3.2. Configuração de Segurança do Usuário Default

Introdução

Todas as interfaces de gerenciamento do JBoss Enterprise Application Plataform 6 são asseguradas por default. Esta segurança leva duas formas diferentes:

  • As interfaces locais são asseguradas pelo contrato SASL entre os clientes locais e o servidor que eles conectam. Esse mecanismo de segurança é baseado na habilidade do cliente acessar o filesystem local. Isto é devido uma vez que o acesso ao filesystem local permitiria o cliente adicionar um usuário ou, do contrário, alterar a configuração para impedir outros mecanismos de segurança. Isto adere o princípio de que se um acesso físico ao filesystem for atingido, outros mecanismos de segurança serão supérfluos. O mecanismo acontece em quatro etapas:

    Nota

    O acesso HTTP é considerado remoto, mesmo que você conecte ao localhost usando o HTTP.
    1. O cliente envia uma mensagem ao servidor que inclui uma solicitação para autenticar ao mecanismo SASL local.
    2. O servidor gera o token de uma vez, o grava a um arquivo único e envia uma mensagem ao cliente com o caminho completo ao do arquivo.
    3. O cliente lê o token a partir do arquivo e o envia ao servidor, verificando que isto possui acesso local ao filesystem.
    4. O servidor verifica o token e exclui o arquivo.
  • Os clientes remotos, incluindo os clientes HTTP locais, usam a segurança baseado no realm. O realm default com permissões para configurar o JBoss Enterprise Application Plataform 6 remotamente usando interfaces de gerenciamento é ManagementRealm. O script é fornecido que o permite adicionar usuários a este realm (ou realms que você criou). Para maiores informações sobre a adição de usuários, refira-se ao capítulo de Inicialização do guia de instalação para o JBoss Enterprise Application Plataform 6. Para cada usuário, o nome de usuário, a senha hash e o realm são stored num arquivo.
    Servidor Autônomo
    JPP_HOME/standalone/configuration/mgmt-users.properties
    Mesmo que os conteúdos do mgmt-users.properties estiverem mascarados, o arquivo deve continuar a ser tratado como um arquivo confidencial. Recomenda-se que isto seja configurado para o modo do arquivo de 600, que apenas fornece o acesso de leitura e gravação pelo proprietário do arquivo.
Reportar um erro