Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

1장. 서버 및 인터페이스 보안

1.1. 블록 구축
링크 복사

1.1.1. 인터페이스 및 소켓 바인딩
링크 복사

JBoss EAP는 호스트의 인터페이스(예: inet-addressnic )는 물론 웹 애플리케이션 및 관리 인터페이스 모두에 대한 통신용 포트를 활용합니다. 이러한 인터페이스 및 포트는 JBoss EAP의 인터페이스와 socket-binding-groups 설정을 통해 정의 및 구성됩니다.

인터페이스socket-binding-groups 를 정의하고 구성하는 방법에 대한 자세한 내용은 JBoss EAP 구성 가이드의 소켓 바인딩 섹션을 참조하십시오.

예제: 인터페이스

<interfaces>
  <interface name="management">
    <inet-address value="${jboss.bind.address.management:127.0.0.1}"/>
  </interface>
  <interface name="public">
    <inet-address value="${jboss.bind.address:127.0.0.1}"/>
  </interface>
</interfaces>

예제: 소켓 바인딩 그룹

<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
    <socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/>
    <socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
    <socket-binding name="ajp" port="${jboss.ajp.port:8009}"/>
    <socket-binding name="http" port="${jboss.http.port:8080}"/>
    <socket-binding name="https" port="${jboss.https.port:8443}"/>
    <socket-binding name="txn-recovery-environment" port="4712"/>
    <socket-binding name="txn-status-manager" port="4713"/>
    <outbound-socket-binding name="mail-smtp">
        <remote-destination host="localhost" port="25"/>
    </outbound-socket-binding>
</socket-binding-group>

1.1.2. Elytron 하위 시스템
링크 복사

1.1.2.1. 서버 전체에 Elytron 보안 활성화
링크 복사

서버 전반에서 Elytron을 활성화하는 간단한 방법이 있습니다. JBoss EAP 7.1은 보안 프로바이더로 Elytron을 활성화하는 구성 스크립트 예제를 도입했습니다. 이 스크립트는 서버 설치의 EAP_HOME/docs/examples 디렉터리에 상주합니다.

다음 명령을 실행하여 서버에서 Elytron 보안을 활성화합니다. 

$ EAP_HOME/bin/jboss-cli.sh --file=EAP_HOME/docs/examples/enable-elytron.cli

1.1.2.2. Elytron 보안 도메인 만들기
링크 복사

elytron 하위 시스템의 보안 도메인은(보안 영역과 함께 사용할 경우) 핵심 관리 인증은 물론 애플리케이션과의 인증에 모두 사용됩니다.

중요

배포는 배포당 하나의 Elytron 보안 도메인 사용으로 제한됩니다. 여러 레거시 보안 도메인이 필요한 시나리오는 이제 하나의 Elytron 보안 도메인을 사용하여 수행할 수 있습니다.

관리 CLI를 사용하여 보안 도메인 추가
/subsystem=elytron/security-domain=domainName:add(realms=[{realm=realmName,role-decoder=roleDecoderName}],default-realm=realmName,permission-mapper=permissionMapperName,role-mapper=roleMapperName,...)
관리 콘솔을 사용하여 보안 도메인 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) 기타 설정으로 이동하여 보기를 클릭합니다.
  3. SSL 보안 도메인을 선택하고 추가 버튼을 사용하여 새 보안 도메인을 구성합니다.

1.1.2.3. Elytron Security Realm 만들기
링크 복사

elytron 하위 시스템의 보안 영역은(보안 도메인과 함께 사용할 경우) 핵심 관리 인증은 물론 애플리케이션과의 인증에 모두 사용됩니다. 또한 보안 영역은 해당 ID 저장소, example jdbc-realm,filesystem-realm,properties-realm 등에 따라 구체적으로 입력됩니다.

관리 CLI를 사용하여 보안 영역 추가
/subsystem=elytron/type-of-realm=realmName:add(....)

jdbc-realm,filesystem-realmproperties-realm 과 같은 특정 영역을 추가하는 예제는 이전 섹션에서 확인할 수 있습니다.

