附录 A. 参考资料
A.1. Elytron 子系统组件参考
属性 | 描述 |
---|---|
prefix | 要添加到每个角色的前缀。 |
属性 | 描述 |
---|---|
suffix | 要添加到各个角色的后缀。 |
属性 | 描述 |
---|---|
http-server-mechanism-factories | 要聚合的 HTTP 服务器工厂列表。 |
属性 | 描述 |
---|---|
principal-decoders | 要聚合的主体解码器列表。 |
属性 | 描述 |
---|---|
principal-transformers | 要聚合的主体转换器列表。 |
属性 | 描述 |
---|---|
providers |
要聚合的引用 |
属性 | 描述 |
---|---|
authentication-realm | 引用用于身份验证步骤的安全域。这用于获取或验证凭证。 |
authorization-realm | 引用用于加载授权步骤的身份的安全域。 |
authorization-realms | 引用安全域,以聚合用于加载授权步骤的身份。 有关使用多个授权域的详情,请参考 如何配置身份管理指南中的使用多个身份存储配置身份验证和授权。 |
authorization-realm
和 authorization-realms
属性是互斥的。在域中仅定义两个属性中的一个。
属性 | 描述 |
---|---|
role-mappers | 要聚合的角色映射器列表。 |
属性 | 描述 |
---|---|
sasl-server-factories | 要聚合的 SASL 服务器工厂列表。 |
属性 | 描述 |
---|---|
匿名 |
如果允许 |
authentication-name | 要使用的身份验证名称。 |
authorization-name | 要使用的授权名称。 |
credential-reference |
用于身份验证的凭据。这可以是明文,也可以是对存储在凭据存储中的 |
extends | 扩展的现有身份验证配置。 |
主机 | 要使用的主机。 |
kerberos-security-factory | 参考用于获取 GSS kerberos 凭证的 Kerberos 安全工厂。 |
mechanism-properties | SASL 身份验证机制的配置属性。 |
port | 要使用的端口。 |
protocol | 要使用的协议. |
realm | 要使用的域。 |
sasl-mechanism-selector |
SASL 机制选择器字符串。有关 |
security-domain | 引用安全域以获取转发身份。 |
属性 | 描述 |
---|---|
extends | 要扩展的现有身份验证上下文。 |
match-rules | 针对此身份验证上下文与 匹配的规则。 |
属性 | 描述 |
---|---|
authentication-configuration | 引用用于成功匹配的身份验证配置。 |
match-abstract-type | 要匹配的抽象类型。 |
match-abstract-type-authority | 要匹配的抽象类型权威。 |
match-host | 要匹配的主机。 |
match-local-security-domain | 要匹配的本地安全域。 |
match-no-user |
如果为 |
match-path | 要匹配的补丁。 |
match-port | 要匹配的端口。 |
match-protocol | 要匹配的协议。 |
match-urn | 要匹配的 URN。 |
match-user | 要匹配的用户。 |
ssl-context |
引用用于成功匹配的 |
属性 | 描述 |
---|---|
maximum-age |
项目可在缓存中保留的时间(毫秒)。 |
maximum-entries |
要在缓存中保留的最大条目数。默认值为 |
realm |
对可缓存的安全域的引用,如 |
属性 | 描述 |
---|---|
upper-case |
可选属性,将主转换器的名称转换为大写字符(设置为 |
属性 | 描述 |
---|---|
alias |
密钥存储中证书颁发机构帐户密钥的别名。如果密钥存储中尚不存在别名,则会自动生成证书颁发机构帐户密钥,并将其存储为别名下的 |
certificate-authority |
要使用的证书颁发机构的名称。默认值为 |
contact-urls | 证书认证机构可以就与此帐户相关的问题联系的 URL 列表。 |
credential-reference | 访问证书颁发机构帐户密钥时使用的凭证。 |
key-store | 包含证书颁发机构帐户密钥的密钥存储。 |
属性 | 描述 |
---|---|
principal-transformers | 到链的主要转换器列表. |
属性 | 描述 |
---|---|
cipher-suite-filter |
要应用的过滤器来指定启用的密码套件。此过滤器取以冒号、逗号或空格分隔的项目列表。每个项目可以是 OpenSSL 样式的密码套件名称、标准 SSL/TLS 密码套件名称,也可以是关键字,如 |
key-manager |
引用 |
协议 |
启用的协议。允许的选项: 警告 红帽建议显式禁用 SSLv2、SSLv3 和 TLSv1.0,以便在所有受影响的软件包中明确禁用 TLSv1.1 或 TLSv1.2。 |
