5.2. 管理インターフェイスに HTTPS と RBAC が追加された Red Hat JBoss Enterprise Application Platform

ここでは、管理インターフェイスで HTTPS が有効で、RBAC が ManagementRealm セキュリティーレルムに追加されている場合に JBoss EAP をセキュアにする方法を取り上げます。

scenario2

5.2.1. セキュリティー

JBoss EAP は管理コンソールを含む、管理インターフェイスによる HTTPS の使用をサポートします。HTTPS を有効にするには、secure-interface 要素を設定し、secure-port を管理インターフェイスの http-interface セクションに追加し、希望の設定 (サーバー ID、プロトコル、キーストア、エイリアスなど) で既存または新規セキュリティーレルムを設定します。これにより、管理インターフェイスがすべての HTTP トラフィックに SSL/TLS を使用できるようになります。HTTPS と管理インターフェイスのセキュア化に関する背景情報は、高度なセキュリティー を参照してください。

JBoss EAP では、複数の異なる認証スキームを使用して、管理インターフェイスの RBAC を有効にすることもできます。この例では、ManagementRealm で使用される既存のプロパティーファイルでユーザー名とパスワードを使用します。RBAC を有効にするには、管理インターフェイスに対して provider 属性を rbac に設定し、希望のユーザーとロールで ManagementRealm を更新します。

5.2.2. 仕組み

この例では、以下のユーザーが既存のセキュリティーレルムに追加されています。

表5.2 管理ユーザー

ユーザー名パスワードセキュリティーレルム

Suzy

Testing123!

ManagementRealm

Tim

Testing123!

ManagementRealm

Emily

Testing123!

ManagementRealm

Zach

Testing123!

ManagementRealm

Natalie

Testing123!

ManagementRealm

グループメンバーシップを基に、ユーザーは以下の RBAC ロールにマップされています。

表5.3 RBAC ロール

ユーザー名RBAC ロール

Suzy

SuperUser

Tim

Administrator

Emily

Maintainer

Zach

Deployer

Natalie

Monitor

起動時、JBoss EAP は ManagementRealm と RBAC 設定、および管理インターフェイスをコアサービスの一部としてロードします。また、管理インターフェイスの HTTPS 用に設定された http-interface も起動されます。ユーザーは HTTPS を介して管理インターフェイスにアクセスできるようになり、RBAC も有効化および設定されます。RBAC が有効になっていない場合、ManagementRealm のユーザーはすべて SuperUser として考慮され、アクセスが無制限になります。RBAC は有効になっているため、各ユーザーは持っているロールに応じて制限されるようになります。上記の表のとおり、Suzy、Tim、Emily Zach および Natalie は、異なるロールを持っています。たとえば、Suzy と Tim のみがアクセス制御情報の読み取りと編集を行えます。Suzy、Tim、および Emily はランタイム状態とその他の永続設定の情報を編集できます。Zach もランタイム状態とその他の永続設定の情報を編集できますが、アプリケーションリソース関係のみに限定されます。Suzy、Tim、Emily、Zack、および Natalie は設定および状態情報を読み取りできますが、Natalie は何も更新できません。各ロールの詳細と JBoss EAP による RBAC の処理方法については、ロールベースのアクセス制御管理インターフェイスへの RBAC の追加 を参照してください。