Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2. 使用 Kerberos 保护管理接口

除了在安全域中提供 Kerberos 身份验证外,JBoss EAP 还提供使用 Kerberos 保护管理接口的功能。

3.2.1. 使用 Elytron 通过 Kerberos 保护管理接口
复制链接

为 HTTP 管理接口配置 Kerberos 身份验证:

  1. 按照 为应用配置 Kerberos 身份验证 的说明创建执行 Kerberos 身份验证 的 http-authentication-factory

    重要

    使用管理接口配置 Kerberos 身份验证时,务必要密切关注为 JBoss EAP 配置的服务主体,以针对 KDC 进行身份验证。此服务主体采用 service-name/hostname 的形式。在针对基于 Web 管理控制台进行身份验证时,JBoss EAP 要求 HTTP 作为服务名称,如 HTTP/localhost作为 管理 CLI 的服务名称(如 remote/localhost )。

  2. 更新管理 HTTP 接口,以使用 http-authentication-factory

    /core-service=management/management-interface=http-interface:write-attribute(name=http-authentication-factory, value=example-krb-http-auth)

为管理 CLI 配置 SASL 身份验证的 Kerberos 身份验证:

  1. 按照 为应用配置 Kerberos 身份验证 以创建安全域和 kerberos-security-factory 的相同说明。

  2. GSSAPI 添加到 可配置-sasl-server-factory. 

    /subsystem=elytron/configurable-sasl-server-factory=configured:list-add(name=filters, value={pattern-filter=GSSAPI})

  3. 创建一个 sasl-authentication-factory,它使用安全域和 kerberos-security-factory

    示例: sasl-authentication-factory

    /subsystem=elytron/sasl-authentication-factory=example-sasl-auth:add(sasl-server-factory=configured, security-domain=exampleFsSD, mechanism-configurations=[{mechanism-name=GSSAPI, mechanism-realm-configurations=[{realm-name=exampleFsSD}], credential-security-factory=krbSF}])

  4. 更新管理 SASL 接口,以使用 sasl-authentication-factory

    示例:更新 sasl-authentication-factory

    /core-service=management/management-interface=http-interface:write-attribute(name=http-upgrade.sasl-authentication-factory, value=example-sasl-auth)

reload

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部