provider-name | 要使用的供应商的名称。如果未指定,则来自提供程序的所有提供程序都将传递到 SSLContext。 |
providers |
要获取用于加载 |
session-timeout | SSL 会话的超时时间。 |
trust-manager |
引用 |
属性 | 描述 |
---|---|
joiner |
用于加入 |
principal-decoders | 要连接的主要解码器列表。 |
属性 | 描述 |
---|---|
过滤器 | 要应用的过滤器列表,以便根据名称启用或禁用机制。 |
http-server-mechanism-factory | 引用要包装的 http 服务器工厂。 |
属性 | 要传递给 HTTP 服务器工厂调用的自定义属性。 |
属性 | 描述 |
---|---|
pattern-filter | 基于正则表达式模式进行过滤. |
启用 |
如果为 |
属性 | 描述 |
---|---|
过滤器 |
要按顺序评估的过滤器列表,并使用 |
属性 | 要传递给 SASL 服务器工厂调用的自定义属性。 |
protocol | 创建机制时,协议传递到工厂。 |
sasl-server-factory | 参考要包装的 SASL 服务器工厂. |
server-name | 创建机制时传递到工厂的服务器名称。 |
属性 | 描述 |
---|---|
启用 |
如果为 |
predefined-filter |
用于过滤机制名称的预定义过滤器。允许的值有 |
pattern-filter | 基于正则表达式的机制名称的过滤器。 |
属性 | 描述 |
---|---|
permission-sets | 匹配项时要分配的权限集。权限集可用于为身份分配权限。
注意
|
属性 | 描述 |
---|---|
恒定 | 主体解码器将始终返回的恒定值。 |
属性 | 描述 |
---|---|
恒定 | 这个主要转换器始终会返回的恒定值。 |
属性 | 描述 |
---|---|
realm-name | 对将返回的域的引用。 |
属性 | 描述 |
---|---|
roles | 将返回的角色列表。 |
属性 | 描述 |
---|---|
create |
指定凭证存储是否应在不存在时创建存储。默认值为 |
credential-reference |
对用于创建保护参数的凭据的引用。这可以是明文,也可以是对存储在凭据存储中的 |
实施属性 | 凭据的映射存储特定于实施的属性。 |
modifiable |
能否修改凭证存储。默认值为 |
other-providers | 要获取供应商的名称,在凭证存储中创建所需的 Jakarta Connectors 对象。这只适用于基于密钥存储的凭据存储。如果未指定,则改为使用全局供应商列表。 |
path | 凭证存储的文件名。 |
provider-name |
用于实例化 |
providers | 要获取供应商的名称,以搜索可创建所需凭据存储类型。如果未指定,则改为使用全局供应商列表。 |
relative-to | 此凭证存储路径相对于的基本路径。 |
type |
凭据存储的类型,如 |
属性 | 描述 |
---|---|
entry-type | 存储在凭据存储中的凭证条目类型。 |
secret-value | secret 值,如 password。 |
属性 | 描述 |
---|---|
cryptoAlg |
用于加密外部存储上的条目的密码算法名称。此属性仅在启用了 |
external |
指定数据是否存储到外部存储并由 |
externalPath |
指定到外部存储的路径。此属性仅在启用了 |
keyAlias | 凭据存储中的机密密钥别名,用于存储用于加密或解密数据到外部存储。 |
keyStoreType |
密钥存储类型,如 |
属性 | 描述 |
---|---|
class-name | 实施自定义安全工厂的类名称。 |
配置 | 自定义安全工厂的可选键和值配置。 |
module | 用于加载自定义安全工厂的模块。 |
属性 | 描述 |
---|---|
class-name | 自定义域实施的类名称。 |
配置 | 自定义域的可选键和值配置。 |
module | 用于加载自定义域的模块。 |
属性 | 描述 |
---|---|
class-name | 权限映射器的完全限定类名称。 |
配置 | 权限映射器的可选键和值配置。 |
module | 用于加载权限映射器的模块名称。 |
属性 | 描述 |
---|---|
class-name | 主体解码器的完全限定类名称。 |
配置 | 主体解码器的可选键和值配置。 |
module | 用于加载主体解码器的模块名称。 |
属性 | 描述 |
---|---|
class-name | 主体转换器的完全限定类名称。 |
配置 | 主体转换器的可选键和值配置。 |
module | 用于载入主体转换器的模块名称。 |
属性 | 描述 |
---|---|
class-name | 自定义域的完全限定域名。 |
配置 | 自定义域的可选键和值配置。 |
module | 用于加载自定义域的模块名称。 |
属性 | 描述 |
---|---|
class-name | 域映射程序的完全限定域名。 |
配置 | 域映射程序的可选键和值配置。 |
module | 用于加载 realm 映射器的模块名称。 |
属性 | 描述 |
---|---|
class-name | 角色解码器的完全限定类名称。 |
配置 | 角色解码器的可选键和值配置。 |
