3.2. Configuração de Segurança do Usuário Default
Introdução
Todas as interfaces de gerenciamento do JBoss Enterprise Application Plataform 6 são asseguradas por default. Esta segurança leva duas formas diferentes:
- As interfaces locais são asseguradas pelo contrato SASL entre os clientes locais e o servidor que eles conectam. Esse mecanismo de segurança é baseado na habilidade do cliente acessar o filesystem local. Isto é devido uma vez que o acesso ao filesystem local permitiria o cliente adicionar um usuário ou, do contrário, alterar a configuração para impedir outros mecanismos de segurança. Isto adere o princípio de que se um acesso físico ao filesystem for atingido, outros mecanismos de segurança serão supérfluos. O mecanismo acontece em quatro etapas:
Nota
O acesso HTTP é considerado remoto, mesmo que você conecte ao localhost usando o HTTP.- O cliente envia uma mensagem ao servidor que inclui uma solicitação para autenticar ao mecanismo SASL local.
- O servidor gera o token de uma vez, o grava a um arquivo único e envia uma mensagem ao cliente com o caminho completo ao do arquivo.
- O cliente lê o token a partir do arquivo e o envia ao servidor, verificando que isto possui acesso local ao filesystem.
- O servidor verifica o token e exclui o arquivo.
- Os clientes remotos, incluindo os clientes HTTP locais, usam a segurança baseado no realm. O realm default com permissões para configurar o JBoss Enterprise Application Plataform 6 remotamente usando interfaces de gerenciamento é
ManagementRealm
. O script é fornecido que o permite adicionar usuários a este realm (ou realms que você criou). Para maiores informações sobre a adição de usuários, refira-se ao capítulo de Inicialização do guia de instalação para o JBoss Enterprise Application Plataform 6. Para cada usuário, o nome de usuário, a senha hash e o realm são stored num arquivo.- Servidor Autônomo
JPP_HOME/standalone/configuration/mgmt-users.properties
Mesmo que os conteúdos domgmt-users.properties
estiverem mascarados, o arquivo deve continuar a ser tratado como um arquivo confidencial. Recomenda-se que isto seja configurado para o modo do arquivo de600
, que apenas fornece o acesso de leitura e gravação pelo proprietário do arquivo.