Red Hat Summit3.5. 역할 기반 액세스 제어
역할 기반 액세스 제어의 기본 사항은 역할 기반 액세스 제어 및 JBoss EAP 보안 아키텍처 가이드 의 관리 인터페이스에 RBAC 추가 섹션에서 설명합니다.
3.5.1. 역할 기반 액세스 제어 활성화
기본적으로 RBAC(역할 기반 액세스 제어) 시스템은 비활성화되어 있습니다. provider 특성을 로 변경하면 활성화됩니다.simple 에서 rbac. providerprovider 는 관리 요소의 access-control 요소의 속성입니다. 이 작업은 관리 CLI를 사용하거나 서버가 오프라인인 경우 서버 구성 XML 파일을 편집하여 수행할 수 있습니다. 실행 중인 서버에서 RBAC를 비활성화하거나 활성화하면 적용되기 전에 서버 구성을 다시 로드해야 합니다.
프로바이더를 rbac 으로 변경하기 전에 Administrator 또는 SuperUser 역할에서 하나 이상 RBAC 역할 중 하나로 매핑되는 사용자가 구성에 있는지 확인합니다. 그렇지 않으면 설치를 종료하고 XML 구성을 편집하는 것을 제외하고는 설치할 수 없습니다. JBoss EAP와 함께 제공되는 표준 XML 구성 중 하나를 시작한 경우 $local 사용자는 SuperUser 역할에 매핑되고 로컬 인증 체계가 활성화됩니다. 이렇게 하면 JBoss EAP 프로세스와 동일한 시스템에서 CLI를 실행하는 사용자가 전체 관리 권한을 가질 수 있습니다. 원격 CLI 사용자와 웹 기반 관리 콘솔 사용자는 권한이 없습니다.
공급자를 전환하기 전에 $local 외에 하나 이상의 사용자를 매핑하는 것이 좋습니다. 공급업체가 simple 로 설정된 경우에도 the rbac 프로바이더와 연결된 모든 구성을 수행할 수 있습니다.
활성화된 후에는 Administrator 또는 SuperUser 역할 사용자만 비활성화할 수 있습니다. 기본적으로 관리 CLI는 서버와 동일한 시스템에서 실행되는 경우 SuperUser 역할로 실행됩니다.
RBAC를 활성화하는 CLI
관리 CLI를 사용하여 RBAC를 활성화하려면 액세스 권한 부여 리소스의 쓰기 작업을 사용하여 프로바이더 특성을 로 설정합니다.
/core-service=management/access=authorization:write-attribute(name=provider, value=rbac)
{
"outcome" => "success",
"response-headers" => {
"operation-requires-reload" => true,
"process-state" => "reload-required"
}
}
reload관리형 도메인에서 액세스 제어 구성은 도메인 전체 구성의 일부이므로 리소스 주소는 위와 동일하지만 관리 CLI는 마스터 도메인 컨트롤러에 연결됩니다.
/core-service=management/access=authorization:write-attribute(name=provider,value=rbac)
{
"outcome" => "success",
"response-headers" => {
"operation-requires-reload" => true,
"process-state" => "reload-required"
},
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {
"outcome" => "success",
"response-headers" => {
"operation-requires-reload" => true,
"process-state" => "reload-required"
}
}},
"server-two" => {"response" => {
"outcome" => "success",
"response-headers" => {
"operation-requires-reload" => true,
"process-state" => "reload-required"
}
}}
}}}}
}
reload --host=master독립 실행형 서버와 마찬가지로 변경 사항을 적용하려면 다시 로드하거나 다시 시작해야 합니다. 관리형 도메인에서는 마스터 도메인 컨트롤러부터 시작하여 도메인의 모든 호스트와 서버를 다시 로드하거나 다시 시작해야 합니다.
RBAC 비활성화를 위한 관리 CLI 명령
관리 CLI를 사용하여 RBAC를 비활성화하려면 액세스 권한 부여 리소스의 쓰기 작업을 사용하여 프로바이더 특성을 simple 로 설정합니다.
/core-service=management/access=authorization:write-attribute(name=provider, value=simple)RBAC를 활성화 또는 비활성화하는 XML 구성
서버가 오프라인인 경우 XML 구성을 편집하여 RBAC를 활성화하거나 비활성화할 수 있습니다. 이렇게 하려면 관리 요소의 access-control 요소의 provider 속성을 편집합니다. 활성화되도록 값을 설정하고 simple to disable를 설정합니다.
