11.8.2. ロールベースアクセス制御の有効化
デフォルトでは、ロールベースアクセス制御 (RABC) システムは無効になっています。有効にするには、プロバイダー属性を
simple
から rbac
に変更します。この変更を行うには jboss-cli.sh
ツールを使用しますが、サーバーがオフラインの場合はサーバー設定 XML ファイルを編集して変更できます。RBAC が稼働中のサーバー上で無効または有効になっている場合は、サーバー設定をリロードして変更を反映する必要があります。
RBAC を有効にすると、無効にできるのは Administrator または SuperUser ロールのユーザーのみです。デフォルトでは、
jboss-cli.sh
がサーバーと同じマシン上で実行されていると SuperUser ロールとして実行されます。
手順11.1 RBAC の有効化
jboss-cli.sh
を用いて RBAC を有効にするには、アクセス承認リソースのwrite-attribute
操作を使用して、プロバイダー属性をrbac
に設定します。/core-service=management/access=authorization:write-attribute(name=provider, value=rbac)
[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=provider, value=rbac) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /] /:reload { "outcome" => "success", "result" => undefined } [standalone@localhost:9999 /]
手順11.2 RBAC の無効化
jboss-cli.sh
を用いて RBAC を無効にするには、アクセス承認リソースのwrite-attribute
操作を使用して、プロバイダー属性をsimple
に設定します。/core-service=management/access=authorization:write-attribute(name=provider, value=simple)
[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=provider, value=simple) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /] /:reload { "outcome" => "success", "result" => undefined } [standalone@localhost:9999 /]
サーバーがオフラインの場合は、XML 設定を編集して RBAC を有効または無効にできます。これを行うには、管理要素のアクセス制御要素にある
provider
属性を編集します。有効にする場合は値を rbac
に設定し、無効にする場合は simple
に設定します。
<management> <access-control provider="rbac"> <role-mapping> <role name="SuperUser"> <include> <user name="$local"/> </include> </role> </role-mapping> </access-control> </management>