관리 콘솔을 사용하여 보안 영역 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. 구성 하위 시스템 보안(Elytron) 보안 영역으로 이동하여 보기를 클릭합니다.
  3. Security Realm (보안 영역) 탭에서 적절한 보안 영역 유형을 선택하고 Add(추가 )를 클릭하여 새 보안 영역을 구성합니다.

1.1.2.4. Elytron 역할 표시기 만들기
링크 복사

역할 디코더는 보안 영역에서 제공하는 ID에서 역할로 속성을 변환합니다. 역할 디코더는 기능에 따라 구체적으로 입력됩니다(예: empty-role-decoder,simple-role-decoder, custom-role-decoder ).

관리 CLI를 사용하여 역할 전달자 추가
/subsystem=elytron/ROLE-DECODER-TYPE=roleDeoderName:add(....)
관리 콘솔을 사용하여 역할 검색기 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) Mappers / redhatders로 이동하여 보기를 클릭합니다.
  3. Role satellite(역할)를 클릭하고 적절한 역할 디코더 유형을 선택하고 Add(추가 )를 클릭하여 새 역할 디코더를 구성합니다.

1.1.2.5. elytron 하위 시스템에 source-address-role-decoder 추가
링크 복사

관리 CLI 또는 관리 콘솔을 사용하여 source-address-role-decoder 역할 디코더를 elytron 하위 시스템에 추가할 수 있습니다. 매퍼 요소에서 이 역할 디코더를 구성하면 권한 결정을 내릴 때 클라이언트의 IP 주소를 사용합니다.

source-address-role-decoder 는 클라이언트의 IP 주소를 추출하고 pattern 특성 또는 source-address 특성에 지정된 IP 주소와 일치하는지 확인합니다. 클라이언트의 IP 주소가 특성에 지정된 IP 주소와 일치하는 경우 elytronroles 속성을 사용하여 사용자에게 역할을 할당합니다.

참고

이 절차에서는 관리 CLI를 사용하여 elytron 하위 시스템의 mappers 요소에 source-address-role-decoder 를 추가합니다. 관리 콘솔을 사용하여 이 작업을 완료하려면 추가 리소스 섹션에 제공된 링크를 참조하십시오.

사전 요구 사항

  • 서버의 클라이언트의 IP 주소를 확인합니다.

절차

  1. elytron 하위 시스템에서 관리 CLI를 사용하여 source-address-role-decoder 를 추가합니다. source-address-role-decoder 의 경우 사용자의 IP 주소와 하나 이상의 역할을 지정해야 합니다.

    mappers 요소에 source-address-role-decoder추가하는 예:

    /subsystem=elytron/source-address-role-decoder=decoder1:add(source-address="10.10.10.10", roles=["Administrator"])

    이 예제에서는 decoder1 이라는 구성된 source-address-role-decoder 를 보여줍니다. 클라이언트가 서버에 연결을 시도하면 elytron 하위 시스템은 source-address-role-decoder 를 사용하여 클라이언트의 IP 주소가 패턴 특성 또는 source-address 특성에 지정된 IP 주소와 일치하는지 확인합니다. 이전 예에서 source-address-role-decoder 는 클라이언트의 IP 주소가 10.10.10.10인지 확인합니다. 클라이언트의 IP 주소가 10.10.10.10 이면 elytronroles 속성을 사용하여 사용자에게 Administrator 역할을 할당합니다.

    참고

    다른 네트워크에서 연결을 설정해야 하는 사용자에게 특정 역할을 할당하도록 source-address-role-decoder 를 구성할 수 있습니다.

  2. security-domain 에서 role- decoder 특성에서 구성된 source-address-role -decoder 를 참조합니다. 이렇게 하면 Elytron 보안 도메인에서 권한 결정을 내릴 때 source-address-role-decoder 를 사용할 수 있습니다.

    role-decoder 특성 에서 구성된 source-address-role-decoder,decoder1 을 참조하는 예제입니다.

