5장. 레거시 코어 관리 및 보안 하위 시스템 예제 시나리오
JBoss EAP 보안과 해당 구성 요소가 어떻게 상호 작용하는지 이해하는 한 가지 방법은 실제 시나리오를 검토하는 것입니다. 다음 섹션에서는 다양한 JBoss EAP 보안 구성 요소 및 구성 옵션이 포함된 일반적인 몇 가지 현실 상황에 대해 설명합니다. 애플리케이션 또는 애플리케이션 집합이 보안되는 방법과 관리 인터페이스를 보호하는 방법에 중점을 둡니다.
5.1. Red Hat JBoss Enterprise Application Platform out out the Box
이 시나리오는 초기 설치 후 구성을 변경하지 않은 경우 JBoss EAP 및 샘플 애플리케이션을 보호하는 방법을 보여줍니다. 애플리케이션 sampleApp1.war
는 컨테이너 기반 보안을 사용하도록 배포 및 구성됩니다.
5.1.1. 박스에서 코어 관리 인증
5.1.1.1. 보안
Core Management Authentication은 기본적으로 두 개의 사전 구성된 보안 영역을 제공합니다. ManagementRealm
및 ApplicationRealm
. 이러한 영역은 속성 파일을 사용하여 사용자 이름, 암호 및 역할을 저장합니다. 인증 정보와 관리 API를 저장하는 데 사용되는 ManagementRealm
은 또한 JBoss EAP 인스턴스와 동일한 호스트에서 CLI를 사용하는 사용자에 대한 로컬 인증을 정의하고 활성화합니다. The ApplicationRealm
은 인증 및 권한 부여 정보를 저장하지만 관리 API 이외의 다른 애플리케이션과 사용하도록 사전 구성되어 있습니다. 또한 ApplicationRealm
은 로컬 인증이 활성화된 사전 구성되어 있지만 일반적으로 사용되지 않습니다.
5.1.1.2. 작동 방식
이 시나리오의 경우 다음 사용자가 JBoss EAP의 기본 설치에 추가되었습니다.
사용자 이름 | 암호 | 역할 | 보안 영역 |
---|---|---|---|
수전 | Testing123! | ManagementRealm | |
Sarah | Testing123! | 샘플 | ApplicationRealm |
임페어 | Testing123! | ApplicationRealm |
시작 시 JBoss EAP 인스턴스는 ManagementRealm
및 ApplicationRealm
보안 영역을 로드합니다.
Susan이 관리 인터페이스(HTTP 또는 CLI) 중 하나에 액세스하려고 하면 인증이 필요합니다. 사용자 이름, 암호 및 역할은 ManagementRealm
보안 영역의 항목과 일치해야 합니다. 기본적으로 관리 API에 액세스하는 데 역할이 필요하지 않습니다. Sarah와 domain은 ManagementRealm
보안 영역에 있지 않기 때문에 관리 API에 액세스할 수 없습니다.
5.1.2. 박스에서 보안 하위 시스템
5.1.2.1. 보안
보안
하위 시스템은 other
,jboss-web-policy, jboss-
및 ejb-policy
jaspitest
의 네 가지 보안 도메인으로 사전 구성됩니다. other
보안 도메인은 기본적으로 ApplicationRealm
을 사용하는 로그인 모듈에 지정된 영역에 위임하여 인증 및 권한 부여를 수행합니다.
기본 보안 영역 및 기본 보안 도메인에 대한 자세한 내용은 Security Cryostat 및 Security Domains 섹션에서 확인할 수 있습니다.
5.1.2.2. 작동 방식
애플리케이션 sampleApp1.war
에는 /hello.html 및
이라는 두 개의 HTML 파일이 있으며 기본 HTTP 인증을 사용하여 /secure/hello.
html/secure/*
경로를 보호합니다. other
보안 도메인을 사용하며 샘플
의 역할이 필요합니다. 인증 및 권한 부여 정보는 다른
보안 도메인의 ApplicationRealm
을 지연하므로 이전 섹션의 사용자
테이블에 있는 사용자를 참조하십시오.
Sarah가 /hello.html
을 요청하면 인증하지 않고 페이지를 볼 수 있습니다. Sarah가 /secure/hello.html
을 요청하려고 하면 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다. 로그인 후 /secure/hello.html
을 볼 수 있습니다. redhat 및 Susan 또는 모든 사용자는 /hello.html
에 액세스할 수 있지만 /secure/hello.html
에 액세스할 수는 없습니다. 샘플
역할이 없으며 Susan은 ApplicationRealm
보안 영역에 없습니다.