Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2. 管理用户

默认 JBoss EAP 配置提供本地身份验证,让用户可以访问本地主机上的管理 CLI,而无需身份验证。

但是,如果您要远程访问管理 CLI,则必须添加管理用户,或使用管理控制台,即使流量来自本地主机上也被视为远程访问。如果在添加管理用户之前尝试访问管理控制台,您会收到错误消息。

如果使用图形安装程序安装 JBoss EAP,则在安装过程中创建管理用户。

本指南介绍了使用 add-user 脚本对 JBoss EAP 进行简单的用户管理,此脚本可用于将新用户添加到用于开箱即用身份验证的属性文件中。

有关更高级的身份验证和授权选项,如 LDAP 或基于角色的访问控制(RBAC),请参见 JBoss EAP 安全架构核心管理身份验证部分。

3.2.1. 添加管理用户
复制链接

您可以使用 add-user 实用程序脚本来添加管理用户。

先决条件

  • JBoss EAP 正在运行。

流程

  1. 运行 add-user 实用程序脚本并按照提示进行操作。 

    $ EAP_HOME/bin/add-user.sh
    Copy to Clipboard Toggle word wrap
    注意

    对于 Windows Server,请使用 EAP_HOME\bin\add-user.bat 脚本。

  2. ENTER,选择默认选项 a 以添加管理用户。

    此用户将添加到 ManagementRealm 中,并将获得使用管理控制台或管理控制台执行管理操作的授权。另一个选择 b 将用户添加到 ApplicationRealm 中,该应用程序用于应用程序,不提供任何特定权限。

  3. 输入所需的用户名和密码。系统将提示您确认密码。

    注意

    用户名只能以任何数字和顺序包含以下字符:

    • 字母数字字符(a-z、A-Z、0-9)
    • 短划线(-)、句点(.)、逗号(@)
    • 反斜杠(\)
    • 等号 (=)

    默认情况下,JBoss EAP 允许弱密码,但会发出警告。

    如需了解有关更改此默认行为的详细信息,请参阅设置 add-user 实用程序密码限制

  4. 输入以逗号分隔的用户所属组的列表。如果您不希望用户属于任何组,请按 ENTER 将它留空。
  5. 检查信息并输入 yes 进行确认。

也可以通过向 add-user 脚本传递参数,以非交互方式创建用户。共享系统上不建议使用此方法,因为密码将在日志和历史记录文件中可见。如需更多信息,请参阅 非交互方式运行 add-user 工具

3.2.2. 以非交互方式运行 add-user 工具
复制链接

您可以通过在命令行中传递参数,以非交互方式运行 add-user 脚本。必须至少提供用户名和密码。

先决条件

  • JBoss EAP 正在运行。
警告

共享系统上不建议使用此方法,因为密码将在日志和历史记录文件中可见。

创建属于多个组的用户

以下命令添加了一个管理用户, mgmtuser1,它带有 guestmgmtgroup 组。 

$ EAP_HOME/bin/add-user.sh -u 'mgmtuser1' -p 'password1!' -g 'guest,mgmtgroup'
Copy to Clipboard Toggle word wrap
指定备选属性文件

默认情况下,使用 add-user 脚本创建的用户和组信息存储在服务器配置目录中的属性文件中。

用户信息存储在以下属性文件中:

  • EAP_HOME/standalone/configuration/mgmt-users.properties
  • EAP_HOME/domain/configuration/mgmt-users.properties

组信息存储在以下属性文件中:

  • EAP_HOME/standalone/configuration/mgmt-groups.properties
  • EAP_HOME/domain/configuration/mgmt-groups.properties

这些默认目录和属性文件名可以被覆盖。以下命令添加新用户,为用户属性文件指定不同的名称和位置。 

$ EAP_HOME/bin/add-user.sh -u 'mgmtuser2' -p 'password1!' -sc '/path/to/standaloneconfig/' -dc '/path/to/domainconfig/' -up 'newname.properties'
Copy to Clipboard Toggle word wrap

新用户已添加到位于 /path/to /standaloneconfig/newname.properties/path/to /domainconfig/newname.properties 的用户属性文件中。请注意,这些文件必须已经存在,否则您将看到错误。

有关所有可用 add-user 参数及其目的的完整列表,请使用- help 参数或 参阅 Add-user 实用程序参数 部分。

3.2.3. add-user utility password 限制
复制链接

可以使用 EAP_HOME/bin/ add-user.properties 文件来配置 add-user 实用程序脚本的密码限制。

重要

add-user.properties 文件是一个未保护的纯文本文件,必须被保护,以避免意外访问其内容。

为避免设置异常密码,请检查键盘的系统键映射是否正确。默认系统键映射为 en-qwerty。如果更改此默认设置并创建新密码,您必须检查密码是否满足类 SimplePasswordStrengthChecker 中的条件。

默认情况下,JBoss EAP 允许弱密码,但发出警告。要拒绝不满足指定最低要求的密码,请将 password.restriction 属性设置为 REJECT

下表描述了可以在 EAP_HOME/bin/add-user.properties 文件中配置的额外密码要求设置:

Expand
表 3.1. 额外密码要求设置
属性描述

minLength

密码的最小字符数。例如,password.restriction.minLength=8 将密码限制为至少八个字符。

强度

设置密码必须满足的阈值。有效阈值条目包括:

* VERY_WEAK

*

* MODERATE ( 中度)

* MEDIUM

*

* VERY_STRONG

* 特殊信息

默认值为 MODERATE。定义了阈值,以及类 SimplePasswordStrengthChecker 中指定的默认值。

注意:如果您没有指定阈值,MODE RATE 将成为默认值。这个值在类 SimplePasswordStrengthChecker 中指定。

minAlpha

为密码设置的最小字母字符数。例如,password.restriction.minAlpha=1 将密码限制为至少包含一个字母字符。

minDigit

为密码设置的最小数字字符数。例如,password.restriction.minDigit=1 将密码限制为至少包含一个数字字符。

minSymbol

为密码设置的最小符号数。例如,password.restriction.minSymbol=1 限制密码至少包含一个符号。

forbiddenValue

限制用户设置易于确定的密码,如 root。例如,password.restriction.forbidden=root,admin,administrator 限制设置 rootadminadministrator 作为密码。

mustNotMatchUsername

限制用户设置其用户名作为密码。例如,password.restriction.mustNotMatchUsername=TRUE 限制用户将其用户名设置为密码。如果设置为 false,则忽略此规则。

其他资源

请参阅红帽客户门户网站中的配置基本系统设置 指南。

3.2.4. 更新管理用户
复制链接

您可以使用 add-user 实用程序脚本更新现有管理用户的设置,方法是在提示时输入用户名。 

$ EAP_HOME/bin/add-user.sh

What type of user do you wish to add?
 a) Management User (mgmt-users.properties)
 b) Application User (application-users.properties)
(a): a

Enter the details of the new user to add.
Using realm 'ManagementRealm' as discovered from the existing property files.
Username : test-user
User 'test-user' already exists and is enabled, would you like to...
 a) Update the existing user password and roles
 b) Disable the existing user
 c) Type a new username
(a):
Copy to Clipboard Toggle word wrap

当您输入已存在的用户名时,会显示几个选项:

  • 键入,以更新现有用户的密码。
  • 键入 b 以禁用现有用户。
  • 键入 c 来输入新用户名。
警告

当以非交互方式使用 add-user 脚本更新用户时,会在没有确认提示的情况下自动更新用户。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat