Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2. 管理用户

默认 JBoss EAP 配置提供本地身份验证,让用户可以访问本地主机上的管理 CLI,而无需身份验证。

但是,如果您要远程访问管理 CLI,则必须添加管理用户,或使用管理控制台,即使流量来自本地主机上也被视为远程访问。如果在添加管理用户之前尝试访问管理控制台,您会收到错误消息。

如果使用图形安装程序安装 JBoss EAP,则在安装过程中创建管理用户。

本指南介绍了使用 add-user 脚本对 JBoss EAP 进行简单的用户管理,此脚本可用于将新用户添加到用于开箱即用身份验证的属性文件中。

有关更高级的身份验证和授权选项,如 LDAP 或基于角色的访问控制(RBAC),请参见 JBoss EAP 安全架构核心管理身份验证部分。

3.2.1. 添加管理用户
复制链接

  1. 运行 add-user 实用程序脚本并按照提示进行操作。 

    $ EAP_HOME/bin/add-user.sh
    Copy to Clipboard Toggle word wrap
    注意

    对于 Windows Server,请使用 EAP_HOME\bin\add-user.bat 脚本。

  2. ENTER,选择默认选项 a 以添加管理用户。

    此用户将添加到 ManagementRealm 中,并将获得使用管理控制台或管理控制台执行管理操作的授权。另一个选择 b 将用户添加到 ApplicationRealm 中,该应用程序用于应用程序,不提供任何特定权限。

  3. 输入所需的用户名和密码。系统将提示您确认密码。

    注意

    用户名只能以任何数字和顺序包含以下字符:

    • 字母数字字符(a-z、A-Z、0-9)
    • 短划线(-)、句点(.)、逗号(@)
    • 反斜杠(\)
    • 等号 (=)

    默认情况下,JBoss EAP 允许弱密码,但会发出警告。

    有关更改此默认行为的详情,请参阅 设置附加用户实用程序密码限制

  4. 输入以逗号分隔的用户所属组的列表。如果您不希望用户属于任何组,请按 ENTER 将它留空。
  5. 检查信息并输入 yes 进行确认。

  6. 确定此用户是否代表远程 JBoss EAP 服务器实例。对于基本管理用户,请输入 no.

    可能需要添加到 ManagementRealm 的一种用户是代表另一个 JBoss EAP 实例的用户,它必须能够进行身份验证以作为群集成员加入。如果出现这种情况,则在此提示中回答 yes,系统会为您提供一个表示用户密码的散列化机密值,该值需要添加到其他配置文件中。

也可以通过向 add-user 脚本传递参数,以非交互方式创建用户。共享系统上不建议使用此方法,因为密码将在日志和历史记录文件中可见。如需更多信息,请参阅使用非交换方式运行 Add-User 实用程序

3.2.2. 使用交换方式运行 Add-User 实用程序
复制链接

您可以通过在命令行中传递参数,以非交互方式运行 add-user 脚本。必须至少提供用户名和密码。

警告

共享系统上不建议使用此方法,因为密码将在日志和历史记录文件中可见。

创建一个属于多个组的用户

以下命令添加了一个管理用户, mgmtuser1,它带有 guestmgmtgroup 组。 

$ EAP_HOME/bin/add-user.sh -u 'mgmtuser1' -p 'password1!' -g 'guest,mgmtgroup'
Copy to Clipboard Toggle word wrap
指定替代属性文件

默认情况下,使用 add-user 脚本创建的用户和组信息存储在服务器配置目录中的属性文件中。

用户信息存储在以下属性文件中:

  • EAP_HOME/standalone/configuration/mgmt-users.properties
  • EAP_HOME/domain/configuration/mgmt-users.properties

组信息存储在以下属性文件中:

  • EAP_HOME/standalone/configuration/mgmt-groups.properties
  • EAP_HOME/domain/configuration/mgmt-groups.properties

