第2章 管理対象ドメインのセキュア化
マネージドドメインコントローラーとそのホストコントローラー間の通信のセキュリティーを保護できます。
2.1. ドメインコントローラーのパスワード認証の elytron
での設定
マスタードメインコントローラーにユーザーを追加して、スレーブコントローラーがそのユーザーとして認証できるようにする必要があります。スレーブコントローラーは、マスタードメインコントローラーの HTTP インターフェイスで認証を試行します。
手順
マスタードメインコントローラーでユーザーを追加します。ユーザー名、パスワード、その他の設定を追加するには、
add-user
ユーティリティーを使用します。HTTP インターフェイスがManagement Realm
Elytron セキュリティーレルムで保護されている場合には、Management Realm
にユーザーを追加する必要があります。注記デフォルトのファイルベースのユーザーおよびグループ認証メカニズムを使用している場合は、
EAP_HOME/bin/add-user.sh
スクリプトを実行してください。注記add-user
ユーティリティーを使用してユーザー情報を追加した後に、サーバーはプロパティーファイルの内容をメモリーにキャッシュします。ただし、サーバーは認証リクエストごとにプロパティーファイルの変更時間を確認し、時間が更新された場合にリロードします。つまり、add-user
ユーティリティーによるすべての変更が稼働中のサーバーに即座に適用されることになります。注記管理ユーザーのレルムのデフォルト名は
ManagementRealm
です。Add-user
ユーティリティーでレルム名の入力を求められた場合には、別のレルムに切り替えていない限り、デフォルトのレルム名を使用する必要があります。authentication-configuration
をスレーブコントローラーに追加します。次の例では、ユーザーがslave
、パスワードがpassword1!
のslave
という名前のauthentication-configuration
を新たに追加します。/host=slave/subsystem=elytron/authentication-configuration=slave:add(authentication-name=slave, credential-reference={clear-text=password1!})
次の例のように、スレーブコントローラーに
authentication-context
を追加します。/host=slave/subsystem=elytron/authentication-context=slave-context:add(match-rules=[{authentication-configuration=slave}])
次の例のように、スレーブコントローラーにドメインコントローラーの場所と
authentication-context
を指定します。<domain-controller> <remote protocol="remote" host="localhost" port="9990" authentication-context="slave-context"/> </domain-controller>
関連情報
- マネージドドメイン操作モードの概念および一般的な設定の詳細は、JBoss EAP設定ガイド のドメイン管理 セクションを参照してください。
- ユーザーの管理については、JBoss EAPConfiguration Guideの Management Users セクションを参照してください。