module | 用于加载角色解码器的模块名称。 |
属性 | 描述 |
---|---|
class-name | 角色映射程序的完全限定域名。 |
配置 | 角色映射程序的可选键和值配置。 |
module | 用于加载角色映射程序的模块名称。 |
属性 | 描述 |
---|---|
authentication-context |
获取用于连接 LDAP 服务器的登录凭据的身份验证上下文。如果 |
authentication-level |
要使用的身份验证级别,即安全级别或身份验证机制。对应于 |
connection-timeout | 以毫秒为单位连接到 LDAP 服务器的超时。 |
credential-reference |
用于进行身份验证并连接到 LDAP 服务器的凭据引用。如果 |
enable-connection-pooling |
如果启用了 |
module | 用作类加载基础的模块名称。 |
主体 |
验证并连接到 LDAP 服务器的主体。如果 |
属性 |
|
read-timeout | LDAP 操作的读取超时(以毫秒为单位)。 |
referral-mode |
用于确定是否应遵循引用的模式。允许的值是 FOLLOW |
ssl-context | 用于安全连接到 LDAP 服务器的 SSL 上下文的名称。 |
url | 连接 URL。 |
属性 | 描述 |
---|---|
default-resolver |
可选属性。当在没有加密表达式的情况下,要使用的解析器使用。例如,如果您将 "exampleResolver" 设置为 |
prefix |
在加密表达式中使用的前缀。默认为 |
解析器 | 定义的解析器列表。解析器有以下属性:
|
属性 | 描述 |
---|---|
编码 | 身份名称是否应以文件名形式存储编码(Base32)。 |
级 |
要应用的目录散列数量。默认值为 |
path | 包含域的文件的路径。 |
relative-to |
与 |
属性 | 描述 |
---|---|
alias-filter |
用于应用到从
注意
|
key-store |
对要过滤的 |
属性 | 描述 |
---|---|
算法 | 指定加密算法,如 RSA、DSA 或 EC。默认值为 RSA。 |
size |
以位为单位指定私钥的大小。密钥对类型的默认大小值如下:RSA 为 |
属性 | 描述 |
---|---|
http-server-mechanism-factory |
|
mechanism-configurations | 特定于机制的配置列表。 |
security-domain | 与此资源关联的安全域。 |
属性 | 描述 |
---|---|
credential-security-factory | 用于根据机制要求获取凭证的安全因素。 |
final-principal-transformer | 应用于此机制域的最后一个主要转换器。 |
host-name | 此配置应用到的主机名。 |
mechanism-name | 此配置仅应用使用指定名称的机制。如果省略此属性,则它将匹配任何机制名称。 |
mechanism-realm-configurations | 机制理解的 realm 名称的定义列表。 |
pre-realm-principal-transformer | 在选择了域前应用主体转换器。 |
post-realm-principal-transformer | 选择域后要应用的主体转换器。 |
protocol | 此配置适用的协议。 |
realm-mapper | 机制使用的 realm mapper。 |
属性 | 描述 |
---|---|
final-principal-transformer | 应用于此机制域的最后一个主要转换器。 |
post-realm-principal-transformer | 选择域后要应用的主体转换器。 |
pre-realm-principal-transformer | 在选择了域前应用主体转换器。 |
realm-mapper | 机制使用的 realm mapper。 |
realm-name | 要按机制显示的域的名称。 |
属性 | 描述 |
---|---|
attribute-name | 与这个身份关联的属性名称。 |
attribute-values | 与 identity 属性关联的值列表。 |
identity | 安全域中提供的身份。 |
属性 | 描述 |
---|---|
key-passphrase | 可选属性。设置密码短语来解密私钥。 |
private-key-location |
包含私钥的文件的路径。只有您尚未指定 |
private-key-string |
将私钥设置为字符串。只有您尚未指定 |
public-key-location |
如果私钥采用 OpenSSH 以外的任何格式,则需要此项。包含公钥的文件的路径。只有您尚未指定 |
public-key-string |
如果私钥采用 OpenSSH 以外的任何格式,则需要此项。将公钥设置为字符串。只有您尚未指定 |
属性 | 描述 |
---|---|
application-context |
在将此配置注册到 |
description |
用于向 |
层 |
在将此配置注册到 |
name | 允许在管理模型中引用资源的名称。 |
属性 | 描述 |
---|---|
class-name |
|
