2.4. JBoss EAP 인스턴스 구성

kerberos-security-factory 구성.

/subsystem=elytron/kerberos-security-factory=krbSF:add(principal="HTTP/host@REALM", path="/path/to/http.keytab", mechanism-oids=[1.2.840.113554.1.2.2, 1.3.6.1.5.5.2])

Kerberos의 시스템 속성을 구성합니다.

환경을 구성하는 방법에 따라 아래의 일부 시스템 속성을 설정해야 합니다.

관리 CLI를 사용하여 JBoss EAP에서 시스템 속성을 구성하려면 다음을 수행합니다.

/system-property=java.security.krb5.conf:add(value="/path/to/krb5.conf")

역할을 할당하기 위한 Elytron 보안 영역을 구성합니다.

클라이언트의 Kerberos 토큰은 주체를 제공하지만 해당 주체를 애플리케이션의 역할에 매핑하는 방법이 필요합니다. 이 작업을 수행하는 방법에는 여러 가지가 있지만, 이 예제에서는 filesystem-realm 을 생성하고 Kerberos 토큰의 주체와 일치하는 영역에 사용자를 추가하고 해당 사용자에게 역할을 할당합니다.

simple-role-decoder 추가.

/subsystem=elytron/simple-role-decoder=from-roles-attribute:add(attribute=Roles)

이 simple-role-decoder 는 Roles 특성에서 주체 역할을 디코딩합니다. 역할이 다른 특성에 있는 경우 이 값을 변경할 수 있습니다.

security-domain 구성.

/subsystem=elytron/security-domain=exampleFsSD:add(realms=[{realm=exampleFsRealm, role-decoder=from-roles-attribute}], default-realm=exampleFsRealm, permission-mapper=default-permission-mapper)

kerberos -security-factory를 사용하는 http-authentication -factory 를 구성합니다.

/subsystem=elytron/http-authentication-factory=example-krb-http-auth:add(http-server-mechanism-factory=global, security-domain=exampleFsSD, mechanism-configurations=[{mechanism-name=SPNEGO, mechanism-realm-configurations=[{realm-name=exampleFsSD}], credential-security-factory=krbSF}])

undertow 하위 시스템에서 application-security-domain 을 구성합니다.

/subsystem=undertow/application-security-domain=app-spnego:add(http-authentication-factory=example-krb-http-auth)

서버 ID 또는 호스트 보안 도메인을 구성합니다.

이 보안 도메인은 컨테이너 자체를 KDC에 인증합니다. 실제 사용자가 이 연결에 참여하지 않으므로 정적 로그인 메커니즘을 허용하는 로그인 모듈을 사용해야 합니다. 다음 예제에서는 정적 주체를 사용하고 자격 증명을 포함하는 keytab 파일을 참조합니다.

/subsystem=security/security-domain=host:add(cache-type=default)

/subsystem=security/security-domain=host/authentication=classic:add()

/subsystem=security/security-domain=host/authentication=classic/login-module=Kerberos:add(code=Kerberos, flag=required, module-options=[storeKey=true, refreshKrb5Config=true, useKeyTab=true, principal=host/testserver@MY_REALM, keyTab=/home/username/service.keytab, doNotPrompt=true, debug=false])

reload

IBM JDK를 사용하는 경우 Kerberos 모듈에 대한 옵션이 다릅니다. jboss.security.disable.secdomain.option 시스템 속성을 true 로 설정해야 합니다. 자세한 내용은 Configure 관련 시스템 속성 에서 참조하십시오. 또한 로그인 모듈은 다음과 같이 구성해야 합니다.

/subsystem=security/security-domain=host:add(cache-type=default)

/subsystem=security/security-domain=host/authentication=classic:add()

/subsystem=security/security-domain=host/authentication=classic/login-module=Kerberos:add(code=Kerberos, flag=required, module-options=[principal=host/testserver@MY_REALM, keyTab="file:///root/keytab", credsType=acceptor])

reload

Kerberos 로그인 모듈 구성을 위한 전체 옵션 목록은 JBoss EAP 로그인 모듈 참조를 참조하십시오.

웹 애플리케이션 보안 도메인을 구성합니다.

웹 애플리케이션 보안 도메인은 개별 사용자를 KDC에 인증하는 데 사용됩니다. 사용자를 인증하려면 하나 이상의 로그인 모듈이 있어야 합니다. 또한 사용자에게 적용할 역할을 검색하는 방법도 있어야 합니다. 이 작업은 사용자를 역할에 수동으로 매핑하는 <mapping> 을 추가하고 사용자를 역할에 매핑하는 두 번째 로그인 모듈을 추가하는 등 다양한 방법으로 수행할 수 있습니다.

다음은 웹 애플리케이션 보안 도메인의 예를 보여줍니다.

/subsystem=security/security-domain=app-spnego:add(cache-type=default)

/subsystem=security/security-domain=app-spnego/authentication=classic:add()

/subsystem=security/security-domain=app-spnego/authentication=classic/login-module=SPNEGO:add(code=SPNEGO, flag=required, module-options=[serverSecurityDomain=host])

reload

SPNEGO 로그인 모듈 구성을 위한 전체 옵션 목록은 JBoss EAP 로그인 모듈 참조를 참조하십시오.

관련 시스템 속성 구성.

JBoss EAP는 Kerberos 서버 연결과 관련된 시스템 속성을 구성하는 기능을 제공합니다. KDC, Kerberos 도메인 및 네트워크 구성에 따라 다음 시스템 속성이 필요할 수도 있고 그렇지 않을 수도 있습니다.

<system-properties>
  <property name="java.security.krb5.kdc" value="mykdc.mydomain"/>
  <property name="java.security.krb5.realm" value="MY_REALM"/>
  <property name="java.security.krb5.conf" value="/path/to/krb5.conf"/>
  <property name="jboss.security.disable.secdomain.option" value="true"/>
  <property name="sun.security.krb5.debug" value="false"/>
</system-properties>

시스템 속성 구성에 대한 자세한 내용은 JBoss EAP 관리 CLI 가이드를 참조하십시오.