Show Table of Contents
第4章 ユーザー管理
4.1. ユーザー作成
4.1.1. 管理インターフェースのユーザーの追加
概要
JBoss EAP 6 の管理インターフェースは、グラフィカルインストーラーを使用してインストールしないと最初から使用可能なユーザーアカウントが存在しないため、デフォルトでセキュアになっています。これは、単純な設定ミスによるリモートシステムからのセキュリティー侵害を防ぐためのセキュリティー対策です。ローカルの HTTP 以外のアクセスは SASL メカニズムによって保護され、クライアントがローカルホストから初めて接続するとクライアントとサーバー間のネゴシエーションが発生します。
このタスクでは、最初の管理ユーザーを作成する方法について説明します。このユーザーは、Web ベースの管理コンソールおよび管理 CLI のリモートインスタンスを使用して、リモートシステムから JBoss EAP 6 を設定および管理できます。
注記
JBoss EAP 6 との HTTP 通信は、トラフィックの送信元がローカルホストであってもリモートアクセスと見なされます。したがって、管理コンソールを使用するには、少なくとも 1 人のユーザーを作成する必要があります。ユーザーを追加する前に管理コンソールにアクセスしようとすると、ユーザーが作成されるまでデプロイされないため、エラーが発生します。
手順4.1 リモート管理インターフェースに最初の管理ユーザーを作成
add-user.shまたはadd-user.batスクリプトを呼び出します。EAP_HOME/bin/ディレクトリーへ移動します。ご使用のオペレーティングシステムに対応するスクリプトを呼び出します。- Red Hat Enterprise Linux
[user@host bin]$./add-user.sh- Microsoft Windows Server
C:\bin>add-user.bat
管理ユーザーの追加を選択します。
ENTER を押してデフォルトオプションaを選択し、管理ユーザーを追加します。このユーザーはManagementRealmに追加され、Web ベースの管理コンソールまたはコマンドラインベースの管理 CLI を使用して管理操作を実行することを許可されます。他のオプションbを選択すると、ユーザーがApplicationRealmに追加され、特定のパーミッションは付与されません。このレルムはアプリケーションで使用するために提供されます。ユーザー名とパスワードを入力します。
ユーザー名とパスワードの入力を要求されたら入力します。入力後、パスワードを確認するよう指示されます。グループ情報を入力します。
ユーザーが属するグループを追加します。ユーザーが複数のグループに属する場合は、コンマ区切りリストを入力します。ユーザーのグループがない場合は空白のままにします。情報を確認します。
情報を確認するよう指示されます。情報が正しければyesを入力します。ユーザーがリモート JBoss EAP 6 サーバーインスタンスを表すかどうかを選択します。
管理者以外にも、場合によっては JBoss EAP 6 の別のインスタンスを表すユーザーをManagementRealmで JBoss EAP 6 に追加する必要があることがあります。このユーザーは、メンバーとしてクラスターに参加することを認証できる必要があります。次のプロンプトでは、この目的のために追加されたユーザーを指定できます。yesを選択した場合は、ユーザーのパスワードを表すハッシュされたsecret値が提供されます。これは他の設定ファイルに追加する必要があります。このタスクでは、noを選択してください。追加ユーザーを入力します。
必要な場合は、この手順を繰り返すと追加のユーザーを入力できます。また、稼働中のシステムにいつでもユーザーを追加することが可能です。デフォルトのセキュリティーレルムを選択する代わりに他のレルムにユーザーを追加すると、承認を細かく調整できます。非対話的にユーザーを作成します。
コマンドラインで各パラメーターを渡すと非対話的にユーザーを作成できます。ログや履歴ファイルにパスワードが表示されるため、この方法は共有システムでは推奨されません。管理レルムを使用した、コマンドの構文は次のとおりです。[user@host bin]$./add-user.sh username passwordアプリケーションレルムを使用するには、-aパラメーターを使用します。[user@host bin]$./add-user.sh -a username password--silentパラメーターを渡すと add-user スクリプトの通常の出力を無効にできます。これは、usernameおよびpasswordパラメーターが指定されている場合のみ適用されます。エラーメッセージは表示されます。
結果
追加したすべてのユーザーは、指定したセキュリティーレルム内でアクティベートされます。ManagementRealm レルム内でアクティブなユーザーは、リモートシステムから JBoss EAP 6 を管理できます。
関連トピック:
4.1.2. ユーザー管理の add-user スクリプトへ引数を渡す