flag | 指示此模块如何与其他模块相关的控制标记。 |
module |
从中加载 |
options |
在初始化时要传递到 |
属性 | 描述 |
---|---|
principal-query | 用于根据特定密钥类型验证用户身份的身份验证查询列表。 |
属性 | 描述 |
---|---|
attribute-mapping | 为这个资源定义的属性映射列表。 |
bcrypt-mapper |
密钥映射器,用于将从 SQL 查询返回的列映射到 |
clear-password-mapper |
密钥映射程序将从 SQL 查询返回的列映射到明文密钥类型。它具有 |
data-source | 用于连接到数据库的数据源的名称。 |
salted-simple-digest-mapper |
密钥映射器,用于将从 SQL 查询返回的列映射到 |
scram-mapper |
密钥映射器,用于将从 SQL 查询返回的列映射到 |
simple-digest-mapper |
键映射映射从 SQL 查询返回的列到 |
sql | 用于获取特定用户表列的密钥的 SQL 语句,并使用其类型对其进行映射。 |
属性 | 描述 |
---|---|
index | 列索引中代表映射属性的查询。 |
至 | 从从 SQL 查询返回的一列映射的身份属性的名称。 |
属性 | 描述 |
---|---|
iteration-count-index | 列索引中代表密码迭代计数(如果受支持)。 |
password-index | 列从代表用户密码的身份验证查询的索引。 |
salt-index | 列从代表密码 salt 的身份验证查询的索引(如果受支持)。 |
属性 | 描述 |
---|---|
算法 |
特定密码密钥映射器的算法。允许的值是 |
password-index | 列从代表用户密码的身份验证查询的索引。 |
salt-index | 列从代表密码 salt 的身份验证查询的索引(如果受支持)。 |
属性 | 描述 |
---|---|
算法 |
特定密码密钥映射器的算法。允许的值是 |
password-index | 列从代表用户密码的身份验证查询的索引。 |
属性 | 描述 |
---|---|
算法 |
特定密码密钥映射器的算法。允许的值有 |
iteration-count-index | 列索引中代表密码迭代计数(如果受支持)。 |
password-index | 列从代表用户密码的身份验证查询的索引。 |
salt-index | 列从代表密码 salt 的身份验证查询的索引(如果受支持)。 |
属性 | 描述 |
---|---|
debug |
如果为 |
mechanism-names |
凭据应使用的机制名称。名称将转换为 OID,并与 |
mechanism-oids | 凭证应当可供使用的机制 OID 列表。 |
minimum-remaining-lifetime | 在重新创建缓存凭证前,缓存凭证的时间(以秒为单位)。 |
obtain-kerberos-ticket |
如果 |
options |
|
path | 要加载的 keytab 的路径,以获取凭证。 |
主体 | keytab 代表的主体。 |
relative-to | 到 keytab 的相对路径。 |
request-lifetime | 为新创建的凭证请求多少生命周期。 |
required | 当服务启动时,带有适当的主体的 keytab 文件是否需要存在。 |
server |
如果为 |
wrap-gss-credential | 是否应该换行 GSS 凭证以防止不当使用。 |
属性 | 描述 |
---|---|
算法 |
用于创建底层的 |
alias-filter | 适用于从密钥存储返回的别名的过滤器。这可以是逗号分隔的别名列表,用于返回或以下格式之一:
|
credential-reference |
用于解密密钥存储项目的凭据引用。这可以以明文形式指定,也可以作为存储在 credentials |
key-store |
对用于初始化底层 |
provider-name |
用于创建底层的 |
providers |
参考以获取创建底层 |
属性 | 描述 |
---|---|
alias-filter | 要应用到密钥存储返回的别名的过滤器,可以是逗号分隔的别名列表,可以返回或以下格式之一:
注意
|
credential-reference |
用于访问密钥存储的密码。这可以以明文形式指定,也可以作为存储在 credentials |
path | 密钥存储文件的路径。 |
provider-name | 用于加载密钥存储的供应商名称。设置此属性将禁用搜索可以创建指定类型的密钥存储的第一个提供程序。 |
providers | 对应该用来获取搜索的供应商实例列表的引用。如果未指定,则改为使用全局供应商列表。 |
relative-to |
这个存储相对于的基本路径。这可以是完整路径或预定义的路径,如 |
required |
如果为 |
type |
密钥存储的类型,如 注意 以下密钥存储类型会自动检测到:
您必须手动指定其他密钥存储类型。 在 JDK 8 的 Java Cryptography 架构标准 Algorithm Name 文档中找到完整的密钥存储类型列表。 |
属性 | 描述 |
---|---|
key-store | 引用用于支持此安全域的密钥存储。 |
属性 | 描述 |
---|---|
alias-attribute | 存储项目别名的 LDAP 属性的名称。 |
