Menu Close
Settings Close

Language and Page Formatting Options

3.5.8. 有范围角色

有作用域角色是用户定义的角色,可授予其中一个标准角色的权限,但仅对 JBoss EAP 受管域中的一个或多个指定的服务器组或主机授予。通过有作用域角色,可以允许管理用户将权限授予限制那些仅需要那些服务器组或主机的权限。

重要

可为分配了 AdministratorSuperUser 角色的用户创建作用域角色。

它们由五个特征定义:

  • 唯一的名称。
  • 它要基于的标准角色。
  • 如果它适用于服务器组或主机。
  • 仅限于的服务器组或主机的列表。
  • 如果所有用户被自动包含。默认值为 false

创建范围的角色后,可以按照与标准角色相同的方式分配给用户和组。

创建全范围角色不允许定义新权限。有作用域角色只能用于在有限范围内应用现有角色的权限。例如,可以基于 restricted 到单个服务器组的 Deployer 角色创建范围的角色。

角色只能限制以下两范围:

主机范围内的角色
主机作用域的角色将该角色的权限限制为一个或多个主机。这意味着,可以访问相关的 /host=*/ 资源树,但特定于其他主机的资源会被隐藏。
server-group-scoped 角色
即 server-group 范围的角色将该角色的权限限制为一个或多个服务器组。此外,角色权限也适用于与指定 server-groups 关联的 profile、套接字绑定组、服务器配置和服务器资源。任何与 server-group 相关的子资源都不会对用户可见。
重要

有些资源无法被 server-grouphost 范围角色提供简化的管理视图,以提高可用性。这与无法被寻址的资源不同,从而保护敏感数据。

对于 主机 范围的角色,这意味着如果它们与角色指定的服务器组无关,则管理模型中的 /host=* 部分中的资源将不可见。

对于 server-group scoped 角色,这意味着 配置文件 中的资源、socket-binding-group部署、Deployment-overlayserver-groupserver-configserver 部分(如果与为角色指定的服务器组无关)将无法看到。

3.5.8.1. 通过管理 CLI 配置范围角色

重要

只有 SuperUserAdministrator 角色的用户才能执行此配置。

添加新的范围角色

要添加新的范围的角色,必须执行以下操作:

/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:add
/core-service=management/access=authorization/server-group-scoped-role=NEW-SCOPED-ROLE:add(base-role=BASE-ROLE, server-groups=[SERVER-GROUP-NAME])

NEW-SCOPED-ROLEBASE-ROLESERVER-GROUP-NAME 替换为正确的信息。

查看并编辑范围角色映射

使用以下命令可以查看有范围的角色详情,包括成员:

/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:read-resource(recursive=true)

用正确的信息替换 NEW-SCOPED-ROLE

要编辑有范围的角色详情,可以使用 write-attribute 命令。例如:

/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:write-attribute(name=include-all, value=true)

用正确的信息替换 NEW-SCOPED-ROLE

删除范围角色
/core-service=management/access=authorization/role-mapping=NEW-SCOPED-ROLE:remove
/core-service=management/access=authorization/server-group-scoped-role=NEW-SCOPED-ROLE:remove

用正确的信息替换 NEW-SCOPED-ROLE

重要

如果分配了用户或组,则无法删除有范围的角色。首先删除角色分配,然后删除它。

添加和删除用户

向范围角色添加和删除用户与 添加和删除标准角色 的过程相同。