Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

Chapitre 4. Gestion des utilisateurs

4.1. Création d'utilisateur

4.1.1. Ajouter un utilisateur pour les interfaces de gestion

Aperçu

Les instances de gestion de JBoss EAP 6 sont sécurisés par défaut car il n'y a aucun compte d'utilisateur disponible au départ, (sauf si vous avez installé la plateforme à l'aide de l'installateur graphique.) Il s'agit d'une mesure de précaution visant à éviter les failles de sécurité qui peuvent découler de simples erreurs de configuration.

La communication HTTP avec la plate-forme JBoss EAP 6 est considérée « communication à distance », même si le trafic prend sa source sur l'hôte local. Par conséquent, vous devez créer au moins un utilisateur afin de pouvoir utiliser la console de gestion. Si vous essayiez d'accéder à la console de gestion avant d'ajouter un utilisateur, vous receviez une erreur parce qu'il n'y a pas de déploiement tant que l'utilisateur n'a pas été créé.
Suivez ces étapes pour créer l'utilisateur d'administration d'origine, qui peut utiliser la console de gestion basée web et les instances éloignées de l'interface CLI pour configurer et administrer la plate-forme JBoss EAP 6 à partir de systèmes distants.

Procédure 4.1. Créer l'utilisateur administratif d'origine pour les interfaces de gestion distantes

  1. Éxécuter le script add-user.sh ou add-user.bat.

    Passez au répertoire EAP_HOME/bin/. Invoquer le script qui convient à votre système d'exploitation.
    Red Hat Enterprise Linux
    [user@host bin]$ ./add-user.sh
    Microsoft Windows Server
    C:\bin>  add-user.bat
  2. Choisissez d'utiliser un utilisateur Management.

    Appuyer sur ENTER pour sélectionner l'option a pour ajouter un utilisateur Management.
    Cet utilisateur sera ajouté au domaine ManagementRealm et il sera autorisé à effectuer des opérations de gestion par la Management Console basée web ou par l'interface CLI basé sur la ligne de commande. Autre alternative, b, ajoutera l'utilisateur au domaine ApplicationRealm, et ne fournit aucune permission particulière. Ce domaine est fourni pour être utilisé avec des applications.
  3. Saisir le nom d'utilisateur et le mot de passe que vous souhaitez.

    Quand on vous y invite, saisir le nom d'utilisateur et le nom de passe. On vous demandera de saisir le mot de passe une seconde fois pour confirmer.
  4. Saisissez les informations sur votre groupe.

    Ajouter le groupe ou les groupes auxquels l'utilisateur appartient. Si l'utilisateur appartient à plusieurs groupes, saisir une liste séparée par des virgules. Laisser vide si vous ne souhaitez pas que l'utilisateur appartienne à un groupe.
  5. Vérifier les informations et confirmer.

    On vous invitera à confirmer les informations. Quand vous serez satisfait, saisir yes.
  6. Décidez si l'utilisateur représente une instance de serveur de JBoss EAP 6 à distance.

    En plus des administrateurs, un autre type d'utilisateur qui a parfois besoin d'être ajouté à JBoss EAP 6 dans le domaine ManagementRealm est un utilisateur qui représente une autre instance de JBoss EAP 6, et qui a besoin d'être authentifié pour rejoindre un groupement en tant que membre. L'invite suivante vous permet de désigner votre utilisateur supplémentaire dans ce but. Si vous sélectionnez yes, on vous donnera une valeur secret de hachage, qui représentera le mot de passe de l'utilisateur, que vous aurez besoin d'ajouter dans un fichier de configuration différent. Dans le but de cette tâche, répondre no à cette question.
  7. Saisir des utilisateurs supplémentaires.

    Vous pouvez saisir des utilisateurs supplémentaires si vous le souhaitez, en répétant la procédure. Vous pouvez également les ajouter à tout moment sur un système en cours d'exécution. Au lieu de choisir le domaine de sécurité par défaut, vous pouvez ajouter des utilisateurs d'autres domaines afin d'ajuster leurs autorisations.
  8. Créer des utilisateurs en mode non interactif.

    Vous pouvez créer des utilisateurs en mode non interactif, en l'indiquant dans chaque paramètre de ligne de commande. Cette approche n'est pas recommandée sur les systèmes partagés, parce que les mots de passe seront visibles dans les fichiers de journalisation (log) et dans les fichiers d'historique. La syntaxe de la commande, pour le domaine de gestion, est la suivante :
    [user@host bin]$ ./add-user.sh username password
    Pour utiliser le domaine d'application, utiliser le paramètre -a.
    [user@host bin]$ ./add-user.sh -a username password
  9. Vous pouvez supprimer la sortie normale du script d'ajout d'utilisateur en passant le paramètre --silent. Cela s'applique uniquement si un minimum de paramètres, nom d'utilisateur et mot de passe, ont été indiqués. Le message d'erreur apparaîtra toujours.
Résultat

Tout utilisateur que vous ajoutez est activé dans les domaines de sécurité que vous avez indiqués. Les utilisateurs actifs dans le domaine ManagementRealm sont en mesure de gérer la plateforme JBoss EAP 6 à partir de systèmes éloignés.