    /subsystem=elytron/security-domain=domainName:add(role-decoder=decoder1,default-realm=realmName,realms=[{realm=realmName}])

1.1.3. elytron 하위 시스템에 aggregate-role-decoder 구성
링크 복사

aggregate-role-decoder 는 두 개 이상의 역할 디코더로 구성됩니다. aggregate-role-decoder 를 사용하여 각 역할 디코더에서 반환된 역할을 집계할 수 있습니다.

사전 요구 사항

  • elytron 하위 시스템에서 2개 이상의 역할 디코더를 구성합니다.

절차

  • aggregate-role-decoder 역할 디코더에 2개 이상의 역할 디코더를 추가합니다.

    aggregate-role-decoder 역할 디코더에 decoder 1 및 decoder2 를 추가하는 예:

    /subsystem=elytron/aggregate-role-decoder=aggregateDecoder:add(role-decoders=[decoder1, decoder2])

1.1.3.1. Elytron 역할 매퍼 만들기
링크 복사

역할 매퍼는 다른 역할로 디코딩된 후 역할을 매핑합니다. 예를 들어 역할 이름을 정규화하거나 주체가 디코딩된 후 주체에서 특정 역할을 추가 및 제거하는 작업이 있습니다. 역할 매퍼는 기능에 따라 구체적으로 입력됩니다(예: add-prefix-role-mapper,add-suffix-role-mapper, constant-role-mapper ).

역할 매퍼를 추가하면 일반 양식이 사용됩니다.
/subsystem=elytron/ROLE-MAPPER-TYPE=roleMapperName:add(...)
관리 콘솔을 사용하여 역할 매퍼 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) Mappers / redhatders로 이동하여 보기를 클릭합니다.
  3. Role Mapper (역할 매퍼)를 클릭하고 적절한 역할 매퍼 유형을 선택하고 Add(추가 )를 클릭하여 새 역할 매퍼를 구성합니다.

1.1.3.2. Elytron 권한 세트 만들기
링크 복사

권한 세트를 사용하여 ID에 권한을 할당할 수 있습니다.

관리 CLI를 사용하여 권한 세트 추가
/subsystem=elytron/permission-set=PermissionSetName:add(permissions=[{class-name="...", module="...", target-name="...", action="..."}...])

permissions 매개변수는 각 권한에 다음 속성이 있는 권한 집합으로 구성됩니다.

  • class-name 은 권한의 정규화된 클래스 이름입니다. 이는 필요한 유일한 권한 속성입니다.
  • 모듈은 권한을 로드하는 데 사용되는 선택적 모듈입니다.
  • target-name 은 구성 시 권한에 전달되는 선택적 대상 이름입니다.
  • action 은 구성 시 권한에 전달되는 선택적 작업입니다.

1.1.3.3. Elytron 권한 맵퍼 만들기
링크 복사

ID에 할당되는 역할 외에도 권한을 할당할 수도 있습니다. 권한 매퍼는 ID에 권한을 할당합니다. 권한 매퍼도 특히 해당 기능에 따라 입력됩니다(예: logical-permission-mapper,simple-permission-mapper, custom-permission-mapper ).

관리 CLI를 사용하여 권한 매퍼 추가
/subsystem=elytron/simple-permission-mapper=PermissionMapperName:add(...)
관리 콘솔을 사용하여 권한 매퍼 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) Mappers / redhatders로 이동하여 보기를 클릭합니다.
  3. Principalkonder를 클릭하고 적절한 주체 디코더 유형을 선택하고 Add(추가 )를 클릭하여 새 주체 디코더를 구성합니다.

1.1.3.4. 인증 구성 생성
링크 복사

인증 구성에는 연결을 만들 때 사용할 자격 증명이 포함되어 있습니다. 인증 구성에 대한 자세한 내용은 JBoss EAP용 ID 관리 구성 방법에서 Elytron 클라이언트를 사용하여 클라이언트 인증 구성을 참조하십시오.