예제: RBAC를 활성화 또는 비활성화하는 XML 구성
<management>
<access-control provider="rbac">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>
</management>3.5.2. 권한 조합 정책 변경
권한 조합 정책은 사용자에게 둘 이상의 역할이 할당되는 경우 권한을 결정하는 방법을 결정합니다. 허용 또는 거부 로 설정할 수 있습니다. 기본값은 허용 입니다.
허용 으로 설정되면 작업을 허용하는 사용자에게 역할이 할당되면 작업이 허용됩니다.
rejecting( 거부 )으로 설정하면 여러 역할이 사용자에게 할당되면 작업이 허용되지 않습니다. 즉, 정책이 각 사용자를 거부하도록 설정된 경우 하나의 역할만 할당해야 합니다. 여러 역할이 있는 사용자는 정책이 거부로 설정된 경우 관리 콘솔 또는 관리 CLI를 사용할 수 없습니다.
권한 조합 정책은 permission-combination-policy 특성을 허용 또는 거부 로 설정하여 구성됩니다. 이 작업은 관리 CLI를 사용하거나 서버가 오프라인인 경우 서버 구성 XML 파일을 편집하여 수행할 수 있습니다. permission-combination-policy 특성은 access-control 요소의 일부이며 access-control 요소는 관리 요소에서 찾을 수 있습니다.
권한 조합 정책 설정
액세스 권한 부여 리소스의 write-attribute 작업을 사용하여 permission-combination-policy 특성을 필수 정책 이름으로 설정합니다.
/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
유효한 정책 이름이 거부 되고 허용됩니다.
예제: 권한 조합 취소를 위한 관리 CLI 명령
/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting)
서버가 오프라인인 경우 XML 구성을 편집하여 권한 조합 정책 값을 변경할 수 있습니다. 이렇게 하려면 access 특성을 편집합니다.
-control 요소의 permission-combination- policy
예제: 권한 조합 취소를 위한 XML 구성
<access-control provider="rbac" permission-combination-policy="rejecting">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>3.5.3. 역할 관리
RBAC(역할 기반 액세스 제어)가 활성화되면 관리 사용자가 수행할 수 있는 작업은 사용자가 할당되는 역할에 따라 결정됩니다. JBoss EAP 7은 사용자 및 그룹 멤버십 둘 다에 따라 포함 시스템을 사용하며 사용자가 속한 역할을 결정합니다.
사용자가 다음과 같은 경우 사용자에게 역할이 할당되는 것으로 간주됩니다.
- 역할에 포함할 사용자로 나열되거나,
- 역할에 포함할 그룹의 구성원입니다.
사용자가 없는 경우 사용자에게도 역할이 할당되는 것으로 간주됩니다.
- 역할에서 제외할 사용자로 나열되거나
- 역할에서 제외할 그룹 구성원입니다.
제외는 포함보다 우선합니다.
역할은 관리 콘솔과 관리 CLI를 사용하여 사용자 및 그룹의 설정을 포함하고 제외할 수 있습니다.
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
3.5.3.1. 관리 CLI를 사용하여 사용자 역할 할당 구성
사용자 및 그룹을 역할에 매핑하는 구성은 역할 매핑 요소로 /core-service=management/access=authorization 에 있습니다.
SuperUser 또는 관리자 역할의 사용자만 이 구성을 수행할 수 있습니다.
역할 할당 구성 보기
구성된 역할의 전체 목록을 가져오려면 :read-children-names 작업을 사용합니다.
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
{
"outcome" => "success",
"result" => [
"Administrator",
"Deployer",
"Maintainer",
"Monitor",
"Operator",
"SuperUser"
]
}
지정된 role -mapping의 read-resource 작업을 사용하여 특정 역할의 전체 세부 정보를 가져옵니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
{
"outcome" => "success",
"result" => {
"include-all" => false,
"exclude" => undefined,
"include" => {
"user-theboss" => {
"name" => "theboss",
"realm" => undefined,
"type" => "USER"
},
"user-harold" => {
"name" => "harold",
"realm" => undefined,
"type" => "USER"
},
"group-SysOps" => {
"name" => "SysOps",
"realm" => undefined,
"type" => "GROUP"
}
}
}
}새 역할 추가
다음 절차에서는 역할에 대한 role-mapping 항목을 추가하는 방법을 설명합니다. 역할을 구성하기 전에 이 작업을 수행해야 합니다.
add 작업을 사용하여 새 역할 구성을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:add
ROLENAME 은 새 매핑이 있는 역할의 이름입니다(예: Auditor ).