4.1.2. Passer des arguments au script add-user de la gestion utilisateur

Vous pouvez exécuter la commande add-user.sh ou add-user.bat interactivement ou vous pouvez passer des arguments par la ligne de commande. Cette section décrit les options qui se présentent pour passer des arguments en ligne de commande au script add-user.
Pour obtenir une liste d'arguments en ligne de commandes disponibles pour add-user.sh ou add-user.bat, consulter Section 4.1.3, « Arguments pour la commande Add-user » .
Pour plus d'informations sur la façon d'indiquer un autre fichier de propriétés et son emplacement, consulter Section 4.1.4, « Spécifier des fichiers de propriétés alternatifs pour les informations de gestion des utilisateurs » .
Pour obtenir des exemples qui montrent comment passer des arguments sur la commande add-user.sh ou add-user.bat, consulter Section 4.1.5, « Exemples de lignes de commande de script Add-user » .

4.1.3. Arguments pour la commande Add-user

Le tableau suivant décrit les arguments disponibles pour la commande add-user.sh ou add-user.bat.

Tableau 4.1. Arguments pour la commande Add-user

Argument de ligne de commande Valeur d'argument Description
-a
S/O
Cet argument demande de créer un utilisateur dans le domaine de l'application. S'il est omis, un utilisateur sera créé par défaut dans le domaine de gestion.
-dc
DOMAIN_CONFIGURATION_DIRECTORY
Cet argument spécifie le répertoire de configuration de domaine qui contient les fichiers de propriétés. S'il est omis, le répertoire par défaut sera EAP_HOME/domain/configuration/.
-sc
SERVER_CONFIGURATION_DIRECTORY
Cet argument spécifie un répertoire de configuration de serveur autonome différent qui contient les fichiers de propriétés. S'il est omis, le répertoire par défaut sera EAP_HOME/standalone/configuration/.
-up
--user-properties
USER_PROPERTIES_FILE
Cet argument spécifie le nom d'un autre fichier de propriétés utilisateur. Il peut correspondre à un chemin absolu ou il peut correspondre à un nom de fichier utilisé en conjonction avec l'argument -sc ou -dc qui spécifie le répertoire de configuration alternatif.
-g
--group
GROUP_LIST
Une liste séparée par des virgules de groupes à assigner à cet utilisateur.
-gp
--group-properties
GROUP_PROPERTIES_FILE
Cet argument spécifie le nom d'un autre fichier de propriétés de groupe. Il peut correspondre à un chemin absolu ou il peut correspondre à un nom de fichier utilisé en conjonction avec l'argument -sc ou -dc qui spécifie le répertoire de configuration alternatif.
-p
--password
PASSWORD
Le mot de passe utilisateur. Le mot de passe doit remplir les critères suivants :
  • Il doit contenir 8 caractères au moins.
  • Il doit contenir au moins un caractère de l'alphabet.
  • Il doit contenir un chiffre au moins.
  • Il doit contenir au moins un symbole non alphanumérique
-u
--user
USER_NAME
Le nom de l'utilisateur. Seuls les caractères alphanumériques et les symboles suivants sont valides : ,./=@\.
-r
--realm
REALM_NAME
Le nom du domaine utilisé pour sécuriser les interfaces de gestion. S'il est omis, la valeur par défaut sera ManagementRealm.
-s
--silent
S/O
Exécuter le script add-user sans sortie vers la console.
-h
--help
S/O
Afficher les informations d'utilisation du script add--user.

4.1.4. Spécifier des fichiers de propriétés alternatifs pour les informations de gestion des utilisateurs

Aperçu

Par défaut, les informations utilisateurs et rôles créés à l'aide du script add-user.sh ou Add-user.bat sont stockées dans des fichiers de propriétés situés dans le répertoire de configuration de serveur. Les informations de configuration du serveur sont stockées dans le répertoire EAP_HOME/standalone/configuration/ et les informations de configuration de domaine sont stockées dans le répertoire EAP_HOME/domaine/configuration/. Cette rubrique décrit comment substituer les noms de fichier et emplacements par défaut.