certificate-attribute | 存储证书的 LDAP 属性的名称。 |
certificate-chain-attribute | 存储证书链的 LDAP 属性的名称。 |
certificate-chain-encoding | 证书链的编码。 |
certificate-type | 证书的类型。 |
dir-context |
用于与 LDAP 服务器通信的 |
filter-alias | 用于按别名获取密钥存储中的项目的 LDAP 过滤器。 |
filter-certificate | 用于根据证书获取密钥存储中的项目的 LDAP 过滤器。 |
filter-iterate | 用于迭代密钥存储所有项目的 LDAP 过滤器。 |
key-attribute | 存储密钥的 LDAP 属性的名称。 |
key-type |
以序列化方式保存在 LDAP 属性中的密钥存储类型。例如, |
new-item-template | 用于创建项目的配置。这将定义新创建的密钥存储项的 LDAP 条目将如何查找。 |
search-path | 将搜索密钥存储项的 LDAP 中的路径。 |
search- recursive | 如果 LDAP 搜索应该递归。 |
search-time-limit |
从 LDAP 获取密钥存储项目的时间限值(毫秒)。默认值为 |
属性 | 描述 |
---|---|
new-item-attributes |
为新创建的项目设置的 LDAP 属性。这取一个带有 |
new-item-path | 将存储新创建的密钥存储项的 LDAP 中的路径。 |
new-item-rdn | 新创建的项目的 LDAP RDN 的名称。 |
属性 | 描述 |
---|---|
allow-blank-password | 此域是否支持空白密码直接验证。否则,空白密码尝试将被拒绝。 |
dir-context |
用于连接到 LDAP 服务器的 |
direct-verification |
如果为 |
identity-mapping | 定义主体如何映射到底层 LDAP 服务器中的对应条目的配置选项。 |
属性 | 描述 |
---|---|
attribute-mapping | 为这个资源定义的属性映射列表。 |
filter-name | 用于按名称获取身份的 LDAP 过滤器。 |
iterator-filter | 用于迭代域身份的 LDAP 过滤器。 |
new-identity-attributes |
新创建的身份的属性列表,域中的 modifiability 需要。这是 |
otp-credential-mapper | OTP 凭证的凭证映射。 |
new-identity-parent-dn | 新创建的身份的父用户的 DN。该域的 modifiability 需要此项。 |
rdn-identifier | 用于从 LDAP 条目获取主体 DN 的 RDN 部分。这在创建新身份时也使用它。 |
search-base-dn | 用于搜索身份的基本 DN。 |
use-recursive-search |
如果为 |
user-password-mapper | 与 userPassword 类似的凭证的凭证映射。 |
x509-credential-mapper |
允许使用 LDAP 作为 X509 凭证的存储配置。如果未定义 |
属性 | 描述 |
---|---|
extract-rdn | 用作属性的值的 RDN 键,以 X.500 格式表示值。 |
filter | 用于获取特定属性的值的过滤器。 |
filter-base-dn | 执行该过滤器的上下文名称。 |
from | 映射到身份属性的 LDAP 属性的名称。如果没有定义,则使用条目的 DN。 |
reference | 包含要从中获取值的条目 DN 的 LDAP 属性名称。 |
role-recursion |
递归角色分配的最大深度。使用 |
role-recursion-name |
确定角色条目的 LDAP 属性,在搜索角色角色时,在 |
search- recursive |
如果 |
至 |
从特定 LDAP 属性映射的身份属性的名称。如果没有提供,则属性的名称与 |
属性 | 描述 |
---|---|
from | 映射到身份属性的 LDAP 属性的名称。如果没有定义,则使用条目的 DN。 |
verifiable |
如果 |
writable |
如果更改了 |
属性 | 描述 |
---|---|
algorithm-from | OTP 算法 LDAP 属性的名称。 |
hash-from | OTP hash 功能的 LDAP 属性的名称。 |
seed-from | OTP seed 的 LDAP 属性的名称。 |
sequence-from | OTP 序列号的 LDAP 属性的名称。 |
属性 | 描述 |
---|---|
certificate-from | 映射到编码的用户证书的 LDAP 属性的名称。如果没有定义,则不会检查编码的证书。 |
digest-algorithm |
摘要算法,即哈希功能,用于计算用户证书摘要。仅在定义了 |
digest-from | 映射到用户证书摘要的 LDAP 属性的名称。如果没有定义,则不会检查证书摘要。 |
serial-number-from | 映射到用户证书的序列号的 LDAP 属性的名称。如果未定义,则不会检查序列号。 |