예제: 새 역할 구성을 위한 관리 CLI 명령
/core-service=management/access=authorization/role-mapping=Auditor:add역할에 포함된 사용자 추가
다음 절차에서는 사용자를 포함된 역할 목록에 추가하는 방법을 설명합니다.
역할 구성이 수행되지 않은 경우 먼저 role-mapping 항목을 수행해야 합니다.
add 작업을 사용하여 포함 역할 목록에 사용자 항목을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=USERNAME, type=USER)-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
user-USERNAME(예:)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.user-max -
USERNAME 은 max와 같이 포함 목록에 추가되는 사용자의 이름입니다
.
예제: 역할에 포함된 사용자의 관리 CLI 명령
/core-service=management/access=authorization/role-mapping=Auditor/include=user-max:add(name=max, type=USER)역할에서 제외된 사용자로 사용자 추가
다음 절차에서는 제외된 역할 목록에 사용자를 추가하는 방법을 설명합니다.
역할 구성이 수행되지 않은 경우 먼저 role-mapping 항목을 수행해야 합니다.
add 작업을 사용하여 역할의 excludes 목록에 사용자 항목을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=USERNAME, type=USER)-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
USERNAME 은 제외 목록에 추가되는 사용자의 이름입니다(예:
max). -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
user-USERNAME(예:)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.user-max
예제: 역할에서 제외된 관리 CLI 명령 사용자
/core-service=management/access=authorization/role-mapping=Auditor/exclude=user-max:add(name=max, type=USER)사용자 역할 제거 구성
다음 절차에서는 역할 매핑에서 사용자 포함 항목을 제거하는 방법을 설명합니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
user-USERNAME(예:)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.user-max
예제: 사용자 역할 제거를 위한 관리 CLI 명령 구성 포함
/core-service=management/access=authorization/role-mapping=Auditor/include=user-max:removeincludes 목록에서 사용자를 제거해도 시스템에서 사용자가 제거되지 않으며, 역할이 사용자에게 할당되지 않습니다. 이 역할은 그룹 멤버십에 따라 계속 할당될 수 있습니다.
사용자 역할 제거 설정 제외
다음 절차에서는 역할 매핑에서 사용자 제외 항목을 제거하는 방법을 설명합니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
user-USERNAME(예:)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.user-max
/core-service=management/access=authorization/role-mapping=Auditor/exclude=user-max:removeexcludes 목록에서 사용자를 제거해도 시스템에서 사용자가 제거되지 않으며, 역할이 사용자에게 할당된다는 보장도 없습니다. 그룹 멤버십에 따라 역할을 제외할 수 있습니다.
3.5.4. Elytron Subsystem을 사용하여 사용자 역할 할당 구성
역할 관리 섹션에서 다룬 대로 사용자에 대한 역할 매핑을 직접 추가하는 것 외에도 elytron 하위 시스템에서 제공하는 ID에서 직접 가져온 RBAC 역할을 구성할 수도 있습니다.
elytron 하위 시스템에서 제공하는 역할을 사용하도록 RBAC 시스템을 구성하려면 다음을 수행합니다.
/core-service=management/access=authorization:write-attribute(name=use-identity-roles,value=true)이 기능을 사용하려면 RBAC를 활성화해야 하며 주체에는 RBAC 역할이 있어야 합니다.
3.5.5. 역할 및 사용자 그룹
사용자 그룹은 하나 이상의 사용자에게 할당할 수 있는 임의의 레이블입니다. 관리 인터페이스를 사용하여 인증할 때 관리 인터페이스의 보안 방식에 따라 사용자에게 elytron 하위 시스템 또는 코어 관리 인증이 할당됩니다. RBAC 시스템은 멤버가 속한 사용자 그룹에 따라 사용자에게 역할을 자동으로 할당하도록 구성할 수 있습니다. 그룹 멤버십에 따라 역할에서 사용자를 제외할 수도 있습니다.