참고

자격 증명 저장소 대신 액세스 사용자의 자격 증명을 사용하도록 Elytron 보안 도메인을 구성할 수 있습니다. 예를 들어 보안 도메인을 Kerberos와 함께 사용하여 들어오는 사용자를 인증할 수 있습니다. JBoss EAP용 Kerberos로 SSO를 설정하는 방법에서 Elytron 하위 시스템 구성의 지침을 따르고 Kerberos 보안 팩토리에서 obtain-kerberos-ticket=true 를 설정합니다.

관리 CLI를 사용하여 인증 구성 추가
/subsystem=elytron/authentication-configuration=AUTHENTICATION_CONFIGURATION_NAME:add(authentication-name=AUTHENTICATION_NAME, credential-reference={clear-text=PASSWORD})
관리 콘솔을 사용하여 인증 구성 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) 기타 설정으로 이동하여 보기를 클릭합니다.
  3. 인증 인증 구성을 클릭하고 Add (추가 )를 클릭하여 새 인증 구성을 구성합니다.

인증-구성 속성의 전체 목록은 Elytron 하위 시스템 구성 요소 참조를 참조하십시오.

1.1.3.5. 인증 컨텍스트 생성
링크 복사

인증 컨텍스트에는 연결 설정에 사용할 일련의 규칙과 인증 구성 또는 SSL 컨텍스트 가 포함되어 있습니다. 인증 컨텍스트에 대한 자세한 내용은 JBoss EAP용 ID 관리 구성 방법에서 Elytron 클라이언트를 사용하여 클라이언트 인증 구성을 참조하십시오.

관리 CLI를 사용하여 인증 컨텍스트 추가

인증 컨텍스트는 다음 관리 CLI 명령을 사용하여 생성할 수 있습니다. 

/subsystem=elytron/authentication-context=AUTHENTICATION_CONTEXT_NAME:add()

일반적으로 인증 컨텍스트에는 규칙 집합과 인증 구성 또는 SSL 컨텍스트가 포함됩니다. 다음 CLI 명령은 호스트 이름이 localhost 인 경우에만 작동하는 인증 컨텍스트 정의 방법을 제공합니다. 

/subsystem=elytron/authentication-context=AUTHENTICATION_CONTEXT_NAME:add(match-rules=[{authentication-configuration=AUTHENTICATION_CONFIGURATION_NAME, match-host=localhost}])
관리 콘솔을 사용하여 인증 컨텍스트 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) 기타 설정으로 이동하여 보기를 클릭합니다.
  3. Authentication Authentication Context 를 클릭하고 Add 를 클릭하여 새 인증 컨텍스트를 구성합니다.

authentication-context 속성의 전체 목록은 Elytron 하위 시스템 구성 요소 참조를 참조하십시오.

1.1.3.6. Elytron 인증 팩토리 만들기
링크 복사

인증 팩토리는 특정 인증 메커니즘에 사용되는 인증 정책입니다. 인증 팩토리는 특히 http-authentication-factory,sasl-authentication-factorykerberos-security-factory 와 같은 인증 메커니즘을 기반으로 합니다.

관리 CLI를 사용하여 인증 팩토리 추가
/subsystem=elytron/AUTH-FACTORY-TYPE=authFactoryName:add(....)
관리 콘솔을 사용하여 인증 팩토리 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) Factories / Transformers 로 이동하여 보기를 클릭합니다.
  3. HTTP 팩토리,SASL 팩토리 또는 기타 팩토리를 클릭하고 적절한 팩토리 유형을 선택하고 Add(추가 )를 클릭하여 새 팩토리를 구성합니다.

1.1.3.7. Elytron 키 저장소 만들기
링크 복사

키 저장소 는 키 저장소 유형, 해당 위치 및 액세스하기 위한 자격 증명을 비롯한 키 저장소 또는 신뢰 저장소의 정의입니다.

elytron 하위 시스템에서 사용할 예제 키 저장소를 생성하려면 다음 명령을 사용합니다. 