add-user.sh または add-user.bat コマンドを対話的に実行できますが、コマンドラインで引数を渡すこともできます。ここでは、コマンドライン引数を add-user スクリプトへ渡すときに使用可能なオプションについて説明します。
代替のプロパティーファイルおよび場所を指定する方法については、「ユーザー管理情報の代替プロパティーファイルの指定」 を参照してください。
4.1.3. add-user コマンド引数
下表は、
add-user.sh または add-user.bat コマンドで使用できる引数を表しています。
表4.1 add-user コマンド引数
| コマンドライン引数 | 引数の値 | 説明 |
|---|---|---|
|
-a
|
該当なし
|
この引数は、アプリケーションレルムでユーザーを作成するよう指定します。省略した場合、デフォルトでは管理レルムでユーザーが作成されます。
|
|
-dc
|
DOMAIN_CONFIGURATION_DIRECTORY
|
この引数は、プロパティーファイルが含まれるドメイン設定ディレクトリーを指定します。省略した場合、デフォルトのディレクトリーは
EAP_HOME/domain/configuration/ になります。
|
|
-sc
|
SERVER_CONFIGURATION_DIRECTORY
|
この引数は、プロパティーファイルが含まれる代替のスタンドアロンサーバー設定ディレクトリーを指定します。省略した場合、デフォルトのディレクトリーは
EAP_HOME/standalone/configuration/ になります。
|
|
-up
--user-properties
|
USER_PROPERTIES_FILE
|
この引数は、代替のユーザープロパティーファイルの名前を指定します。絶対パスを使用でき、代替の設定ディレクトリーを指定する
-sc または -dc 引数と共に使用されるファイル名を使用することもできます。
|
|
-g
--group
|
GROUP_LIST
|
このユーザーに割り当てるグループのコンマ区切りリスト。
|
|
-gp
--group-properties
|
GROUP_PROPERTIES_FILE
|
この引数は、代替のグループプロパティーファイルの名前を指定します。絶対パスを使用でき、代替の設定ディレクトリーを指定する
-sc または -dc 引数と共に使用されるファイル名を使用することもできます。
|
|
-p
--password
|
PASSWORD
|
ユーザーのパスワード。パスワードは次の要件を満たしている必要があります。
|
|
-u
--user
|
USER_NAME
|
ユーザーの名前。英数字のみが含まれている必要があります。
|
|
-r
--realm
|
REALM_NAME
|
管理インターフェースをセキュアにするために使用されるレルムの名前。省略した場合、デフォルトは
ManagementRealm です。
|
|
-s
--silent
|
該当なし
|
コンソールへ出力せずに add-user スクリプトを実行します。
|
|
-h
--help
|
該当なし
|
add-user スクリプトの使用情報を表示します。
|
4.1.4. ユーザー管理情報の代替プロパティーファイルの指定
概要
デフォルトでは、add-user.sh または add-user.bat スクリプトを使用して作成されたユーザーおよびロール情報は、サーバー設定ディレクトリーにあるプロパティーファイルに保存されます。サーバー設定情報は EAP_HOME/standalone/configuration/ ディレクトリーに保存され、ドメイン設定情報は EAP_HOME/domain/configuration/ ディレクトリーに保存されます。ここでは、デフォルトのファイル名および場所を上書きする方法について説明します。
手順4.2 代替プロパティーファイルの指定
- サーバー設定の代替のディレクトリーを指定するには、
-sc引数を使用します。この引数は、サーバー設定プロパティーファイルが含まれる代替のディレクトリーを指定します。 - ドメイン設定の代替のディレクトリーを指定するには、
-dc引数を使用します。この引数は、ドメイン設定プロパティーファイルが含まれる代替のディレクトリーを指定します。 - 代替のユーザー設定プロパティーファイルを指定するには、
-upまたは--user-properties引数を使用します。絶対パスを使用でき、代替の設定ディレクトリーを指定する-scまたは-dc引数と共に使用されるファイル名を使用することもできます。 - 代替のグループ設定プロパティーファイルを指定するには、
-gpまたは--group-properties引数を使用します。絶対パスを使用でき、代替の設定ディレクトリーを指定する-scまたは-dc引数と共に使用されるファイル名を使用することもできます。
注記
add-user コマンドは、既存のプロパティーファイルでの操作を目的とするコマンドです。コマンドライン引数に指定された代替のプロパティーファイルが存在しない場合は、次のエラーが表示されます。
