第 8 章 设置网络
Red Hat Single Sign-On 的默认安装可以在一些网络限制的情况下运行。对于一个,所有网络端点都绑定到 localhost
,因此 auth 服务器实际上仅在一个本地机器上使用。对于基于 HTTP 的连接,不使用 80 和 443 等默认端口。HTTPS/SSL 未开箱即用且未配置,Red Hat Single Sign-On 有很多安全漏洞。最后,Red Hat Single Sign-On 通常可能需要向外部服务器提供安全 SSL 和 HTTPS 连接,因此需要设置信任存储,以便可以正确验证端点。本章讨论所有这些内容。
8.1. 绑定地址
默认情况下,红帽单点登录绑定到 localhost 回送地址 127.0.0.1
。如果您需要网络中的身份验证服务器,这不是非常有用的默认值。通常,建议您在公共网络上部署反向代理或负载均衡器,并将流量路由到专用网络上的各个红帽单点登录服务器实例。在这两种情况下,您仍然需要设置网络接口,以绑定到 localhost
以外的其他接口。
设置绑定地址非常简单,可以在命令行中完成 Choosing a Operating Mode 章节中讨论的 standalone.sh 或 domain.sh 启动脚本。
$ standalone.sh -b 192.168.0.5
-b
交换机为任何公共接口设置 IP 绑定地址。
或者,如果您不想在命令行中设置绑定地址,您可以编辑部署的配置集配置。根据您的 操作模式,打开配置文件(standalone.xml 或 domain.xml ),并查找 interfaces
XML 块。
<interfaces> <interface name="management"> <inet-address value="${jboss.bind.address.management:127.0.0.1}"/> </interface> <interface name="public"> <inet-address value="${jboss.bind.address:127.0.0.1}"/> </interface> </interfaces>
公共接口
与创建可公开提供的套接字子系统相对应。这些子系统的一个示例是 Web 层,它是提供 Red Hat Single Sign-On 的身份验证端点的 Web 层。管理接口
对应于 JBoss EAP 的管理层所打开的套接字。具体来说,socket 允许您使用 jboss-cli.sh
命令行界面和 JBoss EAP web 控制台。
查看 公共接口
时,您会看到它具有特殊字符串 ${jboss.bind.address:127.0.0.1}
。此字符串表示可以在命令行中通过设置 Java 系统属性覆盖的值 127.0.0.1
,例如:
$ domain.sh -Djboss.bind.address=192.168.0.5
-b
只是此命令的简写表示法。因此,您可以直接在配置集中配置绑定地址值,或者在引导时在命令行中更改它。
设置 接口
定义时还有更多选项。有关更多信息,请参阅 JBoss EAP 配置指南中的 网络接口。