1.10.2. レガシーコア管理認証を使用したスレーブとドメインコントローラーのパスワード認証の設定

管理対象ドメインを設定する場合は、デフォルトでマスタードメインコントローラーが、接続する各スレーブコントローラーに認証を必要とするよう設定されます。スレーブのコントローラーを適切な認証情報で設定するには、以下を行う必要があります。

  1. マスタードメインコントローラーにユーザーを追加します。

    add-user スクリプトを使用して、ユーザーをマスタードメインコントローラーに追加する必要があります。具体的には、マスターが管理インターフェースをセキュア化するために使用する同じレルムにユーザーを追加する必要があります (デフォルトでは ManagementRealm)。また、「Is this new user going to be used for one AS process to connect to another AS process?」(この新しいユーザーは、ある AS プロセスが別の AS プロセスに接続するために使用されますか ?) という質問に必ず yes と回答する必要があります。

    重要

    ユーザーを追加すると、スクリプトは次のステップで使用される <secret> 要素を出力します。この値は、次の手順で使用するために維持する必要があります。

    例: スレーブユーザーの追加

    $ EAP_HOME/bin/add-user.sh
    
    What type of user do you wish to add?
     a) Management User (mgmt-users.properties)
     b) Application User (application-users.properties)
    (a): a
    
    Enter the details of the new user to add.
    Using realm 'ManagementRealm' as discovered from the existing property files.
    Username : slave-user
    Password recommendations are listed below. To modify these restrictions edit the add-user.properties configuration file.
     - The password should be different from the username
     - The password should not be one of the following restricted values {root, admin, administrator}
     - The password should contain at least 8 characters, 1 alphabetic character(s), 1 digit(s), 1 non-alphanumeric symbol(s)
    Password :
    Re-enter Password :
    What groups do you want this user to belong to? (Please enter a comma separated list, or leave blank for none)[  ]:
    About to add user 'slave-user' for realm 'ManagementRealm'
    Is this correct yes/no? yes
    Added user 'slave-user' to file '/home/user/EAP-7.4.0/standalone/configuration/mgmt-users.properties'
    Added user 'slave-user' to file '/home/user/EAP-7.4.0/domain/configuration/mgmt-users.properties'
    Added user 'slave-user' with groups  to file '/home/user/EAP-7.4.0/standalone/configuration/mgmt-groups.properties'
    Added user 'slave-user' with groups  to file '/home/user/EAP-7.4.0/domain/configuration/mgmt-groups.properties'
    Is this new user going to be used for one AS process to connect to another AS process?
    e.g. for a slave host controller connecting to the master or for a Remoting connection for server to server EJB calls.
    yes/no? yes
    To represent the user add the following to the server-identities definition <secret value="ABCzc3dv11Qx" />

  2. クレデンシャルを使用するようにスレーブコントローラーを設定します。

    マスタードメインコントローラーでユーザーを作成したら、ホスト設定ファイル (例: host.xml または host-slave.xml) で、その認証ファイルを使用するように各スレーブコントローラーを更新する必要があります。これを行うには、ドメインコントローラー設定の <remote> 要素にユーザー名を追加する必要があります。<remote> 要素をセキュア化するために使用されるレリムの server identities<secret> を追加する必要があります。直前の手順でユーザーをマスタードメインコントローラーに追加する際に、ユーザー名と <secret> の両方が取得されていました。

    例: スレーブコントローラーの設定

    ...
    <security-realm name="ManagementRealm">
        <server-identities>
            <!-- Replace this with either a base64 password of your own, or use a vault with a vault expression -->
            <secret value="ABCzc3dv11Qx"/>
        </server-identities>
    ...
    <domain-controller>
      <remote security-realm="ManagementRealm" username="slave-user">
          <discovery-options>
              <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9990}"/>
          </discovery-options>
      </remote>
    </domain-controller>