1.10. 管理対象ドメインのセキュア化

管理インターフェースをセキュア化する他に、管理対象ドメインの JBoss EAP インスタンス間の通信をセキュアにすることもできます。

管理対象ドメイン操作モードの概念および一般的な設定の詳細は、JBoss EAP『 設定ガイド』の「 ドメイン管理 」を参照してください

1.10.1. Elytron を使用した、スレーブとドメインコントローラー間でのパスワード認証の設定

  1. マスタードメインコントローラーでユーザーを追加します。

    スレーブコントローラーが認証に使用するには、マスタードメインコントローラーにユーザーを追加する必要があります。デフォルトのファイルベースユーザーおよびグループ認証メカニズムを使用している場合は、EAP_HOME/bin/adduser.sh を実行することで実行できます。プロンプトが表示されたら、ユーザー名、パスワード、およびその他の設定を追加します。

    add-user ユーティリティーを使用すると、ManagementRealm のユーザーと、ApplicationRealm のユーザーの両方を管理できます。

    注記

    サーバーは、メモリー内のプロパティーファイルの内容をキャッシュします。ただし、サーバーは認証リクエストごとにプロパティーファイルの変更時間を確認し、時間が更新された場合にリロードします。つまり、add-user ユーティリティーによるすべての変更が稼働中のサーバーに即座に適用されることになります。

    スレーブコントローラーは、HTTP インターフェースを使用した認証を試行します。HTTP インターフェースが ManagementRealm Elytron セキュリティーレルムで保護されている場合は、スレーブコントローラーが使用する ManagementRealm にユーザーを追加する必要があります。

    注記

    管理ユーザーのレルムのデフォルト名は ManagementRealm です。add-user ユーティリティーがレルム名の入力を要求したときに、別のレルムに切り替えていない限りデフォルトのものを許可します。

    以下の例では、パスワード password1! が設定されたユーザー slaveManagementRealm に追加済みであることを前提としています。

  2. authentication-configuration をスレーブコントローラーに追加します。

    /host=slave/subsystem=elytron/authentication-configuration=slave:add(authentication-name=slave, credential-reference={clear-text=password1!})
  3. authentication-context をスレーブコントローラーに追加します。

    /host=slave/subsystem=elytron/authentication-context=slave-context:add(match-rules=[{authentication-configuration=slave}])
  4. スレーブコントローラーでドメインコントローラーの場所と authentication-context を指定します。

    <domain-controller>
      <remote protocol="remote" host="localhost" port="9990" authentication-context="slave-context"/>
    </domain-controller>