Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

6.9.6. 管理 CLI を用いたグループロール割り当ての設定

ロールに含まれる、またはロールから除外されるグループは、管理コンソールおよび管理 CLI で設定できます。このトピックでは、管理 CLI の使用についてのみ説明します。
ユーザーおよびグループのロールへのマッピングの設定は、role-mapping 要素として /core-service=management/access=authorization の管理 API にあります。
この設定を行えるのは、SuperUser または Administrator ロールのユーザーのみです。
コマンドへのアクセスを容易にするため、管理 CLI で /core-service=management/access=authorization の場所を変更します。 
[standalone@localhost:9999] cd /core-service=management/access=authorization

手順6.16 グループロール割り当て設定の表示

  1. read-children-names 操作を使用して、設定されたロールの完全なリストを取得します。 
    /core-service=management/access=authorization:read-children-names(child-type=role-mapping)
    [standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping)
{
    "outcome" => "success",
    "result" => [
        "Administrator",
        "Deployer",
        "Maintainer",
        "Monitor",
        "Operator",
        "SuperUser"
    ]
}
  2. 指定した role-mapping の read-resource 操作を使用して、特定のロールの詳細を取得します。 
    /core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
    [standalone@localhost:9999 access=authorization] ./role-mapping=Administrator:read-resource(recursive=true)
{
    "outcome" => "success",
    "result" => {
        "include-all" => false,
        "exclude" => undefined,
        "include" => {
            "user-theboss" => {
                "name" => "theboss",
                "realm" => undefined,
                "type" => "USER"
            },
            "user-harold" => {
                "name" => "harold",
                "realm" => undefined,
                "type" => "USER"
            },
            "group-SysOps" => {
                "name" => "SysOps",
                "realm" => undefined,
                "type" => "GROUP"
            }
        }
    }
}
[standalone@localhost:9999 access=authorization]

手順6.17 新規ロールの追加

この手順では、ロールの role-mapping エントリーを追加する方法を説明します。これは、ロールを設定する前に行う必要があります。
  • add 操作を使用して、新しいロール設定を追加します。 
    /core-service=management/access=authorization/role-mapping=ROLENAME:add
    [standalone@localhost:9999 access=authorization] ./role-mapping=Auditor:add             
{"outcome" => "success"}
[standalone@localhost:9999 access=authorization]

手順6.18 グループに include されるユーザーの追加

この手順では、グループをロールの include されたリストに追加する方法を説明します。
ロールの設定が行われていない場合は、そのロールの role-mapping エントリーを最初に実行する必要があります。
  • add 操作を使用して、ロールの追加一覧にグループエントリーを追加します。 
    /core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=GROUPNAME, type=GROUP)
    ROLENAME は、設定されるロールの名前です。
    GROUPNAME は、include リストに追加されるグループの名前です。
    ALIAS このマッピングの一意の名前です。Red Hat は、group-GROUPNAME などのエイリアスの命名規則を使用することを推奨します。 
    [standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=group-investigators:add(name=investigators, type=GROUP)
{"outcome" => "success"}
[standalone@localhost:9999 access=authorization]

手順6.19 ロールに exclude されるグループの追加

この手順では、グループをロールの exclude されたリストに追加する方法を説明します。
ロールの設定が行われていない場合は、そのロールの role-mapping エントリーを最初に作成する必要があります。
  • add 操作を使用して、ロールの除外一覧にグループエントリーを追加します。 
    /core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=GROUPNAME, type=GROUP)
    ROLENAME は、設定されるロールの名前です。
    GROUPNAME は、include リストに追加されるグループの名前です。
    ALIAS このマッピングの一意の名前です。Red Hat は、group-GROUPNAME などのエイリアスの命名規則を使用することを推奨します。 
    [standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=group-supervisors:add(name=supervisors, type=GROUP)
{"outcome" => "success"}
[standalone@localhost:9999 access=authorization]

手順6.20 グループーロールの include 設定の削除

この手順では、ロールマッピングからグループ包含エントリーを削除する方法を説明します。
  • remove 操作を使用してエントリーを削除します。 
    /core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
    ROLENAME は、設定されるロールの名前です。
    ALIAS このマッピングの一意の名前です。Red Hat は、group-GROUPNAME などのエイリアスの命名規則を使用することを推奨します。 
    [standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=group-investigators:remove
{"outcome" => "success"}
[standalone@localhost:9999 access=authorization]
    包含の一覧からグループを削除しても、グループはシステムから削除されず、ロールがこのグループのユーザーに割り当てられないようにします。このロールは、引き続きグループのユーザーに割り当てられます。

手順6.21 ユーザーグループの exclude エントリーの削除

この手順では、ロールマッピングからグループ除外エントリーを削除する方法を説明します。
  • remove 操作を使用してエントリーを削除します。 
    /core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
    ROLENAME は、設定されるロールの名前です。
    ALIAS このマッピングの一意の名前です。Red Hat は、group-GROUPNAME などのエイリアスの命名規則を使用することを推奨します。 
    [standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=group-supervisors:remove
{"outcome" => "success"}
[standalone@localhost:9999 access=authorization]
    除外の一覧からグループを削除しても、システムからそのグループは削除されません。また、ロールがグループのメンバーに割り当てられることを保証する訳ではありません。依然としてロールはグループメンバーシップに基づいて除外される可能性があります。
バグの報告