subject-dn-from | 映射到用户证书的主题 DN 的 LDAP 属性的名称。如果未定义,则不会检查主题 DN。 |
属性 | 描述 |
---|---|
left | 请参考用于操作左侧的权限映射程序。 |
逻辑协作 |
用于组合权限映射映射的逻辑操作。允许的值为 |
right | 请参考用于操作右侧的权限映射程序。 |
属性 | 描述 |
---|---|
left | 对要在操作左侧使用的角色映射器的引用。 |
逻辑协作 |
要对角色映射执行的逻辑操作。允许的值有: |
right | 对要在操作右侧使用的角色映射器的引用。 |
属性 | 描述 |
---|---|
delegate-realm-mapper | 如果没有使用 模式匹配的域映射程序。 |
pattern | 正则表达式,必须至少包含一个捕获组才能从名称中提取域。 |
realm-map | 使用正则表达式提取的域名称到定义的域名。 |
属性 | 描述 |
---|---|
启用 |
如果 |
过滤器 | 比较提供程序机制时要应用的过滤器列表。当所有指定值与机制和提供程序对匹配时,过滤器会匹配。 |
sasl-server-factory | 对该定义嵌套到 SASL 服务器工厂的引用。 |
属性 | 描述 |
---|---|
mechanism-name | 此过滤器与 SASL 机制的名称匹配。 |
provider-name | 此过滤器匹配的供应商名称。 |
provider-version | 比较提供程序版本时使用的版本。 |
version-comparison |
评估供应商版本时使用的同等程度。允许的值为 |
属性 | 描述 |
---|---|
responder | 覆盖从证书解析的 OCSP Responder URI。 |
responder-certificate |
如果未定义 |
responder-keystore |
响应者证书的替代密钥存储。必须定义 |
prefer-crls |
当同时配置 OCSP 和 CRL 机制时,会首先调用 OCSP 机制。当将 |
属性 | 描述 |
---|---|
action | 构成权限时要传递给权限的操作。 |
class-name | 权限的完全限定域名。 |
module | 用于加载权限的模块。 |
target-name | 构造后要传递给权限的目标名称。 |
属性 | 描述 |
---|---|
|
指定每个审计事件后是否输出流需要刷新。如果没有定义属性,则 |
|
使用 |
| 定义日志文件的位置。 |
| 可选属性。定义日志文件的位置。 |
|
可选属性。在轮转日志中添加日期后缀。您必须使用 |
|
默认值为 |
属性 | 描述 |
---|---|
groups-attribute |
返回的 |
groups-properties | 包含用户及其组的属性文件。 |
users-properties | 包含用户及其密码的属性文件。 |
属性 | 描述 |
---|---|
digest-realm-name | 如果属性文件中未发现,用于摘要密码的默认 realm 名称。 |
path | 包含用户及其密码的 文件的路径。该文件应包含 realm 名称声明。 |
plain-text |
如果为 |
relative-to | 路径相对于的预定义路径。 |
属性 | 描述 |
---|---|
path | 包含用户及其组的文件的路径。 |
relative-to | 路径相对于的预定义路径。 |
providers | 用于定位因素的供应商。如果未指定,将使用全局注册的供应商列表。 |
---|
属性 | 描述 |
---|---|
参数 |
作为 |
class-names | 要加载的供应商的完全限定类名称列表。这些会在服务加载器发现的供应商后加载,并跳过所有重复数据。 |
配置 | 要传递至提供程序的键和值配置,以初始化它。 |
module | 要从中加载提供程序的模块名称。 |
path | 用于初始化提供程序的文件的路径。 |
relative-to | 配置文件的基本路径。 |
属性 | 描述 |
---|---|
providers | 用于定位因素的供应商。如果未指定,将使用全局注册的供应商列表。 |
属性 | 描述 |
---|---|
pattern | 用于定位要替换的名称部分的正则表达式。 |
replace-all |
如果为 |
替换 | 用作替换的值。 |
属性 | 描述 |
---|---|
pattern |
用于匹配角色的正则表达式。如果您想在替换中使用一部分原始角色,您可以使用组捕获。例如,要在角色(如 "app-admin", "batch-admin" 等角色后面捕获字符串),请使用模式 |
替换 |
替换匹配项的字符串。您可以使用固定字符串,或引用从 |
keep-non-mapped |
将值设为 |
属性 | 描述 |
---|---|
匹配 |
如果为 |
pattern | 主体转换器使用的正则表达式。 |
属性 | 描述 |
---|---|
mechanism-configurations | 特定于机制的配置列表。 |
sasl-server-factory | SASL 服务器与这个资源关联。 |
security-domain | 与此资源关联的安全域。 |
属性 | 描述 |
---|---|
credential-security-factory | 用于根据机制要求获取凭证的安全因素。 |
final-principal-transformer | 应用于此机制域的最后一个主要转换器。 |