3.5.6. 관리 CLI를 사용하여 그룹 역할 할당 구성
역할에서 포함하거나 제외할 그룹은 관리 콘솔 및 관리 CLI에서 구성할 수 있습니다. 이 주제는 관리 CLI 사용만 보여줍니다.
사용자 및 그룹을 역할에 매핑하는 구성은 관리 API의 구성: /core-service=management/access=authorization as role-mapping 요소.
SuperUser 또는 Administrator 역할의 사용자만 이 구성을 수행할 수 있습니다.
그룹 역할 할당 구성 보기
read-children-names 작업을 사용하여 구성된 역할의 전체 목록을 가져옵니다.
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
{
"outcome" => "success",
"result" => [
"Administrator",
"Deployer",
"Maintainer",
"Monitor",
"Operator",
"SuperUser"
]
}
지정된 role -mapping의 read-resource 작업을 사용하여 특정 역할의 전체 세부 정보를 가져옵니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
{
"outcome" => "success",
"result" => {
"include-all" => false,
"exclude" => undefined,
"include" => {
"user-theboss" => {
"name" => "theboss",
"realm" => undefined,
"type" => "USER"
},
"user-harold" => {
"name" => "harold",
"realm" => undefined,
"type" => "USER"
},
"group-SysOps" => {
"name" => "SysOps",
"realm" => undefined,
"type" => "GROUP"
}
}
}
}새 역할 추가
다음 절차에서는 역할에 대한 role-mapping 항목을 추가하는 방법을 설명합니다. 역할을 구성하기 전에 이 작업을 수행해야 합니다.
add 작업을 사용하여 새 역할 구성을 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME:add역할에 포함된 그룹 추가
다음 절차에서는 포함된 역할 목록에 그룹을 추가하는 방법을 설명합니다.
역할 구성이 수행되지 않은 경우 먼저 role-mapping 항목을 수행해야 합니다.
add 작업을 사용하여 그룹 항목을 포함 역할 목록에 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=GROUPNAME, type=GROUP)-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
GROUPNAME 은
조사자와 같이 include 목록에 추가되는 그룹의 이름입니다. -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
group-GROUPNAME(예:group-investigator)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.
예제: 역할에 포함된 그룹 추가를 위한 관리 CLI 명령
/core-service=management/access=authorization/role-mapping=Auditor/include=group-investigators:add(name=investigators, type=GROUP)역할에서 제외로 그룹 추가
다음 절차에서는 제외된 역할 목록에 그룹을 추가하는 방법을 설명합니다.
역할 구성이 수행되지 않은 경우 역할 매핑 항목을 먼저 생성해야 합니다.
add 작업을 사용하여 그룹 항목을 역할의 excludes 목록에 추가합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=GROUPNAME, type=GROUP)-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
GROUPNAME 은 supervisors와 같이 include 목록에 추가할 그룹의
이름입니다. -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
group-GROUPNAME(예:)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.group-supervisors
예제: 역할에서 제외된 그룹 추가를 위한 관리 CLI 명령
/core-service=management/access=authorization/role-mapping=Auditor/exclude=group-supervisors:add(name=supervisors, type=GROUP)그룹 역할 포함 구성 제거
다음 절차에서는 역할 매핑에서 그룹 포함 항목을 제거하는 방법을 설명합니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
group-GROUPNAME(예:group-investigator)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.
예제: 그룹 역할 제거를 위한 관리 CLI 명령 구성 포함
/core-service=management/access=authorization/role-mapping=Auditor/include=group-investigators:removeincludes 목록에서 그룹을 제거해도 시스템에서 그룹이 제거되지 않으며, 역할이 이 그룹의 사용자에게 할당되지 않습니다. 이 역할은 계속 그룹의 사용자에게 개별적으로 할당될 수 있습니다.
사용자 그룹 제외 항목 제거
다음 절차에서는 역할 매핑에서 그룹 제외 항목을 제거하는 방법을 설명합니다.
remove 작업을 사용하여 항목을 제거합니다.
