11.9.6. Configuração da Determinação da Função do Grupo com jboss-cli.sh
Os grupos a serem incluídos ou excluídos da função podem ser configurados num Console de Gerenciamento e a ferramenta
jboss-cli.sh
. Este tópico apresenta apenas o uso da ferramenta jboss-cli.sh
.
A configuração de grupos e usuários de mapeamento às funções está localizada no API de gerenciamento no:
/core-service=management/access=authorization
como elementos role-mapping.
Apenas usuários com funções de Administrador ou Super Usuários podem executar esta configuração.
Procedimento 11.16. Visualização da Configuração da Determinação da Função do Grupo
- Use a operação
read-children-names
para obter uma lista das funções configuradas:/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
[standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping) { "outcome" => "success", "result" => [ "ADMINISTRATOR", "DEPLOYER", "MAINTAINER", "MONITOR", "OPERATOR", "SuperUser" ] }
- Use a operação
read-resource
de um role-mapping especificado para obter detalhes completos de uma função específica:/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
[standalone@localhost:9999 access=authorization] ./role-mapping=ADMINISTRATOR:read-resource(recursive=true) { "outcome" => "success", "result" => { "include-all" => false, "exclude" => undefined, "include" => { "user-theboss" => { "name" => "theboss", "realm" => undefined, "type" => "USER" }, "user-harold" => { "name" => "harold", "realm" => undefined, "type" => "USER" }, "group-SysOps" => { "name" => "SysOps", "realm" => undefined, "type" => "GROUP" } } } } [standalone@localhost:9999 access=authorization]
Procedimento 11.17. Adição de uma nova função
Este procedimento apresenta como adicionar uma entrada role-mapping para a função. Isto deve ser feito antes da função poder ser configurada.
- Use a operação
add
para adicionar uma nova configuração da função./core-service=management/access=authorization/role-mapping=ROLENAME:add
[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR:add {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procedimento 11.18. Adição de um Grupo conforme incluído na função
Este procedimento apresenta como adicionar um Grupo a ser incluído na lista de uma função.
Caso nenhuma configuração para a função for realizada, uma entrada role-mapping para isto deve ser realizada primeiramente.
- Use a operação
add
para adicionar a entrada do Grupo para incluir uma lista da função./core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=GROUPNAME, type=GROUP)
O ROLENAME é o nome da função a ser configurado.O GROUPNAME é o nome do grupo sendo adicionado à lista de inclusão.OALIAS
é um nome único para este mapeamento. A Red Hat recomenda que você use a convenção de nomeação para seus aliases tais comogroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/include=group-investigators:add(name=investigators, type=GROUP) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procedimento 11.19. Adição de um grupo como excluído à função
Este procedimento apresenta como adicionar um grupo à lista excluída de uma função.
Caso nenhuma configuração para a função tenha sido realizada, a entrada do role-mapping deve ser criada primeiramente.
- Use a operação
add
para adicionar a entrada do grupo que exclui a lista da função./core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=GROUPNAME, type=GROUP)
O ROLENAME é o nome da função sendo configurada.O GROUPNAME é o nome do grupo sendo adicionado à lista de inclusãoOALIAS
é um nome único para este mapeamento. A Red Hat recomenda que você use a convenção de nomeação para seus aliases tais comogroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/exclude=group-supervisors:add(name=supervisors, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procedimento 11.20. Remoção da configuração de inclusão da função do grupo
Este procedimento apresenta como remover a entrada de inclusão de um grupo a partir do mapeamento da função.
- Use a operação
remove
para remover a entrada./core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
O ROLENAME é o nome da função sendo configurada.OALIAS
é um nome único para este mapeamento. A Red Hat recomenda que você use a convenção de nomeação para seus aliases tais comogroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/include=group-investigators:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
A remoção do grupo a partir da lista de inclusões não remove o grupo do sistema e não garante que a função não será determinada aos usuários deste grupo. A função pode ser determinada aos usuários no grupo individualmente.
Procedimento 11.21. Remoção de uma entrada de exclusão do grupo de usuário
Este procedimento apresenta como remover uma entrada de exclusão de grupo a partir de um mapeamento da função.
- Use a operação
remove
para remover a entrada./core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
O ROLENAME é o nome da função a ser configurado.OALIAS
é um nome único para este mapeamento. A Red Hat recomenda que você use a convenção de nomeação para seus aliases tais comogroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/exclude=group-supervisors:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
A remoção do grupo da lista de exclusões não remove o grupo do sistema. Além disso, isto não garante que a função será determinada aos membros do grupo. As funções podem ser excluídas baseadas na associação do grupo.