host-name | 此配置应用到的主机名。 |
mechanism-name | 此配置仅应用使用指定名称的机制。如果省略此属性,则它将匹配任何机制名称。 |
mechanism-realm-configurations | 机制理解的 realm 名称的定义列表。 |
protocol | 此配置适用的协议。 |
post-realm-principal-transformer | 选择域后要应用的主体转换器。 |
pre-realm-principal-transformer | 在选择了域前应用主体转换器。 |
realm-mapper | 机制使用的 realm mapper。 |
属性 | 描述 |
---|---|
final-principal-transformer | 应用于此机制域的最后一个主要转换器。 |
post-realm-principal-transformer | 选择域后要应用的主体转换器。 |
pre-realm-principal-transformer | 在选择了域前应用主体转换器。 |
realm-mapper | 机制使用的 realm mapper。 |
realm-name | 要按机制显示的域的名称。 |
属性 | 描述 |
---|---|
create |
如果您不希望 ELytron 创建它不存在,则将值设为 |
default-alias |
默认生成的密钥的别名名称。默认值为 |
key-size | 生成密钥的大小。默认大小为 256 位。您可以将值设为以下之一:
|
path | 凭证存储的路径。 |
populate |
如果凭证存储不包含 |
relative-to |
对之前定义的路径的引用, |
属性 | 描述 |
---|---|
authentication-optional |
|
cipher-suite-filter |
要应用的过滤器指定启用的密码套件。此过滤器采用以冒号分隔、逗号或空格分隔的项目列表。每个项目可以是 OpenSSL 样式的密码套件名称、标准 SSL/TLS 密码套件名称,也可以是关键字,如 |
final-principal-transformer | 应用于此机制域的最后一个主要转换器。 |
key-manager |
参考在 |
maximum-session-cache-size | 要缓存的最大 SSL/TLS 会话数量。 |
need-client-auth |
如果为 |
post-realm-principal-transformer | 选择域后要应用的主体转换器。 |
pre-realm-principal-transformer | 在选择了域前应用主体转换器。 |
协议 |
启用的协议。允许的选项有 警告 红帽建议显式禁用 SSLv2、SSLv3 和 TLSv1.0,以便在所有受影响的软件包中明确禁用 TLSv1.1 或 TLSv1.2。 |
provider-name |
要使用的供应商的名称。如果未指定,则来自提供程序的所有提供程序都将传递到 |
providers |
要获取用于加载 |
realm-mapper | 用于 SSL 验证的域映射程序。 |
security-domain | 在 SSL/TLS 会话建立过程中用于身份验证的安全域。 |
session-timeout | SSL/TLS 会话超时。 |
trust-manager |
对 SSLContext 中使用的 |
use-cipher-suites-order |
如果为 |
want-client-auth |
如果为 |
wrap |
如果为 |
server-ssl-context
的 realm mapper 和主要转换器属性仅适用于 SASL EXTERNAL 机制,其中的证书由信任管理器验证。HTTP CLIENT-CERT 身份验证设置在 http-authentication-factory
中配置。
属性 | 描述 |
---|---|
module | 用于获取加载的类加载器的模块。如果没有指定要加载资源的类加载加载的类加载程序。 |
属性 | 描述 |
---|---|
module | 用于获取加载的类加载器的模块。如果没有指定要加载资源的类加载加载的类加载程序。 |
属性 | 描述 |
---|---|
mapping-mode |
在多个匹配项时应使用的映射模式。允许的值为 |
权限映射 | 定义的权限映射列表。 |
属性 | 描述 |
---|---|
permission-sets | 匹配时要分配的权限集。权限集可用于为身份分配权限。
重要
|
主体 | 在映射权限时要比较的主体列表,如果身份主体与列表中任何一个匹配,则要比较的主体列表。 |
roles | 在映射权限时要比较的角色列表,如果身份是列表中某个对象的成员匹配。 |
属性 | 描述 |
---|---|
delegate-realm-mapper | 如果没有使用 模式匹配的域映射程序。 |
pattern | 正则表达式,必须至少包含一个捕获组才能从名称中提取域。 |
属性 | 描述 |
---|---|
attribute | 身份要直接映射到角色的属性名称。 |
属性 | 描述 |
---|---|
pattern | 指定客户端 IP 地址或要匹配的客户端 IP 地址的正则表达式。 |
source-address | 指定客户端的 IP 地址。 |
roles |
提供要分配给用户的角色列表,如果客户端的 IP 地址与 |
您必须在 source-address
属性或 pattern