/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove-
ROLENAME 은 구성되는 역할의 이름입니다(예:
Auditor). -
ALIAS 는 이 매핑의 고유한 이름입니다. Red Hat은
group-GROUPNAME(예:)과 같은 별칭에 대한 명명 규칙을 사용할 것을 권장합니다.group-supervisors
/core-service=management/access=authorization/role-mapping=Auditor/exclude=group-supervisors:remove제외 목록에서 그룹을 제거해도 시스템에서 그룹이 제거되지 않습니다. 또한 역할이 그룹의 멤버에게 할당된다는 보장은 없습니다. 그룹 멤버십에 따라 역할을 제외할 수 있습니다.
3.5.7. LDAP에서 RBAC 사용
LDAP와 함께 RBAC를 사용하는 방법과 LDAP에서 RBAC를 사용하도록 JBoss EAP를 구성하는 방법에 대한 기본 사항은 JBoss EAP의 LDAP 및 RBAC 섹션에서 ID 관리 가이드 구성 방법에서 다룹니다.
3.5.8. 범위가 지정된 역할
범위가 지정된 역할은 표준 역할 중 하나의 권한을 부여하지만 JBoss EAP 관리형 도메인에서 하나 이상의 지정된 서버 그룹 또는 호스트에 대해서만 권한을 부여하는 사용자 정의 역할입니다. 범위가 지정된 역할을 통해 관리 사용자에게 필요한 서버 그룹 또는 호스트로만 제한되는 권한이 부여될 수 있습니다.
범위가 지정된 역할은 Administrator 또는 SuperUser 역할이 할당된 사용자가 생성할 수 있습니다.
다음 5가지 특성으로 정의됩니다.
- 고유한 이름입니다.
- 기반이 되는 표준 역할.
- 서버 그룹 또는 호스트에 적용되는 경우.
- 제한된 서버 그룹 또는 호스트 목록입니다.
-
모든 사용자가 자동으로 포함되는 경우. 기본값은
false입니다.
범위가 지정된 역할은 표준 역할과 동일한 방식으로 사용자와 그룹에 할당할 수 있습니다.
범위가 지정된 역할을 만들면 새 권한을 정의할 수 없습니다. 범위가 지정된 역할은 제한된 범위에서 기존 역할의 권한을 적용하는 데만 사용할 수 있습니다. 예를 들어 단일 서버 그룹으로 제한되는 Deployer 역할을 기반으로 범위가 지정된 역할을 생성할 수 있습니다.
역할은 다음을 제한할 수 있는 두 가지 범위만 있습니다.
- 호스트 범위 역할
-
호스트 범위에 해당하는 역할은 해당 역할의 권한을 하나 이상의 호스트로 제한합니다. 즉, 관련
/host=*/리소스 트리에 액세스가 제공되지만 다른 호스트와 관련된 리소스는 숨겨집니다. - server-group-scoped 역할
- server-group-scoped 역할은 해당 역할의 권한을 하나 이상의 서버 그룹으로 제한합니다. 또한 역할 권한은 지정된 server -groups와 연결된 프로필, 소켓 바인딩 그룹, 서버 구성 및 서버 리소스에도 적용됩니다. server-group과 논리적으로 관련이 없는 하위 리소스는 사용자에게 표시되지 않습니다.
일부 리소스는 사용성을 향상시키기 위해 관리 모델을 간단하게 볼 수 있도록 server-group 및 host scoped 역할에 주소가 지정되지 않습니다. 중요한 데이터를 보호하기 위해 주소 지정이 불가능한 리소스와는 다릅니다.
호스트 범위가 지정된 역할의 경우, 역할에 지정된 서버 그룹과 관련이 없는 경우 관리 모델의 /host=* 부분에 있는 리소스가 표시되지 않습니다.
server-group 범위가 지정된 역할의 경우 프로필,socket-binding-group,deployment , deployment 부분의 리소스가 역할에 지정된 서버 그룹과 관련이 없는 경우 표시되지 않습니다.
-overlay,server-group, server-config 및 server
3.5.8.1. 관리 CLI에서 범위 역할 구성
SuperUser 또는 Administrator 역할의 사용자만 이 구성을 수행할 수 있습니다.
새 범위 역할 추가
새 범위가 지정된 역할을 추가하려면 다음 작업을 수행해야 합니다.