$ keytool -genkeypair -alias localhost -keyalg RSA -keysize 1024 -validity 365 -keystore keystore.jks -dname "CN=localhost" -keypass secret -storepass secret
관리 CLI를 사용하여 키 저장소 추가

새로 만든 키 저장소를 참조하는 Elytron의 키 저장소를 정의하려면 다음 관리 CLI 명령을 실행합니다. 이 명령은 제공된 파일 시스템 경로, 키 저장소 액세스에 사용되는 자격 증명 참조 및 키 저장소 유형을 기준으로 키 저장소에 대한 경로를 차단합니다. 

/subsystem=elytron/key-store=newKeyStore:add(path=keystore.jks,relative-to=jboss.server.config.dir,credential-reference={clear-text=secret},type=JKS)
참고

위의 명령은 키 저장소 파일의 위치를 참조하기 위해 상대-to 를 사용합니다. 또는 경로에서 키 저장소의 전체 경로를 지정하고 relative-to 생략할 수도 있습니다.

관리 콘솔을 사용하여 키 저장소 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) 기타 설정으로 이동하여 보기를 클릭합니다.
  3. 저장소 키 저장소 를 클릭하고 추가를 클릭하여 새 키 저장소를 구성합니다.

1.1.3.8. Elytron 키 관리자 만들기
링크 복사

key-manager키 저장소를 참조하며 SSL 컨텍스트와 함께 사용됩니다.

관리 CLI를 사용하여 키 관리자 추가

다음 명령은 참조할 기본 키 저장소, 키 관리자를 초기화할 때 사용할 알고리즘 및 기본 키 저장소의 항목에 액세스하기 위한 자격 증명 참조를 지정합니다. 

/subsystem=elytron/key-manager=newKeyManager:add(key-store=KEY_STORE,credential-reference={clear-text=secret})
중요

Elytron 하위 시스템에서 KeyManagerfactory.getDefaultAlgorithm() 를 사용하여 기본적으로 알고리즘을 결정하므로 이전 명령에서 algorithm을 지정하지 않았습니다. 그러나 알고리즘 특성을 지정할 수 있습니다. 알고리즘 특성을 지정하려면 JDK에서 제공하는 키 관리자 알고리즘이 무엇인지 알아야 합니다. 예를 들어 SunJSSE를 사용하는 JDK는 PKIXSunX509 알고리즘을 제공합니다.

이전 명령에서 SunX509 를 키 관리자 알고리즘 특성으로 지정할 수 있습니다.

관리 콘솔을 사용하여 키 관리자 추가
  1. 관리 콘솔에 액세스합니다. 자세한 내용은 JBoss EAP 구성 가이드의 관리 콘솔 섹션을 참조하십시오.
  2. Configuration Subsystems Security (Elytron) 기타 설정으로 이동하여 보기를 클릭합니다.
  3. SSL Key Manager 를 클릭하고 Add(추가 )를 클릭하여 새 키 관리자를 구성합니다.

1.1.3.9. Elytron Truststore 생성
링크 복사

Elytron에서 신뢰 저장소를 생성하려면 다음 CLI 명령을 실행합니다. 

/subsystem=elytron/key-store=default-trust-store:add(type=JKS, relative-to=jboss.server.config.dir, path=application.truststore, credential-reference={clear-text=password})

위의 명령을 성공적으로 실행하려면 EAP_HOME/standalone/configuration 디렉터리에 application.truststore 파일이 있어야 합니다. 엔드 포인트의 인증서에 CA가 서명한 경우 트러스트 저장소에는 끝점 또는 인증서 체인과 연결된 인증서가 포함되어야 합니다.

자체 서명된 인증서를 사용하지 않도록 권장합니다. 인증서는 CA에서 서명하고 신뢰 저장소에는 ROOT 및 중간 CA를 나타내는 인증서 체인이 포함되어야 합니다.