JBAS015234: No appusers.properties files found
コマンド引数の詳細は、「add-user コマンド引数」 を参照してください。
add-user コマンドの例は、「add-user スクリプトのコマンドラインの例」 を参照してください。
4.1.5. add-user スクリプトのコマンドラインの例
以下の例は、
add-user.sh または add-user.bat コマンドで引数を渡す方法を表しています。記載があるもの以外は、これらのコマンドはスタンドアローンサーバーの設定を前提としています。
例4.1 デフォルトのプロパティーファイルを使用した単一のグループに属するユーザーの作成
EAP_HOME/bin/add-user.sh -a -u 'appuser1' -p 'password1!' -g 'guest'
上記のコマンドを実行した結果は次のとおりです。
- ユーザー
appuser1が、ユーザー情報が保存される以下のデフォルトプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-users.propertiesEAP_HOME/domain/configuration/application-users.properties
guestグループのユーザーappuser1が、グループ情報が保存されるデフォルトのプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-roles.propertiesEAP_HOME/domain/configuration/application-roles.properties
例4.2 デフォルトのプロパティーファイルを使用した複数のグループに属するユーザーの作成
EAP_HOME/bin/add-user.sh -a -u 'appuser1' -p 'password1!' -g 'guest,app1group,app2group'
上記のコマンドを実行した結果は次のとおりです。
- ユーザー
appuser1が、ユーザー情報が保存される以下のデフォルトプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-users.propertiesEAP_HOME/domain/configuration/application-users.properties
guest、app1group、およびapp2groupグループに属するユーザーappuser1が、グループ情報が保存されるデフォルトのプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-roles.propertiesEAP_HOME/domain/configuration/application-roles.properties
例4.3 デフォルトのプロパティーファイルを使用したデフォルトレルムの管理特権を持つユーザーの作成
EAP_HOME/bin/add-user.sh -u 'adminuser1' -p 'password1!' -g 'admin'
上記のコマンドを実行した結果は次のとおりです。
- ユーザー
adminuser1が、ユーザー情報が保存される以下のデフォルトプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/mgmt-users.propertiesEAP_HOME/domain/configuration/mgmt-users.properties
adminグループのユーザーadminuser1が、グループ情報が保存されるデフォルトのプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/mgmt-groups.propertiesEAP_HOME/domain/configuration/mgmt-groups.properties
例4.4 情報を保存する代替プロパティーファイルを使用した単一のグループに属するユーザーの作成
EAP_HOME/bin/add-user.sh -a -u appuser1 -p password1! -g app1group -sc /home/someusername/userconfigs/ -up appusers.properties -gp appgroups.properties
上記のコマンドを実行した結果は次のとおりです。
- ユーザー
appuser1が、以下のプロパティーファイルに追加され、このファイルがユーザー情報を保存するデフォルトファイルになります。/home/someusername/userconfigs/appusers.properties
app1groupグループのユーザーappuser1が、以下のプロパティーファイルに追加され、このファイルがグループ情報を保存するデフォルトファイルになります。/home/someusername/userconfigs/appgroups.properties
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.