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:add/core-service=management/access=authorization/server-group-scoped-role=NEW-SCOPED-ROLE:add(base-role=BASE-ROLE, server-groups=[SERVER-GROUP-NAME])NEW-SCOPED-ROLE,BASE-ROLE 및 SERVER-GROUP-NAME 을 적절한 정보로 바꿉니다.
범위가 지정된 역할 맵핑 보기 및 편집
다음 명령을 사용하여 멤버를 포함한 범위가 지정된 역할의 세부 정보를 볼 수 있습니다.
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:read-resource(recursive=true)NEW-SCOPED-ROLE 을 적절한 정보로 바꿉니다.
범위가 지정된 역할의 세부 정보를 편집하려면 write-attribute 명령을 사용할 수 있습니다. 예를 들면 다음과 같습니다.
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:write-attribute(name=include-all, value=true)NEW-SCOPED-ROLE 을 적절한 정보로 바꿉니다.
범위 역할 삭제
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:remove/core-service=management/access=authorization/server-group-scoped-role=NEW-SCOPED-ROLE:removeNEW-SCOPED-ROLE 을 적절한 정보로 바꿉니다.
사용자 또는 그룹이 할당되면 범위가 지정된 역할을 삭제할 수 없습니다. 먼저 역할 할당을 제거한 다음 삭제합니다.
사용자 추가 및 제거
범위가 지정된 역할 간에 사용자를 추가 및 제거하는 작업은 표준 역할 추가 및 제거와 동일한 프로세스를 따릅니다.
3.5.8.2. 관리 콘솔에서 범위 역할 구성
SuperUser 또는 Administrator 역할의 사용자만 이 구성을 수행할 수 있습니다.
관리 콘솔에서 범위가 지정된 역할 구성은 다음 단계를 수행하여 찾을 수 있습니다.
- 관리 콘솔에 로그인합니다.
- Access Control(액세스 제어 ) 탭을 클릭합니다.
- Roles (역할)를 클릭하여 범위가 지정된 역할을 포함한 모든 역할을 확인합니다.
다음 절차는 범위가 지정된 역할에 대한 구성 작업을 수행하는 방법을 보여줍니다.
새 범위 역할 추가
- 관리 콘솔에 로그인합니다.
- Access Control(액세스 제어 ) 탭을 클릭합니다.
- Roles(역할 )를 선택하고 Add (+)(추가(+)) 버튼을 클릭합니다.
- 호스트 범위 역할 또는 서버 그룹 범위 역할을 선택합니다.
다음 세부 사항을 지정합니다.
- 이름: 새 범위가 지정된 역할의 고유 이름입니다.
- 기본 역할: 이 역할이 권한을 기준으로 할 역할입니다.
- 호스트 또는 서버 그룹: 추가되는 역할의 유형에 따라 역할이 제한되는 호스트 또는 서버 그룹 목록입니다. 여러 항목을 선택할 수 있습니다.
-
모두 포함: 이 역할에 모든 사용자를 자동으로 포함해야 하는지 여부. 기본값은
OFF입니다.
- Add(추가) 를 클릭하여 새 역할을 만듭니다.
범위 역할 편집
- 관리 콘솔에 로그인합니다.
- Access Control(액세스 제어 ) 탭을 클릭합니다.
- 왼쪽에서 Roles(역할 ) 메뉴를 클릭합니다.
- 편집할 범위 역할을 클릭하고 Edit(편집 )를 클릭합니다.
- 원하는 세부 정보를 업데이트하여 변경한 후 Save (저장) 버튼을 클릭합니다.
지정된 역할 멤버 보기
- 관리 콘솔에 로그인합니다.
- Access Control(액세스 제어 ) 탭을 클릭합니다.
- 왼쪽에서 Roles(역할 ) 메뉴를 클릭합니다.
- 원하는 범위가 지정된 역할을 클릭하여 포함 및 제외된 멤버를 확인합니다.
범위 역할 삭제
- 관리 콘솔에 로그인합니다.
- Access Control(액세스 제어 ) 탭을 클릭합니다.
- 왼쪽에서 Roles(역할 ) 메뉴를 클릭합니다.
- 원하는 범위가 지정된 역할을 클릭하고 드롭다운에서 제거를 클릭합니다.