1.1.3.10. Elytron Trust Manager 만들기
링크 복사

Elytron에서 신뢰 관리자를 정의하려면 다음 CLI 명령을 실행합니다. 

/subsystem=elytron/trust-manager=default-trust-manager:add(key-store=TRUST-STORE-NAME)

이렇게 하면 정의된 신뢰 저장소를 애플리케이션 서버에서 신뢰하는 인증서의 소스로 설정합니다.

1.1.3.11. Box Elytron 구성 요소 외부 사용
링크 복사

JBoss EAP는 elytron 하위 시스템에서 구성된 기본 Elytron 구성 요소 집합을 제공합니다. 사전 구성된 구성 요소에 대한 자세한 내용은 보안 아키텍처 가이드 의 박스 아웃 섹션에서 확인할 수 있습니다.

1.1.3.11.1. 관리 인터페이스 보안
링크 복사

JBoss EAP가 Elytron으로 사용자 인증 섹션의 관리 인터페이스를 보호하기 위해 기본적으로 Elytron 구성 요소를 사용하도록 활성화하는 방법에 대한 자세한 내용을 확인할 수 있습니다.

1.1.3.11.2. 애플리케이션 보안
링크 복사

elytron 하위 시스템은 기본적으로 http -authentication-factory에 대한 application-http -authentication을 제공하며, 이는 애플리케이션을 보호하는 데 사용할 수 있습니다. application-http-authentication 구성 방법에 대한 자세한 내용은 보안 아키텍처 가이드 의 박스 아웃 섹션을 참조하십시오.

application-http-authentication 을 사용하도록 애플리케이션을 구성하려면 How to Configure Identity Management Guide 에서 Elytron 또는 Legacy Security for Authentication을 사용하도록 웹 애플리케이션 구성을 참조하십시오. ID 관리 가이드의 애플리케이션 인증 구성 섹션 재정의 섹션에 있는 단계를 사용하여 모든 애플리케이션의 기본 동작을 재정의할 수도 있습니다.

1.1.3.11.3. SSL/TLS 사용
링크 복사

JBoss EAP는 레거시 코어 관리 인증을 사용하여 기본 단방향 SSL/TLS 구성을 제공하지만, elytron 하위 시스템에서는 제공하지 않습니다. 다음 섹션의 애플리케이션뿐만 아니라 관리 인터페이스 모두에서 elytron 하위 시스템을 사용하여 SSL/TLS를 구성하는 방법에 대한 자세한 내용을 확인할 수 있습니다.

1.1.3.11.4. 다른 하위 시스템과 함께 Elytron 사용
링크 복사

애플리케이션 및 관리 인터페이스 보안 외에도 Elytron은 JBoss EAP의 다른 하위 시스템과도 통합됩니다.

