Red Hat Training
A Red Hat training course is available for Red Hat JBoss Data Virtualization
3.3. JBoss EAP 管理ユーザーの追加
3.3.1. 管理インターフェースのユーザーの追加
以下の手順では、選択したインストール方法によって最初の管理ユーザーが作成されなかった場合に最初の管理ユーザーを作成する方法を説明します。最初の管理ユーザーは、Web ベースの管理コンソールおよび管理 CLI のリモートインスタンスを使用してリモートシステムから JBoss EAP 6 を設定および管理できます。
手順3.1 リモート管理インターフェース用の最初の管理ユーザーを作成
add-user.sh
またはadd-user.bat
スクリプトを実行します。EAP_HOME/bin/
ディレクトリーへ移動します。ご使用のオペレーティングシステムに対応するスクリプトを呼び出します。- Red Hat Enterprise Linux
[user@host bin]$
./add-user.sh- Microsoft Windows Server
C:\bin>
add-user.bat
管理ユーザーの追加を選択します。
ENTER を押して、デフォルトのオプションa
を選択して管理ユーザーを追加します。このユーザーはManagementRealm
に追加され、Web ベース管理コンソールまたはコマンドラインベース管理 CLI を使用して監理操作を実行することを許可されます。他のオプションb
を選択すると、ユーザーがApplicationRealm
に追加され、特定のパーミッションは提供されません。このレルムはアプリケーションで使用するために提供されます。ユーザー名とパスワードを入力します。
ユーザー名とパスワードの入力を要求されたら入力します。入力後、パスワードを確認するよう指示されます。グループ情報を入力します。
ユーザーが属するグループを追加します。ユーザーが複数のグループに属する場合は、カンマ区切りリストを入力します。ユーザーがどのグループにも属さない場合は空白のままにします。情報を確認します。
情報を確認するよう指示されます。情報が正しければyes
を入力します。ユーザーがリモート JBoss EAP 6 サーバーインスタンスを表すかどうかを選択します。
管理者以外にも、場合によっては JBoss EAP 6 の別のインスタンスを表すユーザーをManagementRealm
で JBoss EAP 6 に追加する必要があることがあります。このユーザーは、メンバーとしてクラスターに参加することを認証できる必要があります。次のプロンプトでは、この目的のために追加されたユーザーを指定できます。yes
を選択した場合は、ユーザーのパスワードを表すハッシュされたsecret
値が提供されます。これは他の設定ファイルに追加する必要があります。このタスクでは、no
を選択してください。追加ユーザーを入力します。
必要な場合は、この手順を繰り返すと追加のユーザーを入力できます。また、稼働中のシステムにいつでもユーザーを追加することが可能です。デフォルトのセキュリティーレルムを選択する代わりに他のレルムにユーザーを追加すると、承認を細かく調整できます。非対話的にユーザーを作成します。
コマンドラインで各パラメーターを渡すと非対話的にユーザーを作成できます。ログや履歴ファイルにパスワードが表示されるため、この方法は共有システムでは推奨されません。管理レルムを使用した、コマンドの構文は次のとおりです。[user@host bin]$
./add-user.sh username passwordアプリケーションレルムを使用するには、-a
パラメーターを使用します。[user@host bin]$
./add-user.sh -a username password--silent
パラメーターを渡すと add-user スクリプトの通常の出力を無効にできます。これは、username
およびpassword
パラメーターが指定されている場合のみ適用されます。エラーメッセージは表示されます。
結果:
追加したすべてのユーザーは、指定したセキュリティーレルム内でアクティベートされます。ManagementRealm
レルム内でアクティブなユーザーは、リモートシステムから JBoss EAP 6 を管理できます。
3.3.2. デフォルトのユーザーセキュリティー設定
はじめに
JBoss EAP 6 のすべての管理インターフェースはデフォルトで保護されます。このセキュリティーには、2 つの形式があります。
- ローカルインターフェースは、ローカルクライアントとローカルクライアントが接続するサーバーとの間の SASL コントラクトによって保護されます。このセキュリティーメカニズムは、ローカルファイルシステムにアクセスするクライアントの機能に基づきます。ローカルシステムへアクセスできるとクライアントによるユーザーの追加が可能で、他のセキュリティーメカニズムを無効にするよう設定を変更できるからです。これにより、ファイルシステムへ物理的にアクセスできると、他のセキュリティーメカニズムが不要になるという原則が厳守されます。このメカニズムは 4 つの手順で実現されます。
注記
HTTP を使用してローカルホストへ接続する場合でも、HTTP のアクセスはリモートと見なされます。- ローカル SASL メカニズムを用いて認証する要求が含まれるメッセージをクライアントがサーバーに送信します。
- サーバーはワンタイムトークンを生成し、固有のファイルに書き込み、ファイルのフルパスが含まれるメッセージをクライアントへ送信します。
- クライアントはファイルよりトークンを読み取り、サーバーへ送信し、ファイルシステムへローカルアクセスできるかを検証します。
- サーバーはトークンを検証し、ファイルを削除します。
- ローカル HTTP クライアントを含むリモートクライアントはレルムベースのセキュリティーを使用します。管理インターフェースを使用して JBoss EAP 6 インスタンスをリモートで設定するパーミッションを持つデフォルトのレルムは
ManagementRealm
です。このレルム (またはユーザーが作成したレルム) にユーザーを追加できるスクリプトが提供されます。ユーザーの追加の詳細については、『JBoss EAP 6 管理および設定ガイド』の章「ユーザー管理」を参照してください。ユーザーごとに、ユーザー名とハッシュ化されたパスワードがファイルに保存されます。- 管理対象ドメイン
EAP_HOME/domain/configuration/mgmt-users.properties
- スタンドアロンサーバー
EAP_HOME/standalone/configuration/mgmt-users.properties
mgmt-users.properties
の内容はマスクされていますが、機密ファイルとして扱う必要があります。ファイルモードを、ファイル所有者による読み書きのみが許可される600
に設定することが推奨されます。
3.3.3. JBoss Data Virtualization ユーザーの追加
JBoss Data Virtualization のデフォルト設定では、ハッシュ化されたファイルを使用してユーザーおよびユーザーロールが定義されます。このデフォルト設定の新しいユーザーを追加するには、以下の手順に従ってください。
- bin ディレクトリーに移動します。
- ./add-user.sh スクリプトを実行します。
- オプション「b) Application User (application-users.properties)」を選択し、希望のユーザー名とパスワードを追加します。
重要
"admin" および "user" ロール名は、Dashboard Builder パーミッション用に特別に予約されています。OData へのアクセスには odata グループが必要になります。