- Yes (예)를 클릭하여 역할 및 모든 할당을 제거합니다.
사용자 추가 및 제거
범위가 지정된 역할 간에 사용자를 추가 및 제거하는 작업은 표준 역할 추가 및 제거와 동일한 프로세스를 따릅니다. 사용자의 범위가 지정된 역할을 업데이트하려면 다음을 수행합니다.
- 관리 콘솔에 로그인합니다.
- Access Control(액세스 제어 ) 탭을 클릭합니다.
- 왼쪽에서 Roles(역할 ) 메뉴를 클릭하고 원하는 범위가 지정된 역할을 클릭합니다.
- 멤버를 제외하려면 Plus (+)단추를선택하여 멤버 또는 Minus(-) 버튼을선택합니다.
3.5.9. 제한 조건 구성
3.5.9.1. 중요 제한 조건 구성
각 민감도 제한 조건은 중요한 리소스 집합을 정의합니다. 일반적으로 중요한 리소스는 암호와 같이 비밀이어야 하거나 네트워킹, JVM 구성 또는 시스템 속성과 같은 서버에 심각한 영향을 미치는 리소스입니다. 액세스 제어 시스템 자체도 중요한 것으로 간주됩니다. 역할이 특정 리소스를 읽고 쓰거나 주소를 지정할 수 있는 리소스 민감도 제한입니다.
민감도 제한 조건 구성은 /core-service=management/access=authorization/constraint=sensitivity-classification 에 있습니다.
관리 모델 내에서 각 민감도 제한 사항은 분류로 식별됩니다. 그런 다음 분류는 유형으로 그룹화됩니다. 각 분류에는 분류 구성이 적용되는 경로 패턴 목록인 apply-to 요소가 있습니다.
민감도 제한 조건을 구성하려면 write-attribute 작업을 사용하여 configured- requires-read, 또는 configured- requires-writeconfigured-requires-addressable 속성을 설정합니다. 해당 유형의 작업에서 속성 값을 true 로 설정하려면 중요하지 않은 경우 false 로 설정합니다. 기본적으로 이러한 속성은 설정되지 않으며 default-requires-read, 의 값이 사용됩니다. 구성된 특성이 설정되면 기본값 대신 사용되는 값입니다. 기본값은 변경할 수 없습니다.
default- requires-write 및 default- requires-addressable
예제: 시스템 속성 읽기 중요한 작업
/core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property:write-attribute(name=configured-requires-read,value=true)예제: 결과
/core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property:read-resource{
"outcome" => "success",
"result" => {
"configured-requires-addressable" => undefined,
"configured-requires-read" => true,
"configured-requires-write" => undefined,
"default-requires-addressable" => false,
"default-requires-read" => false,
"default-requires-write" => true,
"applies-to" => {
"/core-service=platform-mbean/type=runtime" => undefined,
"/system-property=*" => undefined,
"/" => undefined
}
}
}역할 및 수행할 수 있는 각 작업은 특성의 구성에 따라 달라집니다. 다음 표에 요약되어 있습니다.
| 현재의 | requires-read | requires-write | requires-addressable |
|---|---|---|---|
| true |
읽기는 민감합니다. |
쓰기는 민감합니다. 관리자와 |
주소 지정은 민감합니다. |
| false | 읽기는 민감하지 않습니다. 모든 관리 사용자는 다음과 같이 읽을 수 있습니다. |
쓰기는 민감하지 않습니다. 유지 관리 | 주소 지정은 민감하지 않습니다. 모든 관리 사용자가 처리할 수 있습니다. |
3.5.9.2. 중요 제한 조건 나열
다음 관리 CLI 명령을 사용하여 JBoss EAP 관리 모델에서 직접 사용 가능한 민감도 제한 조건 목록을 확인할 수 있습니다.
/core-service=management/access=authorization/constraint=sensitivity-classification:read-resource(include-runtime=true,recursive=true)3.5.9.3. 애플리케이션 리소스 제한 조건 구성
각 애플리케이션 리소스 제한 조건은 일반적으로 애플리케이션 및 서비스 배포와 관련된 리소스, 특성 및 작업 세트를 정의합니다. 애플리케이션 리소스 제약 조건이 활성화된 경우 Deployer 역할의 관리 사용자에게 적용되는 리소스에 대한 액세스 권한이 부여됩니다.
