第 2 章 保护托管域
您可以保护受管域控制器与其主机控制器之间的通信。
2.1. 使用 elytron
为域控制器配置密码身份验证
您需要将用户添加到主域控制器,以便从控制器能够以用户身份进行身份验证。从属控制器尝试在主域控制器的 HTTP 接口进行身份验证。
流程
在 master 域控制器上添加用户。使用
add-user
实用程序添加用户名、密码和其他配置。如果 HTTP 接口通过ManagementRealm
Elytron 安全域进行保护,则必须添加用户到ManagementRealm
。注意如果您使用基于文件的默认用户和组身份验证机制,请运行
EAP_HOME/bin/add-user.sh
脚本。注意使用
add-user
实用程序添加用户信息后,服务器会将属性文件的内容缓存在内存中。但是,服务器会检查每个身份验证请求上属性文件修改的时间,并在更新时间时重新加载。这意味着add-user
实用程序所做的所有更改都会立即应用到任何正在运行的服务器。注意管理用户的域的默认名称为
ManagementRealm
。当add-user
实用程序提示输入域名时,您必须接受默认域名;即,除非您切换到不同的域。在从控制器中添加一个
身份验证配置
。以下示例演示了使用用户 slave 和password1!
来添加一个名为slave
身份验证配置
:/host=slave/subsystem=elytron/authentication-configuration=slave:add(authentication-name=slave, credential-reference={clear-text=password1!})
在从控制器中添加
authentication-context
,如下例所示:/host=slave/subsystem=elytron/authentication-context=slave-context:add(match-rules=[{authentication-configuration=slave}])
指定从属控制器中的域控制器位置和
authentication-context
,如下例所示:<domain-controller> <remote protocol="remote" host="localhost" port="9990" authentication-context="slave-context"/> </domain-controller>