5.3. LDAP 和 RBAC

RBAC(基于角色的访问控制)是一种为管理用户指定一组权限(角色)的机制。这允许用户获得不同的管理职责,而无需给予他们完全、不受限制的访问权限。有关 RBAC 的详情,请参阅 JBoss EAP 安全架构指南中的基于角色的访问控制小节

RBAC 仅用于授权,身份验证需单独处理。由于 LDAP 可以用于身份验证和授权,因此可使用以下方式配置 JBoss EAP:

  • 仅将 RBAC 用于授权,并且仅将 LDAP 或其他机制用于身份验证。
  • 使用 RBAC 和 LDAP 在管理界面中做出授权决策。

5.3.1. 独立使用 LDAP 和 RBAC

JBoss EAP 允许在安全域中独立配置身份验证和授权。这样,可以将 LDAP 配置为身份验证机制和 RBAC,并配置为授权机制。如果以这种方式配置,用户尝试访问管理界面时,将首先使用配置的 LDAP 服务器进行身份验证。如果成功,则用户的角色和配置权限将仅使用 RBAC,而不考虑 LDAP 服务器中的任何组信息。

有关仅将 RBAC 用作管理接口的授权机制的更多详细信息,请参阅如何为 JBoss EAP 配置服务器安全性。有关配置 LDAP 以使用管理接口进行身份验证的更多详细信息,请参见上一节