红帽全球峰会6.4. 远程访问 Jakarta Enterprise Beans
向客户端添加安全以远程调用 Jakarta 企业 Bean 的一种方式是使用安全域。安全域是用户名/密码对和用户名/角色对的简单数据库。术语也用于 Web 容器的上下文,其含义略有不同。
要针对 Jakarta Enterprise Beans 验证安全域中存在的特定用户名/密码对,请按照以下步骤执行:
- 将新的安全域添加到域控制器或单机服务器。
配置
wildfly-config.xml文件,该文件位于应用程序的类路径中,如下例所示:Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 在使用新安全域的域或单机服务器上创建自定义远程连接器。
- 将 Jakarta Enterprise Beans 部署到服务器组,该组配置为将配置集与自定义远程连接器搭配使用,如果您不使用受管域,则部署到您的单机服务器。
6.4.2. 添加新安全域
运行管理 CLI:
执行
jboss-cli.sh或jboss-cli.bat脚本并连接到服务器。创建新的安全域本身:
运行以下命令,在域控制器或单机服务器上创建一个名为
MyDomainRealm的新安全域:对于域实例,使用以下命令:
/host=master/core-service=management/security-realm=MyDomainRealm:add()
/host=master/core-service=management/security-realm=MyDomainRealm:add()Copy to Clipboard Copied! Toggle word wrap Toggle overflow 对于独立实例,使用以下命令:
/core-service=management/security-realm=MyDomainRealm:add()
/core-service=management/security-realm=MyDomainRealm:add()Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建名为
myfile.properties的属性文件:对于单机实例,创建一个
EAP_HOME/standalone/configuration/myfile.properties文件,并为域实例创建EAP_HOME/domain/configuration/myfile.properties文件。这些文件需要具有文件所有者的读取和写入权限。chmod 600 myfile.properties
$ chmod 600 myfile.propertiesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建对存储有关新角色信息的属性文件的引用:
运行以下命令,以创建指向
myfile.properties文件的指针,该文件将包含与新角色相关的属性:注意属性文件不会由附带的
add-user.sh和add-user.bat脚本创建。它必须在外部创建。对于域实例,使用以下命令:
/host=master/core-service=management/security-realm=MyDomainRealm/authentication=properties:add(path=myfile.properties)
/host=master/core-service=management/security-realm=MyDomainRealm/authentication=properties:add(path=myfile.properties)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 对于独立实例,使用以下命令:
/core-service=management/security-realm=MyDomainRealm/authentication=properties:add(path=myfile.properties)
/core-service=management/security-realm=MyDomainRealm/authentication=properties:add(path=myfile.properties)Copy to Clipboard Copied! Toggle word wrap Toggle overflow
您的新安全域已创建好。将用户和角色添加到这一新域时,信息将存储在独立于默认安全域的文件中。您可以使用自己的应用程序或程序来管理此新文件。
在使用 add-user.sh 脚本将用户添加到 application-users.properties 以外的非默认文件时,您必须向其传递参数 --user-properties myfile.properties,否则它将尝试使用 application-users.properties。
6.4.3. 将用户添加到安全域
-
运行
add-user脚本。打开一个终端,并将目录更改到EAP_HOME/bin/目录。如果您在红帽企业 Linux 或任何其他类 UNIX 操作系统上,请运行add-user.sh。如果您在 Windows Server 上,请运行add-user.bat。 -
选择是否添加管理用户或应用程序用户。对于这个过程,键入
b来添加应用程序用户。 -
选择要添加用户的域。默认情况下,唯一可用的域是
ApplicationRealm。如果您添加了自定义域,您可以改为将用户添加到该域。 -
出现提示时,键入用户名、密码和角色。出现提示时,键入所需的用户名、密码和可选角色。通过键入
yes 或键入 no以取消更改来验证您的选择。更改写入到安全域的每个属性文件中。
6.4.4. 安全域和安全域之间的关系
若要通过安全域保护 Jakarta Enterprise Beans,他们必须使用配置为从安全域检索用户凭据的安全域。这意味着域需要包含 Remoting 和 RealmDirect 登录模块。通过 @SecurityDomain 注释来分配安全域,该注释可应用于 Jakarta Enterprise Beans。
其他 安全域从底层安全域检索用户和密码数据。如果 Jakarta Enterprise Beans 没有 @SecurityDomain 注释,但 Jakarta Enterprise Beans 包含任何其他安全相关注释,则此安全域是默认域。
底层 http-remoting 连接器 (供客户端用于建立连接)决定了使用哪个安全域。有关 http-remoting 连接器 的更多信息,请参阅 JBoss EAP 配置指南中 的关于删除 子系统 的更多信息。
可以通过这种方式更改默认连接器的安全域:
/subsystem=remoting/http-connector=http-remoting-connector:write-attribute(name=security-realm,value=MyDomainRealm)
/subsystem=remoting/http-connector=http-remoting-connector:write-attribute(name=security-realm,value=MyDomainRealm)6.4.5. 关于使用 SSL 加密的远程 Jakarta Enterprise Beans 访问
默认情况下,EJB2 和 Jakarta Enterprise Beans3 Beans3 Beans3 Bean 的远程方法调用(RMI)的网络流量不会被加密。在需要加密的实例中,可以使用安全套接字层(SSL),以便加密客户端和服务器之间的连接。使用 SSL 还增加了允许网络流量遍历某些防火墙的好处,具体取决于防火墙配置。
红帽建议显式禁用 SSLv2、SSLv3 和 TLSv1.0,以便在所有受影响的软件包中明确禁用 TLSv1.1 或 TLSv1.2。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}