 전송됩니다.handles-referrals-for
아니요
연결이 처리할 수 있는 참조를 지정합니다. URI 목록을 지정하는 경우 공백으로 구분해야 합니다. 이를 통해 연결 속성과의 연결을 정의하고 사용할 수 있습니다. 참조를 따르기 위해 다른 자격 증명이 필요한 경우입니다. 이 기능은 두 번째 서버에 대해 인증하는 데 다양한 자격 증명이 필요한 경우 또는 서버가 JBoss EAP 설치에서 연결할 수 없는 이름을 반환하고 대체 주소를 대체할 수 있는 경우에 유용합니다.
참고search-dn및search-credential은 사용자가 제공한 사용자 이름 및 암호와 다릅니다. 여기에서 제공하는 정보는 특히 JBoss EAP 인스턴스와 LDAP 서버 간에 초기 연결을 설정하는 데 사용됩니다. 이 연결을 통해 JBoss EAP는 인증을 시도하는 사용자의 DN을 후속 검색을 수행할 수 있습니다. 검색 결과인 사용자의 DN은 인증을 시도하고 제공된 암호를 사용하여 인증 프로세스를 완료하기 위한 별도의 두 번째 연결을 설정합니다.다음 예제 LDAP 서버에서는 아웃바운드 LDAP 연결을 구성하는 관리 CLI 명령이 아래에 있습니다.
Expand 표 5.1. LDAP 서버 예 속성 현재의 url
127.0.0.1:389
search-credential
myPass
search-dn
cn=search,dc=acme,dc=com
아웃바운드 연결을 추가하기 위한 CLI
/core-service=management/ldap-connection=ldap-connection/:add(search-credential=myPass,url=ldap://127.0.0.1:389,search-dn="cn=search,dc=acme,dc=com") reload
/core-service=management/ldap-connection=ldap-connection/:add(search-credential=myPass,url=ldap://127.0.0.1:389,search-dn="cn=search,dc=acme,dc=com") reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고이렇게 하면 JBoss EAP 인스턴스와 LDAP 서버 간에 암호화되지 않은 연결이 생성됩니다. SSL/TLS를 사용하여 암호화된 연결 설정에 대한 자세한 내용은 아웃바운드 LDAP 연결에 SSL/TLS 사용을 참조하십시오.
-
새 LDAP 사용 보안 영역을 생성합니다.
아웃바운드 LDAP 연결이 생성되면 이를 사용하려면 새 LDAP 사용 보안 영역을 만들어야 합니다.
LDAP 보안 영역에는 다음과 같은 구성 특성이 있습니다.
Expand 속성 설명 연결
LDAP 디렉터리에 연결하는 데 사용할 아웃바운드-커넥션에 정의된 연결의 이름입니다.
base-dn
사용자 검색을 시작할 컨텍스트의 DN입니다.
재귀
LDAP 디렉토리 트리 전체에서 검색을 재귀해야 하는지 여부 또는 지정된 컨텍스트만 검색합니다. 기본값은
false입니다.user-dn
DN을 보유한 사용자의 속성입니다. 이 작업은 사용자가 완료할 수 있으므로 인증을 테스트하는 데 사용됩니다. 기본값은
dn입니다.allow-empty-passwords
이 속성은 비어 있는 암호가 허용되는지 여부를 결정합니다. 기본값은
false입니다.username-attribute
사용자를 검색할 속성의 이름입니다. 이 필터는 사용자가 입력한 사용자 이름이 지정된 속성과 일치하는 간단한 검색을 수행합니다.
advanced-filter
제공된 사용자 ID를 기반으로 사용자를 검색하는 데 사용되는 완전히 정의된 필터입니다. 이 속성에는 표준 LDAP 구문에 필터 쿼리가 포함되어 있습니다. 필터에는
{0}형식의 변수가 포함되어야 합니다. 나중에 사용자가 제공한 사용자 이름으로 대체됩니다. 자세한 내용 및고급 필터예제는 권한 부여에 대한 LDAP 및 RBAC 결합 섹션에서 확인할 수 있습니다.주의심각한 보안 문제이므로 비어 있는 LDAP 암호가 허용되지 않도록 하는 것이 중요합니다. 이 동작이 특히 환경에 권장되지 않는 한, 비어 있는 암호가 허용되지 않고 allow-empty-passwords 가 false로 남아 있는지 확인합니다.
