Menu Close
Settings Close

Language and Page Formatting Options

2.7.3.3. 관리 인터페이스에 RBAC 추가

기본적으로 RBAC 시스템은 비활성화되어 있습니다. provider 특성을 단순 에서 rbac 로 변경하여 활성화합니다. 이 작업은 관리 CLI를 사용하여 수행할 수 있습니다. 실행 중인 서버에서 RBAC를 비활성화하거나 활성화하면 적용되기 전에 서버 구성을 다시 로드해야 합니다.

관리 인터페이스에 대해 RBAC를 활성화하면 사용자에게 할당된 역할은 액세스 권한이 있는 리소스와 리소스의 특성을 사용하여 수행할 수 있는 작업을 결정합니다. Administrator 또는 SuperUser 역할의 사용자만 액세스 제어 시스템을 보고 변경할 수 있습니다.

주의

사용자와 역할이 올바르게 구성되지 않고 RBAC를 활성화하면 관리자가 관리 인터페이스에 로그인할 수 없습니다.

관리 콘솔에 대한 RBAC의 영향

관리 콘솔에서 일부 제어 및 보기가 비활성화되어 사용자가 할당한 역할의 권한에 따라 회색으로 표시되거나 전혀 표시되지 않습니다.

사용자가 리소스 속성에 대한 읽기 권한이 없는 경우 해당 속성은 콘솔에 비어 있습니다. 예를 들어 대부분의 역할은 데이터 소스의 사용자 이름 및 암호 필드를 읽을 수 없습니다.

사용자에게 읽기 권한이 있지만 리소스 속성에 대한 쓰기 권한이 없는 경우 해당 속성은 리소스의 편집 양식에서 비활성화됩니다. 사용자에게 리소스에 대한 쓰기 권한이 없는 경우 리소스에 대한 편집 버튼이 표시되지 않습니다.

사용자에게 리소스 또는 속성에 액세스할 수 있는 권한이 없습니다. 즉, 해당 역할에 대해 주소 지정이 불가능한 경우 해당 사용자의 콘솔에 표시되지 않습니다. 그 예는 기본적으로 몇 가지 역할에만 표시되는 액세스 제어 시스템 자체입니다.

관리 콘솔은 다음과 같은 일반적인 RBAC 작업에 대한 인터페이스도 제공합니다.

  • 각 사용자에게 할당되거나 제외되는 역할을 보고 구성합니다.
  • 각 그룹에 할당되거나 제외되는 역할을 보고 구성합니다.
  • 역할별로 그룹 및 사용자 멤버십을 확인합니다.
  • 역할당 기본 멤버십을 구성합니다.
  • 범위가 지정된 역할을 생성합니다.
참고

현재 관리 콘솔에서 제한 조건을 구성할 수 없습니다.

관리 CLI 또는 관리 API에서 RBAC의 영향

관리 CLI 또는 관리 API 사용자는 RBAC가 활성화되면 약간 다른 동작이 발생합니다.

읽을 수 없는 리소스 및 속성은 결과에서 필터링됩니다. 필터링된 항목이 역할에서 처리할 수 있는 경우 해당 이름은 결과의 response -headers 섹션에 filtered- attributes 로 나열됩니다. 역할에서 리소스 또는 특성을 처리할 수 없는 경우 나열되지 않습니다.

주소 지정 가능하지 않은 리소스에 액세스하려고 하면 Resource Not Found 오류가 발생합니다.

사용자가 처리할 수 있지만 적절한 쓰기 또는 읽기 권한이 없는 리소스를 작성하거나 읽으려는 경우 Permission Denied 오류가 반환됩니다.

관리 CLI는 관리 콘솔과 동일한 모든 RBAC 작업과 몇 가지 추가 작업을 수행할 수 있습니다.

  • RBAC 활성화 및 비활성화
  • 권한 조합 정책 변경
  • 애플리케이션 리소스 및 리소스 민감도 제한 조건 구성

자카르타 관리 빈에 대한 RBAC의 효과

역할 기반 액세스 제어는 다음 세 가지 방법으로 자카르타 관리에 적용됩니다.

  1. JBoss EAP의 관리 API는 Jakarta Management가 관리하는 빈으로 노출됩니다. 이러한 관리 빈은 코어 mbean이라고 하며 이에 대한 액세스는 기본 관리 API 자체와 정확히 동일하게 제어 및 필터링됩니다.
  2. jmx 하위 시스템은 민감한 쓰기 권한으로 구성됩니다. 즉, AdministratorSuperUser 역할의 사용자만 해당 하위 시스템을 변경할 수 있습니다. 감사자 역할의 사용자는 이 하위 시스템 구성을 읽을 수도 있습니다.
  3. 배포된 애플리케이션 및 서비스 또는 비코어 MBean에서 등록한 빈은 기본적으로 모든 관리 사용자가 액세스할 수 있지만 유지 관리자,Operator, 관리자 SuperUser 역할의 사용자만 쓸 수 있습니다.

RBAC 인증

RBAC는 JBoss EAP에 포함된 표준 인증 공급자와 함께 작동합니다.

사용자 이름/암호
사용자는 로컬 속성 파일 또는 LDAP를 사용할 수 있는 ManagementRealm 의 설정에 따라 확인되는 사용자 이름 및 암호 조합을 사용하여 인증됩니다.
클라이언트 인증서
신뢰 저장소는 클라이언트 인증서에 대한 인증 정보를 제공합니다.
로컬 jboss 사용자
jboss-cli 스크립트는 서버가 동일한 시스템에서 실행 중인 경우 로컬 jboss 사용자로 자동으로 인증됩니다. 기본적으로 로컬 jboss 사용자는 SuperUser 그룹의 멤버입니다.

사용되는 공급업체에 관계없이 JBoss EAP는 사용자에게 역할을 할당합니다. ManagementRealm 또는 LDAP 서버로 인증할 때 해당 시스템은 사용자 그룹 정보를 제공할 수 있습니다. 이 정보는 JBoss EAP에서 사용자에게 역할을 할당하는 데 사용할 수도 있습니다.