애플리케이션 제한 조건은 /core-service=management/access=authorization/constraint=application-classification/ 에 있습니다.
각 애플리케이션 리소스 제한 조건은 분류로 식별됩니다. 그런 다음 분류는 유형으로 그룹화됩니다. 각 분류에는 분류 구성이 적용되는 경로 패턴 목록인 apply-to 요소가 있습니다.
기본적으로 활성화된 유일한 애플리케이션 리소스 분류는 코어입니다. 코어에는 배포, 배포 오버레이 및 배포 작업이 포함됩니다.
애플리케이션 리소스를 활성화하려면 write-attribute 작업을 사용하여 분류의 configured-application 특성을 true 로 설정합니다. 애플리케이션 리소스를 비활성화하려면 이 속성을 false로 설정합니다. 기본적으로 이러한 속성은 설정되지 않고 default-application 특성의 값이 사용됩니다. 기본값은 변경할 수 없습니다.
예제: logger-profile 애플리케이션 리소스 분류 활성화
/core-service=management/access=authorization/constraint=application-classification/type=logging/classification=logging-profile:write-attribute(name=configured-application,value=true)예제: 결과
/core-service=management/access=authorization/constraint=application-classification/type=logging/classification=logging-profile:read-resource{
"outcome" => "success",
"result" => {
"configured-application" => true,
"default-application" => false,
"applies-to" => {"/subsystem=logging/logging-profile=*" => undefined}
}
}
애플리케이션 리소스 제한 조건은 해당 구성과 일치하는 모든 리소스에 적용됩니다. 예를 들어 한 데이터 소스 리소스에 대한 배포자 사용자 액세스 권한을 부여할 수는 없지만 다른 데이터 소스 리소스에 대한 액세스 권한은 부여할 수 없습니다. 이 수준의 분리가 필요한 경우 다른 서버 그룹에 리소스를 구성하고 각 그룹에 대해 서로 다른 범위가 지정된 배포자 역할을 생성하는 것이 좋습니다.
3.5.9.4. 애플리케이션 리소스 제한 조건 나열
다음 관리 CLI 명령을 사용하여 JBoss EAP 관리 모델에서 직접 사용 가능한 애플리케이션 리소스 제약 조건 목록을 확인할 수 있습니다.
/core-service=management/access=authorization/constraint=application-classification:read-resource(include-runtime=true,recursive=true)3.5.9.5. Vault Expression Constraint 구성
기본적으로 자격 증명 모음 표현식을 읽고 쓰는 것은 중요한 작업입니다. vault 표현식 제약 조건을 구성하면 또는 둘 다 민감하지 않게 설정할 수 있습니다. 이 제약 조건을 변경하면 많은 역할이 자격 증명 모음 표현식을 읽고 쓸 수 있습니다.
vault 표현식 제약 조건은 /core-service=management/access=authorization/constraint=vault- expressionion에 있습니다.
vault 표현식 제약 조건을 구성하려면 write-attribute 작업을 사용하여 configured-requires- write 및 의 특성을 configured-requires- readtrue 또는 false로 설정합니다. 기본적으로 이러한 값은 설정되지 않으며 default-requires-read 및 default-requires-write 값이 사용됩니다. 기본값은 변경할 수 없습니다.
예제: Vault 표현식에 대한 작성을 중요하지 않은 작업
/core-service=management/access=authorization/constraint=vault-expression:write-attribute(name=configured-requires-write,value=false)예제: 결과
/core-service=management/access=authorization/constraint=vault-expression:read-resource{
"outcome" => "success",
"result" => {
"configured-requires-read" => undefined,
"configured-requires-write" => false,
"default-requires-read" => true,
"default-requires-write" => true
}
}각 자격 증명 모음 식과 각 자격 증명 모음 식은 특성 구성에 따라 다릅니다. 다음 표에 요약되어 있습니다.
| 현재의 | requires-read | requires-write |
|---|---|---|
| true |
읽기 작업은 민감합니다. |
쓰기 작업은 민감합니다. 관리자와 |
| false | 읽기 작업은 민감하지 않습니다. 모든 관리 사용자는. |
쓰기 작업은 민감하지 않습니다. |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}