batch-jberet
Elytron 보안 도메인을 사용하여 배치 작업을 실행하도록 batch-jberet 하위 시스템을 구성할 수 있습니다. 자세한 내용은 Configuration Guide의 Configure Security for Batch Jobs 를 참조하십시오.
datasources
자격 증명 저장소 또는 Elytron 보안 도메인을 사용하여 데이터 소스 정의에 인증 정보를 제공할 수 있습니다. 자세한 내용은 구성 가이드 의 데이터 소스 보안을 참조하십시오.
ejb3
배포에서 참조할 ejb3 하위 시스템에서 Elytron 보안 도메인에 대한 매핑을 생성할 수 있습니다. 자세한 내용은 자카르타 엔터프라이즈 빈 애플리케이션 개발에서 Elytron Integration with the EJB Subsystem 을 참조하십시오.
iiop-openjdk
elytron 하위 시스템을 사용하여 iiop-openjdk 하위 시스템을 사용하여 클라이언트와 서버 간에 SSL/TLS를 구성할 수 있습니다. 자세한 내용은 구성 가이드의 SSL/TLS와 함께 SSL/TLS를 사용하도록 구성 IIOP 를 참조하십시오.
jca
elytron-enabled 특성을 사용하여 작업 관리자의 Elytron 보안을 활성화할 수 있습니다. 자세한 내용은 구성 가이드에서 JCA 하위 시스템 구성을 참조하십시오.
jgroups
elytron 하위 시스템에 정의된 키 저장소 또는 자격 증명 참조를 참조하도록 SY M_ENCRYPT 및 ASYM_ENCRYPT 프로토콜을 구성할 수 있습니다. 자세한 내용은 구성 가이드의 클러스터 보안을 참조하십시오.
메일
자격 증명 저장소를 사용하여 메일 하위 시스템의 서버 정의에 인증 정보를 제공할 수 있습니다. 자세한 내용은 구성 가이드에서 암호에 대한 자격 증명 저장소 사용을 참조하십시오.
messaging-activemq
messaging-activemq 하위 시스템에서 사용하는 원격 연결에 대한 원격 연결을 보호할 수 있습니다. 자세한 내용은 메시징 구성의 Elytron 하위 시스템 사용 섹션 을 참조하십시오.
modcluster
Elytron 클라이언트 ssl-context 를 사용하여 SSL/TLS를 사용하여 로드 밸런서 장치와 통신할 수 있습니다. 자세한 내용은 Elytron Integration with the ModCluster Subsystem 을 참조하십시오.
Remoting
원격 하위 시스템에서 인증 컨텍스트, SASL 인증 팩토리 및 elytron 하위 시스템에 정의된 SSL 컨텍스트를 참조하도록 인바운드 및 아웃바운드 연결을 구성할 수 있습니다. 각 연결 유형 구성에 대한 자세한 내용은 제거 하위 시스템과의 통합을 참조하십시오.
resource-adapters
Elytron을 사용하여 리소스 어댑터에 대한 연결을 보호할 수 있습니다. 보안 inflow를 활성화하여 작업 관리자가 실행할 작업을 제출할 때 보안 자격 증명을 설정할 수 있습니다. 자세한 내용은 구성 가이드에서 Elytron 하위 시스템을 사용하도록 리소스 어댑터 구성에서 참조하십시오.
Undertow
elytron 하위 시스템을 사용하여 SSL/TLS 및 애플리케이션 인증을 모두 구성할 수 있습니다. 애플리케이션 인증 구성에 대한 자세한 내용은 Using SSL/TLSConfigure Web Applications to Use Elytron or Legacy Security for Authentication in How to Configure SSL/TLS를 참조하십시오.

1.1.3.12. Elytron 하위 시스템 활성화 및 비활성화
링크 복사

elytron 하위 시스템은 기존 보안 하위 시스템과 함께 기본 JBoss EAP 프로필로 미리 구성됩니다.

elytron 하위 시스템이 구성되지 않은 프로필을 사용하는 경우 elytron 확장을 추가하고 elytron 하위 시스템을 활성화하여 추가할 수 있습니다.

elytron 하위 시스템에 필요한 elytron 확장을 추가하려면 다음을 수행합니다. 

/extension=org.wildfly.extension.elytron:add()

JBoss EAP에서 elytron 하위 시스템을 활성화하려면 다음을 수행합니다. 

/subsystem=elytron:add

reload

JBoss EAP에서 elytron 하위 시스템을 비활성화하려면 다음을 수행합니다. 

/subsystem=elytron:remove

reload
중요

JBoss EAP 내의 다른 하위 시스템은 elytron 하위 시스템에 종속될 수 있습니다. 이러한 종속성을 비활성화하기 전에 해결되지 않으면 JBoss EAP를 시작할 때 오류가 표시됩니다.

1.1.4. 레거시 보안 하위 시스템
링크 복사

1.1.4.1. 보안 하위 시스템 비활성화
링크 복사

하위 시스템의 제거 작업을 실행하여 JBoss EAP에서 보안 하위 시스템을 비활성화할 수 있습니다.

