5.6. ManagementRealm으로 LDAP 사용
이 시나리오에는 관리 인터페이스 보안을 위해 LDAP를 사용하여 ManagementRealm
이 표시됩니다. JBoss EAP 인스턴스는 생성되었으며 독립 실행형 서버로 실행되고
있습니다. EAP1
의 ManagementRealm
도 인증 및 권한 부여 메커니즘으로 LDAP를 사용하도록 업데이트되었습니다.
5.6.1. 보안
JBoss EAP는 보안 영역의 인증을 위해 LDAP 및 Kerberos 사용을 지원합니다. 이 작업은 기존 ManagementRealm
을 업데이트하여 인증 유형으로 ldap
를 사용하고 LDAP 서버에 대한 아웃바운드 연결을 생성합니다. 이렇게 하면 인증 메커니즘이 다이제스트
에서 BASIC / Plain
으로 변경되고 기본적으로 네트워크에서 사용자 이름과 암호를 전송합니다.
5.6.2. 작동 방식
다음 사용자가 LDAP 디렉터리에 추가되었습니다.
사용자 이름 | 암호 | 역할 |
---|---|---|
마케도니아 | samplePass | 수퍼유저 |
Sam | samplePass |
시작 시 EAP1
은 ManagementRealm
및 관리 인터페이스를 포함한 핵심 서비스를 로드합니다. ManagementRealm
은 LDAP 디렉터리 서버에 연결하고 필요에 따라 관리 인터페이스에 대한 인증을 제공합니다.
자신이 관리 인터페이스에 액세스하려고 하면 강제로 인증됩니다. 자격 증명은 인증에 LDAP 디렉터리 서버를 사용하는 ManagementRealm
보안 영역으로 전달됩니다. EAP1
은 인증 후 기본 단순 액세스 제어를 사용하므로, 플레이버의 역할은 확인되지 않으며 액세스 권한이 부여됩니다. Sam이 관리 인터페이스에 액세스를 시도하면 동일한 프로세스가 발생합니다.
RBAC가 인증된 후 RBAC가 활성화되면 인증을 위해 자신의 역할을 관리 인터페이스로 다시 전달합니다. jboss에는 SuperUser
역할이 있으므로 관리 인터페이스에 대한 액세스 권한이 부여됩니다. Sam이 RBAC를 활성화한 상태로 관리 인터페이스에 액세스하려고 하면 LDAP를 통해 인증되지만 적절한 역할이 없으므로 액세스가 거부됩니다.