Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2.2. 使用传统核心管理身份验证使用 Kerberos 保护管理接口

要使用旧的核心管理身份验证在管理接口中启用 Kerberos 身份验证,必须执行以下步骤:

注意

显示的管理 CLI 命令假定您在运行 JBoss EAP 单机服务器。有关将管理 CLI 用于 JBoss EAP 受管域的更多详细信息,请参见 JBoss EAP管理 CLI 指南

  1. 启用相关的系统属性。

    如上一节中所述,启用任何所需的 JBoss EAP 系统属性,以连接 Kerberos 服务器。

  2. 将 Kerberos 服务器身份添加到安全域:

    在安全域中可以使用 Kerberos 身份验证之前,必须先添加与 Kerberos 服务器的连接。以下示例演示了如何将 Kerberos 服务器身份添加到现有的管理域。您需要将 service-name、hostname MY-REALM 替换为适当的值。

    将服务器身份添加到安全域的 CLI 示例

    /core-service=management/security-realm=ManagementRealm/server-identity=kerberos:add()

/core-service=management/security-realm=ManagementRealm/server-identity=kerberos/keytab=service-name\/hostname@MY-REALM:add(path=/home\/username\/service.keytab, debug=true)

reload

    重要

    使用管理接口配置 Kerberos 身份验证时,务必要密切关注为 JBoss EAP 配置的服务主体,以针对 KDC 进行身份验证。此服务主体采用 service-name/hostname 的形式。在针对基于 Web 管理控制台进行身份验证时,JBoss EAP 要求 HTTP 作为服务名称,如 HTTP/localhost作为 管理 CLI 的服务名称(如 remote/localhost )。

  3. 更新安全域中的身份验证方法。

    正确配置了 Kerberos 服务器身份后,需要更新安全域中的身份验证方法以使用它。

    示例:在安全域中添加 Kerberos 身份验证

    /core-service=management/security-realm=ManagementRealm/authentication=kerberos:add()

reload

    重要

    根据您在安全域中定义的身份验证机制的顺序,JBoss EAP 在访问管理接口时将尝试按该顺序对用户进行身份验证。

  4. 通过 Kerberos 保护这两个接口.

    如果您想同时使用 Kerberos 保护基于 Web 的管理控制台和管理 CLI,则需要为每个 Kerberos 配置 Kerberos 服务器身份。若要添加其他身份,可使用以下命令: 

    /core-service=management/security-realm=ManagementRealm/server-identity=kerberos/keytab=remote\/hostname@MY-REALM:add(path=/home\/username\/remote.keytab, debug=true)

reload
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部