절차

  • JBoss EAP에서 보안 하위 시스템을 비활성화합니다. 

    /subsystem=security:remove
중요

JBoss EAP 내의 다른 하위 시스템은 보안 하위 시스템에 대한 종속성을 가질 수 있습니다. 이러한 종속성을 비활성화하기 전에 해결되지 않으면 JBoss EAP를 시작할 때 오류가 표시됩니다.

1.1.4.2. 보안 하위 시스템 활성화
링크 복사

하위 시스템의 추가 작업을 실행하여 JBoss EAP에서 보안 하위 시스템을 활성화할 수 있습니다.

절차

  • JBoss EAP에서 보안 하위 시스템을 활성화합니다. 

    /subsystem=security:add

1.1.5. 기존 보안 영역
링크 복사

JBoss EAP는 보안 영역을 사용하여 관리 인터페이스에서 사용할 수 있는 로컬 LDAP 속성과 같은 인증 및 권한 부여 메커니즘을 정의합니다.

예제: 보안 영역

<security-realms>
  <security-realm name="ManagementRealm">
    <authentication>
      <local default-user="$local" skip-group-loading="true"/>
      <properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
    </authentication>
    <authorization map-groups-to-roles="false">
      <properties path="mgmt-groups.properties" relative-to="jboss.server.config.dir"/>
    </authorization>
  </security-realm>
  <security-realm name="ApplicationRealm">
    <authentication>
      <local default-user="$local" allowed-users="*" skip-group-loading="true"/>
      <properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
    </authentication>
    <authorization>
      <properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
    </authorization>
  </security-realm>
</security-realms>

참고

JBoss EAP를 사용하면 기존 보안 영역을 업데이트하는 것 외에도 새 보안 영역을 생성할 수 있습니다. 관리 콘솔을 통해 새 보안 영역을 생성하고 관리 CLI에서 다음 명령을 호출할 수 있습니다. 

/core-service=management/security-realm=<new_realm_name>:add()

새 보안 영역을 생성하고 인증 또는 권한 부여에 속성 파일을 사용하려면 특별히 새 보안 도메인에 대한 새 속성 파일을 생성해야 합니다. JBoss EAP는 다른 보안 도메인에서 사용하는 기존 파일을 재사용하지 않으며, 존재하지 않는 경우 구성에 지정된 새 파일을 자동으로 생성하지 않습니다.

1.1.6. 관리 인터페이스 보안을 위해 인증 및 소켓 바인딩 사용
링크 복사

socket-binding,http-authentication-factory, http-upgrade 를 조합하여 elytron 하위 시스템을 사용하여 관리 인터페이스를 보호할 수 있습니다. 또는 security- realm과 함께 socket- binding 을 사용하여 레거시 코어 관리 인증으로 관리 인터페이스를 보호할 수 있습니다. 관리 인터페이스를 비활성화하고 다양한 역할 및 액세스 권한을 갖도록 인터페이스의 사용자를 구성할 수도 있습니다.

기본적으로 JBoss EAP는 관리 인터페이스에 연결할 http-interface 를 정의합니다.

절차

  • 서버 관리 인터페이스 설정을 표시합니다. 

    [standalone@localhost:9990 /] /core-service=management:read-resource(recursive=true)
{
    "outcome" => "success",
    "result" => {
        "access" => {...},
        "ldap-connection" => undefined,
        "management-interface" => {"http-interface" => {
            "allowed-origins" => undefined,
            "console-enabled" => true,
            "http-authentication-factory" => "management-http-authentication",
            "http-upgrade" => {
                "enabled" => true,
                "sasl-authentication-factory" => "management-sasl-authentication"
            },
            "http-upgrade-enabled" => true,
            "sasl-protocol" => "remote",
            "secure-socket-binding" => undefined,
            "security-realm" => undefined,
            "server-name" => undefined,
            "socket-binding" => "management-http",
            "ssl-context" => undefined
        }},
        "security-realm" => {...},
        "service" => undefined
    }
}
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동