Procédure 4.2. Spécifier des fichiers de propriétés alternatifs

    • Pour spécifier un autre répertoire pour la configuration du serveur, utilisez l'argument -sc. Cet argument spécifie un autre répertoire qui contiendra les fichiers de propriétés de configuration de serveur.
    • Pour spécifier un répertoire alternatif de configuration de domaine, utiliser l'argument -dc. Cet argument spécifie un répertoire alternatif qui contient les fichiers de propriétés de configuration de domaines.
    • Pour spécifier un fichier de configuration utilisateur différent, utiliser l'argument -up ou --user-properties. Peut correspondre à un chemin complet ou à un nom de fichier utilisé en conjonction avec -sc ou -dc spécifiant le répertoire de configuration alternatif.
    • Pour spécifier un fichier de configuration de groupe différent, utiliser l'argument -up ou --group-properties. Peut correspondre à un chemin complet ou à un nom de fichier utilisé en conjonction avec -sc ou -dc indiquant le répertoire de configuration alternatif.

Note

La commande add-user a pour but d'opérer sur des fichiers de propriétés existants. Tout fichier de propriété alternatif spécifié dans un argument de ligne de commande devra sortir là où vous verrez l'erreur suivante :
JBAS015234: No appusers.properties files found
Pour obtenir plus d'informations sur les arguments de commande, consulter Section 4.1.3, « Arguments pour la commande Add-user » .
Pour obtenir plus d'exemples sur les commandes add-user, consulter Section 4.1.5, « Exemples de lignes de commande de script Add-user » .

4.1.5. Exemples de lignes de commande de script Add-user

Les exemples suivants montrent comment passer des arguments à la commande add-user.sh ou add-user.bat. À moins que cela soit notifié, ces commandes supposent la configuration d'un serveur autonome.

Exemple 4.1. Créer un utilisateur qui appartienne à un groupe unique en utilisant les fichiers de propriétés par défaut.

EAP_HOME/bin/add-user.sh -a -u 'appuser1' -p 'password1!' -g 'guest'
La commande ci-dessus produit les résultats suivants.
  • L'utilisateur appuser1 est ajouté aux fichiers de propriétés suivants par défaut qui contiennent les informations utilisateur.
    EAP_HOME/standalone/configuration/application-users.properties
    EAP_HOME/domain/configuration/application-users.properties
  • L'utilisateur appuser1 ayant pour groupe guest est ajouté aux fichiers de propriétés suivants par défaut qui contiennent les informations utilisateur.
    EAP_HOME/standalone/configuration/application-roles.properties
    EAP_HOME/domain/configuration/application-roles.properties

Exemple 4.2. Créer un utilisateur qui appartienne à plusieurs groupes en utilisant les fichiers de propriétés par défaut.

EAP_HOME/bin/add-user.sh -a -u 'appuser1' -p 'password1!' -g 'guest,app1group,app2group'
La commande ci-dessus produit les résultats suivants.
  • L'utilisateur appuser1 est ajouté aux fichiers de propriétés suivants par défaut qui contiennent les informations utilisateur.
    EAP_HOME/standalone/configuration/application-users.properties
    EAP_HOME/domain/configuration/application-users.properties
  • L'utilisateur appuser1 ayant pour groupes guest, app1group, et app2group est ajouté aux fichiers de propriétés suivantes par défaut qui contiennent les informations utilisateur.
    EAP_HOME/standalone/configuration/application-roles.properties
    EAP_HOME/domain/configuration/application-roles.properties

Exemple 4.3. Créer un utilisateur ayant des privilèges admin dans le domaine par défaut en utilisant les fichiers de propriétés par défaut.

EAP_HOME/bin/add-user.sh -u 'adminuser1' -p 'password1!' -g 'admin'
La commande ci-dessus produit les résultats suivants.
  • L'utilisateur adminuser1 est ajouté aux fichiers de propriétés suivantes par défaut qui contiennent les informations utilisateur.
    EAP_HOME/standalone/configuration/mgmt-users.properties
    EAP_HOME/domain/configuration/mgmt-users.properties
  • L'utilisateur adminuser1 ayant pour groupe admin est ajouté aux fichiers de propriétés suivants par défaut qui contiennent les informations utilisateur.
    EAP_HOME/standalone/configuration/mgmt-groups.properties
    EAP_HOME/domain/configuration/mgmt-groups.properties

Exemple 4.4. Créer un utilisateur qui appartienne à un groupe unique en utilisant des fichiers de propriétés alternatifs pour stocker des informations.

EAP_HOME/bin/add-user.sh -a -u appuser1 -p password1! -g app1group -sc /home/someusername/userconfigs/ -up appusers.properties -gp appgroups.properties 
La commande ci-dessus produit les résultats suivants.
  • L'utilisateur appuser1 est ajouté aux fichiers de propriétés suivants et ce fichier est maintenant le fichier par défaut qui contient les informations utilisateur.
    /home/someusername/userconfigs/appusers.properties
  • L'utilisateur appuser1 ayant pour groupe app1group est ajouté aux fichiers de propriétés suivants et ce fichier est maintenant le fichier par défaut qui contient les informations utilisateur.
    /home/someusername/userconfigs/appgroups.properties