다음은
ldap-connection아웃바운드 LDAP 연결을 사용하여 LDAP 지원 보안 영역을 구성하는 관리 CLI 명령입니다./core-service=management/security-realm=ldap-security-realm:add /core-service=management/security-realm=ldap-security-realm/authentication=ldap:add(connection="ldap-connection", base-dn="cn=users,dc=acme,dc=com",username-attribute="sambaAccountName") reload
/core-service=management/security-realm=ldap-security-realm:add /core-service=management/security-realm=ldap-security-realm/authentication=ldap:add(connection="ldap-connection", base-dn="cn=users,dc=acme,dc=com",username-attribute="sambaAccountName") reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 관리 인터페이스에서 새 보안 영역을 참조합니다. 보안 영역을 만들고 아웃바운드 LDAP 연결을 사용하고 나면 관리 인터페이스에서 새 보안 영역을 참조해야 합니다.
/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value="ldap-security-realm")
/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value="ldap-security-realm")Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고표시된 관리 CLI 명령은 JBoss EAP 독립 실행형 서버를 실행 중이라고 가정합니다. JBoss EAP 관리형 도메인의 관리 CLI 사용에 대한 자세한 내용은 JBoss EAP 관리 CLI 가이드를 참조하십시오.
5.2.1. 아웃바운드 LDAP 연결에 양방향 SSL/TLS 사용
다음 단계에 따라 SSL/TLS로 보호되는 아웃바운드 LDAP 연결을 생성합니다.
Red Hat은 영향을 받는 모든 패키지에서 TLSv1.1 또는 TLSv1.2를 기반으로 SSLv2, SSLv3 및 TLSv1.0을 명시적으로 비활성화하는 것이 좋습니다.
사용할 아웃바운드 LDAP 연결의 보안 영역을 구성합니다.
보안 영역에는 JBoss EAP 서버가 자체와 LDAP 서버 간의 통신을 암호 해독/암호화하는 데 사용할 키 저장소로 구성된 키 저장소가 포함되어야 합니다. 이 키 저장소를 사용하면 JBoss EAP 인스턴스가 LDAP 서버에 대해 자체적으로 확인할 수 있습니다. 보안 영역에는 LDAP 서버의 인증서가 포함된 신뢰 저장소 또는 LDAP 서버의 인증서에 서명하는 데 사용되는 인증 기관의 인증서도 포함되어 있어야 합니다. 키 저장소 및 신뢰 저장소 구성 및 이를 사용하는 보안 영역 생성 방법은 JBoss EAP의 관리 인터페이스용 2-Way SSL/TLS 설정을 참조하십시오.
SSL/TLS URL 및 보안 영역을 사용하여 아웃바운드 LDAP 연결을 생성합니다.
Legacy Core Management Authentication 사용에 정의된 프로세스와 유사하게 아웃바운드 LDAP 연결을 만들어야 하지만 LDAP 서버 및 SSL/TLS 보안 영역에 SSL/TLS URL을 사용해야 합니다.
LDAP 서버의 아웃바운드 LDAP 연결 및 SSL/TLS 보안 영역을 만들고 나면 아웃바운드 LDAP 연결을 해당 정보로 업데이트해야 합니다.
SSL/TLS URL을 사용하여 아웃바운드 연결을 추가하기 위한 CLI의 예
/core-service=management/ldap-connection=ldap-connection/:add(search-credential=myPass, url=ldaps://LDAP_HOST:LDAP_PORT, search-dn="cn=search,dc=acme,dc=com")
/core-service=management/ldap-connection=ldap-connection/:add(search-credential=myPass, url=ldaps://LDAP_HOST:LDAP_PORT, search-dn="cn=search,dc=acme,dc=com")Copy to Clipboard Copied! Toggle word wrap Toggle overflow SSL/TLS 인증서를 사용하여 보안 영역 추가
/core-service=management/ldap-connection=ldap-connection:write-attribute(name=security-realm,value="CertificateRealm") reload
/core-service=management/ldap-connection=ldap-connection:write-attribute(name=security-realm,value="CertificateRealm") reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 관리 인터페이스에서 사용할 아웃바운드 LDAP 연결을 사용하는 새 보안 영역을 생성합니다.
참고표시된 관리 CLI 명령은 JBoss EAP 독립 실행형 서버를 실행 중이라고 가정합니다. JBoss EAP 관리형 도메인의 관리 CLI 사용에 대한 자세한 내용은 JBoss EAP 관리 CLI 가이드를 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}