7.8. Configuración predeterminada de seguridad del usuario

Introducción

Todas las interfaces de administración en la plataforma de aplicaciones empresariales JBoss 6 están aseguradas por defecto. Esta seguridad tiene dos formas diferentes:

  • Las interfaces locales se aseguran por medio de un contrato SASL entre los clientes locales y el servidor al cual se conectan. Este mecanismo de seguridad se basa en la habilidad del cliente de acceder al sistema de archivos locales. Esto se debe a que el acceso al sistema de archivos local le permitiría al cliente el agregar un usuario o de otra manera cambiar la configuración para impedir otros mecanismos de seguridad. Esto se adhiere al principio de que si se logra acceso físico al sistema de archivos entonces otros mecanismos de seguridad son superfluos. El mecanismo tiene lugar en cuatro pasos:

    Nota

    El acceso HTTP se considera como remoto incluso si se conecta al host local usando HTTP.
    1. El cliente envía un mensaje al servidor, el cual incluye una petición para autenticarse con el mecanismo local SASL.
    2. El servidor genera un token único, lo escribe en un archivo único y le envía un mensaje al cliente con la ruta completa del archivo.
    3. El cliente lee el token del archivo y lo envía al servidor, verificando que tiene acceso local al sistema de archivos.
    4. El servidor verifica el token y luego borra el archivo.
  • Los clientes remotos, incluyendo los clientes HTTP locales, usan la seguridad basada en dominios. El dominio predeterminado con los permisos para configurar la plataforma de aplicaciones empresariales JBoss 6 de manera remota usando las interfaces de administración es ManagementRealm. Se proporciona un script, el cual le permite agregar usuarios a este dominio (o los dominios que cree). Consulte el capítulo de inicio del manual de instalación de la plataforma de aplicaciones empresariales JBoss 6. Para cada usuario, el nombre de usuario, una contraseña encriptada y el dominio se almacenan en un archivo. El archivo se encuentra en una ubicación diferente si la plataforma de aplicaciones empresariales está configurada como un dominio administrado o un servidor autónomo.
    Dominio administrado
    EAP_HOME/domain/configuration/mgmt-users.properties
    Servidor autónomo
    EAP_HOME/standalone/configuration/mgmt-users.properties
    Aunque el contenido de mgmt-users.properties se enmascara, el archivo se debe tratar con mucho cuidado. Se recomienda que el modo del archivo se establezca como 600, el cual da acceso tan solo de lectura y escritura por parte del dueño del archivo.