第2章 管理対象ドメインのセキュア化
マネージドドメインコントローラーとそのホストコントローラー間の通信のセキュリティーを保護できます。
2.1. ドメインコントローラーのパスワード認証の elytron での設定
マスタードメインコントローラーにユーザーを追加して、スレーブコントローラーがそのユーザーとして認証できるようにする必要があります。スレーブコントローラーは、マスタードメインコントローラーの HTTP インターフェイスで認証を試行します。
手順
マスタードメインコントローラーでユーザーを追加します。ユーザー名、パスワード、その他の設定を追加するには、
add-userユーティリティーを使用します。HTTP インターフェイスがManagement RealmElytron セキュリティーレルムで保護されている場合には、Management Realmにユーザーを追加する必要があります。注記デフォルトのファイルベースのユーザーおよびグループ認証メカニズムを使用している場合は、
EAP_HOME/bin/add-user.shスクリプトを実行してください。注記add-userユーティリティーを使用してユーザー情報を追加した後に、サーバーはプロパティーファイルの内容をメモリーにキャッシュします。ただし、サーバーは認証リクエストごとにプロパティーファイルの変更時間を確認し、時間が更新された場合にリロードします。つまり、add-userユーティリティーによるすべての変更が稼働中のサーバーに即座に適用されることになります。注記管理ユーザーのレルムのデフォルト名は
ManagementRealmです。Add-userユーティリティーでレルム名の入力を求められた場合には、別のレルムに切り替えていない限り、デフォルトのレルム名を使用する必要があります。authentication-configurationをスレーブコントローラーに追加します。次の例では、ユーザーがslave、パスワードがpassword1!のslaveという名前のauthentication-configurationを新たに追加します。/host=slave/subsystem=elytron/authentication-configuration=slave:add(authentication-name=slave, credential-reference={clear-text=password1!})次の例のように、スレーブコントローラーに
authentication-contextを追加します。/host=slave/subsystem=elytron/authentication-context=slave-context:add(match-rules=[{authentication-configuration=slave}])次の例のように、スレーブコントローラーにドメインコントローラーの場所と
authentication-contextを指定します。<domain-controller> <remote protocol="remote" host="localhost" port="9990" authentication-context="slave-context"/> </domain-controller>
関連情報
- マネージドドメイン操作モードの概念および一般的な設定の詳細は、JBoss EAP設定ガイド のドメイン管理 セクションを参照してください。
- ユーザーの管理については、JBoss EAPConfiguration Guideの Management Users セクションを参照してください。