属性中至少指定一个 IP 地址。否则,您无法根据客户端的 IP 地址来做出授权决策。
属性 | 描述 |
---|---|
格式 | 审计事件应该记录的格式。 支持的值:
默认值:
|
host-name | 要嵌入到发送到 syslog 服务器的所有事件中的主机名。 |
port | syslog 服务器上的监听端口。 |
reconnect-attempts | Elytron 将在关闭连接前尝试向 syslog 服务器发送连续消息的次数上限。只有使用的传输协议是 UDP 时,此属性的值才有效。 支持的值:
默认值:
|
server-address |
syslog 服务器的 IP 地址或一个可由 Java 的 |
ssl-context |
连接到 syslog 服务器时使用的 SSL 上下文。只有在 |
syslog-format | 用于描述审计事件的 RFC 格式。 支持的值:
默认值:
|
传输 | 用于连接到 syslog 服务器的传输层协议。 支持的值:
默认值:
|
属性 | 描述 |
---|---|
|
指定每个审计事件后是否输出流需要刷新。如果没有定义属性,则 |
|
默认值为 |
| 定义日志文件的位置 |
| 可选属性。定义日志文件的位置 |
|
默认值为 |
属性 | 描述 |
---|---|
|
指定每个审计事件后是否输出流需要刷新。如果没有定义属性,则 |
|
默认值为 |
|
轮转时要备份的最大文件数。默认值为: |
| 定义日志文件的位置。 |
| 可选属性。定义日志文件的位置。 |
|
默认情况下,当您重新启动服务器时,Elytron 不会创建新的日志文件。将此属性设置为 |
|
日志文件在轮转日志前可访问的最大大小。默认值为 |
|
可选属性。在轮转日志中添加日期后缀。您必须使用 |
|
默认值为 |
属性 | 描述 |
---|---|
jwt | 用于与基于令牌的域结合使用的令牌验证器,该域根据 JWT/JWS 标准处理安全令牌。 |
oauth2-introspection | 用于与基于令牌的域结合使用的令牌验证器,该域处理 OAuth2 访问令牌,并使用与 RFC-7662 OAuth2 令牌 Introspection 规范兼容的端点进行验证。 |
principal-claim |
应该用来获取主体名称的声明名称。默认为 |
属性 | 描述 |
---|---|
培训对象 |
代表此配置支持的听众的字符串列表。在验证 JWT 令牌时,必须有一个 |
certificate |
带有公钥从密钥存储加载的证书名称,该密钥存储由 |
client-ssl-context |
用于远程 JSON Web 密钥(JWK) 的 SSL 上下文。这可让您使用 |
host-name-verification-policy | 一个策略,用于定义在使用远程 JSON Web Keys 时如何验证主机名的策略。您可以为属性设置以下值之一:
|
issuer |
代表此配置支持的签发者的字符串列表。在验证 JWT 令牌时,必须具有一个 |
key-store |
应从中加载带有公钥的证书的密钥存储。此属性以及 |
public-key | PEM 格式的公钥。在验证过程中,如果提供了公钥,将基于此属性提供的键值来验证签名。
或者, |
属性 | 描述 |
---|---|
client-id | OAuth2 授权服务器上的客户端的标识符。 |
client-secret | 客户端的机密。 |
client-ssl-context | 如果内省端点使用 HTTPS,则将使用 SSL 上下文。 |
host-name-verification-policy | 定义在使用 HTTPS 时如何验证主机名的策略。您可以为属性设置以下值之一:
|
introspection-url | 令牌内省端点的 URL。 |
属性 | 描述 |
---|---|
算法 |
用于创建底层 |
alias-filter | 适用于从密钥存储返回的别名的过滤器。这可以是逗号分隔的别名列表,用于返回或以下格式之一:
|
certificate-revocation-list |
启用信任管理器可以检查的证书撤销列表。
如需更多信息,请参阅使用证书撤销列表。 |
key-store |
对用于初始化底层 |
maximum-cert-path |
认证路径中可以存在的最大非签发的中间证书。默认值为
此属性已从 JBoss EAP 7.3 中的 注意
在 |
only-leaf-cert |
只检查叶证书的撤销状态。这是一个可选属性。默认值为 |
provider-name |
用于创建底层 |
providers |
参考以获取创建底层 |
soft-fail |
当设置为 |
属性 | 描述 |
---|---|
attribute-name |
要映射的 X.500 属性的名称。这也可使用 |
convert |
当设置为 |
joiner |
加入的字符串。默认值为句点 ( |
最大数据量 |
要映射的属性的最大数量。默认值为 |
oid |
要映射的 X.500 属性的 OID。这也可通过 |
required-attributes | 主体中必须存在的属性名称列表 |
required-oids | 主体中必须存在的属性的 OID 列表。 |
reverse |
如果为 |
start-segment |
您要映射的属性的开头。这使用基于零的索引,默认值为 |
属性 | 描述 |
---|---|
| 主题替代名称类型。必须是以下主题替代名称之一:
这是必需属性。 |
|
|