这些默认目录和属性文件名可以被覆盖。以下命令添加新用户,为用户属性文件指定不同的名称和位置。 

$ EAP_HOME/bin/add-user.sh -u 'mgmtuser2' -p 'password1!' -sc '/path/to/standaloneconfig/' -dc '/path/to/domainconfig/' -up 'newname.properties'
Copy to Clipboard Toggle word wrap

新用户已添加到位于 /path/to /standaloneconfig/newname.properties/path/to /domainconfig/newname.properties 的用户属性文件中。请注意,这些文件必须已经存在,否则您将看到错误。

有关所有可用 add-user 参数及其目的的完整列表,请使用 --help 参数或查看 Add-user 参数 部分。

3.2.3. 附加用户实用程序密码限制
复制链接

可以使用 EAP_HOME/bin/add -user.properties 文件配置 add -user 实用程序脚本的密码限制。

重要

add-user.properties 文件是一个未受保护的纯文本文件,必须加以保护,以避免对其内容进行不必要的访问。

要避免设置不需要的密码,请检查键盘的系统键映射是否正确。默认系统键映射为 en-qwerty。如果更改此默认设置并创建新密码,您必须检查密码是否满足类 SimplePasswordStrengthChecker 中的条件

默认情况下,JBoss EAP 允许弱密码,但会发出警告。要拒绝不满足指定最低要求的密码,请将 password.restriction 属性设置为 REJECT

下表描述了可在 EAP_HOME/bin/add-user.properties 文件中配置的额外密码要求设置:

Expand
表 3.1. 额外密码要求设置
属性描述

minLength

密码的最少字符数.例如,password .restriction.minLength=8 将密码限制为最少 8 个字符。

strength

设置密码必须满足的阈值才有效。有效的阈值条目包括:

* VERY_WEAK

*

* 中等

* 中

* 强

* VERY_STRONG

* 例外

默认值为 MODERATE。定义了阈值,并且定义了类 SimplePasswordStrengthChecker 中指定的默认值。

注意:如果您没有指定阈值,MODE RATE 将成为默认值。这个值在类 SimplePasswordStrengthChecker 中指定。

minAlpha

为密码设置的最少字母字符数。例如,password.restriction.minAlpha=1 将密码限制为至少包含一个字母字符。

minDigit

为密码设置的最小数字字符数.例如,password.restriction.minDigit=1 将密码限制为至少包含一个数字字符。

minSymbol

为密码设置的最少符号数。例如,password.restriction.minSymbol=1 将密码限制为至少包含一个符号。

forbiddenValue

限制用户设置易于确定的密码,如 root。例如,password .restriction.forbidden=root、admin、administrators 限制 设置 root、admin admin 作为密码。

mustNotMatchUsername

限制用户将其用户名设置为密码。例如,password.restriction.mustNotMatchUsername=TRUE 限制用户将其用户名设置为密码。如果设置为 false,则忽略此规则。

其它资源

请参阅红帽客户门户网站 中的配置基本系统设置 指南。

3.2.4. 更新管理用户
复制链接

您可以使用 add-user 实用程序脚本在提示时输入用户名来更新现有管理用户的设置。 

$ EAP_HOME/bin/add-user.sh

What type of user do you wish to add?
 a) Management User (mgmt-users.properties)
 b) Application User (application-users.properties)
(a): a

Enter the details of the new user to add.
Using realm 'ManagementRealm' as discovered from the existing property files.
Username : test-user
User 'test-user' already exists and is enabled, would you like to...
 a) Update the existing user password and roles
 b) Disable the existing user
 c) Type a new username
(a):
Copy to Clipboard Toggle word wrap

当您输入已存在的用户名时,会显示几个选项:

  • 键入 a 以更新现有用户的密码。
  • 键入 b 以禁用现有用户。
  • c 键输入新用户名。
警告

以非交互方式使用 add-user 脚本更新用户时,用户会自动更新,无需确认提示。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat