Jump To Close Expand all Collapse all Table of contents 如何配置服务器安全性 提供有关 JBoss EAP 文档的反馈 使开源包含更多 1. 保护服务器及其接口 Expand section "1. 保护服务器及其接口" Collapse section "1. 保护服务器及其接口" 1.1. 构建块 Expand section "1.1. 构建块" Collapse section "1.1. 构建块" 1.1.1. 接口和套接字绑定 1.1.2. Elytron 子系统 Expand section "1.1.2. Elytron 子系统" Collapse section "1.1.2. Elytron 子系统" 1.1.2.1. 启用跨服务器的 Elytron 安全 1.1.2.2. 创建 Elytron 安全域 1.1.2.3. 创建 Elytron Security Realm 1.1.2.4. 创建 Elytron Role Decoder 1.1.2.5. 将 source-address-role-decoder 添加到 elytron 子系统 1.1.3. 配置 elytron 子系统的 aggregate-role-decoder Expand section "1.1.3. 配置 elytron 子系统的 aggregate-role-decoder" Collapse section "1.1.3. 配置 elytron 子系统的 aggregate-role-decoder" 1.1.3.1. 创建 Elytron Rolemapper 1.1.3.2. 创建 Elytron 权限集 1.1.3.3. 创建 Elytron 权限映射程序 1.1.3.4. 创建身份验证配置 1.1.3.5. 创建身份验证上下文 1.1.3.6. 创建 Elytron 身份验证工厂 1.1.3.7. 创建 Elytron Keystore 1.1.3.8. 创建 Elytron Key Manager 1.1.3.9. 创建 Elytron Truststore 1.1.3.10. 创建 Elytron Trust Manager 1.1.3.11. 使用开箱即用的 Elytron 组件 Expand section "1.1.3.11. 使用开箱即用的 Elytron 组件" Collapse section "1.1.3.11. 使用开箱即用的 Elytron 组件" 1.1.3.11.1. 保护管理接口 1.1.3.11.2. 保护应用程序 1.1.3.11.3. 使用 SSL/TLS 1.1.3.11.4. 将 Elytron 与其他子系统搭配使用 1.1.3.12. 启用和禁用 Elytron 子系统 1.1.4. 旧安全子系统 Expand section "1.1.4. 旧安全子系统" Collapse section "1.1.4. 旧安全子系统" 1.1.4.1. 禁用安全子系统 1.1.4.2. 启用安全子系统 1.1.5. 旧安全域 1.1.6. 使用身份验证和套接字绑定来保护管理界面 1.2. 如何保护管理接口 Expand section "1.2. 如何保护管理接口" Collapse section "1.2. 如何保护管理接口" 1.2.1. 配置联网和端口 1.2.2. 禁用管理控制台 1.2.3. 禁用对 JMX 的远程访问 1.2.4. silent 身份验证 1.2.5. 使用 Elytron 子系统进行管理接口的单向 SSL/TLS Expand section "1.2.5. 使用 Elytron 子系统进行管理接口的单向 SSL/TLS" Collapse section "1.2.5. 使用 Elytron 子系统进行管理接口的单向 SSL/TLS" 1.2.5.1. 使用安全命令启用单向 SSL/TLS 1.2.5.2. 使用 Elytron 子系统命令启用单向 SSL/TLS 1.2.5.3. 使用管理控制台启用单向 SSL/TLS 1.2.6. 使用 Elytron 子系统进行管理接口的双向 SSL/TLS Expand section "1.2.6. 使用 Elytron 子系统进行管理接口的双向 SSL/TLS" Collapse section "1.2.6. 使用 Elytron 子系统进行管理接口的双向 SSL/TLS" 1.2.6.1. 生成客户端证书 1.2.6.2. 使用安全命令启用双向 SSL/TLS 1.2.6.3. 使用 Elytron 子系统命令启用双向 SSL/TLS 1.2.7. 使用 CLI 安全性命令进行管理接口的 SASL 身份验证 1.2.8. 使用 CLI 安全性命令对管理接口进行 HTTP 身份验证 1.2.9. 使用旧的内核管理验证为单向 SSL/TLS 配置管理接口 Expand section "1.2.9. 使用旧的内核管理验证为单向 SSL/TLS 配置管理接口" Collapse section "1.2.9. 使用旧的内核管理验证为单向 SSL/TLS 配置管理接口" 1.2.9.1. 创建密钥存储来保护管理接口 1.2.9.2. 确保管理接口绑定到 HTTPS 1.2.9.3. 自定义 socket-binding-group 1.2.9.4. 创建新的安全域 1.2.9.5. 配置管理接口以使用安全域 1.2.9.6. 配置管理接口以使用密钥存储 1.2.9.7. 更新 jboss-cli.xml 文件 1.2.10. 为使用旧核心管理身份验证的管理接口设置双向 SSL/TLS 1.2.11. HTTPS Listener 参考 Expand section "1.2.11. HTTPS Listener 参考" Collapse section "1.2.11. HTTPS Listener 参考" 1.2.11.1. 关于 Cipher Suites 1.2.12. 使用 OpenSSL 供应商启用对 TLS 1.3 协议的支持 1.2.13. FIPS 140-2 Compliant Cryptography Expand section "1.2.13. FIPS 140-2 Compliant Cryptography" Collapse section "1.2.13. FIPS 140-2 Compliant Cryptography" 1.2.13.1. 在 Red Hat Enterprise Linux 7 及之后的版本中为 SSL/TLS 启用 FIPS 140-2 Cryptography 1.2.13.2. 使用 Bouncy Castle 启用 FIPS 140-2 Cryptography for SSL/TLS 1.2.14. IBM JDK 上的 FIPS 140-2 Compliant Cryptography Expand section "1.2.14. IBM JDK 上的 FIPS 140-2 Compliant Cryptography" Collapse section "1.2.14. IBM JDK 上的 FIPS 140-2 Compliant Cryptography" 1.2.14.1. 密钥存储 1.2.14.2. 管理 CLI 配置 1.2.14.3. 检查 FIPS 提供者信息 1.2.15. 当 JVM 在 FIPS 模式中运行时启动受管域(Managed Domain) 1.2.16. 使用红帽单点登录保护管理控制台 1.3. 为旧安全域配置安全审核 1.4. 使用 Elytron 进行安全审核 Expand section "1.4. 使用 Elytron 进行安全审核" Collapse section "1.4. 使用 Elytron 进行安全审核" 1.4.1. Elytron 审计日志记录 1.4.2. 启用文件审计日志记录 1.4.3. 启用定期轮转文件审计日志记录 1.4.4. 启用大小轮转文件审计日志记录 1.4.5. 启用 syslog 审计日志记录 1.4.6. 在 Elytron 中使用自定义安全事件监听程序 1.5. 为应用程序配置单向和双向 SSL/TLS Expand section "1.5. 为应用程序配置单向和双向 SSL/TLS" Collapse section "1.5. 为应用程序配置单向和双向 SSL/TLS" 1.5.1. 面向应用程序的自动自签名证书创建 1.5.2. 使用 Elytron Expand section "1.5.2. 使用 Elytron" Collapse section "1.5.2. 使用 Elytron" 1.5.2.1. 使用 Elytron subsystem 为应用程序启用单向 SSL/TLS 1.5.2.2. 使用 Elytron subsystem 为应用程序启用双向 SSL/TLS 1.5.3. 在 Elytron 中使用 CRL 配置证书撤销 1.5.4. 在 Elytron 中配置使用 OCSP 的认证撤销 1.5.5. 使用旧的安全性 Realms Expand section "1.5.5. 使用旧的安全性 Realms" Collapse section "1.5.5. 使用旧的安全性 Realms" 1.5.5.1. 为使用旧安全 Realms 的应用启用单向 SSL/TLS 1.5.5.2. 为使用旧安全 Realms 的应用启用双向 SSL/TLS 1.6. 使用 CLI 安全性命令为应用程序启用 HTTP 验证 Expand section "1.6. 使用 CLI 安全性命令为应用程序启用 HTTP 验证" Collapse section "1.6. 使用 CLI 安全性命令为应用程序启用 HTTP 验证" 1.6.1. 为管理接口禁用 HTTP 验证 1.7. SASL 身份验证机制 Expand section "1.7. SASL 身份验证机制" Collapse section "1.7. SASL 身份验证机制" 1.7.1. 选择 SASL 身份验证机制 1.7.2. 在服务器范围内配置 SASL 身份验证机制 1.7.3. 在客户端方中指定 SASL 身份验证机制 1.7.4. 配置 SASL 身份验证机制属性 1.8. Elytron 与 ModCluster 子系统集成 Expand section "1.8. Elytron 与 ModCluster 子系统集成" Collapse section "1.8. Elytron 与 ModCluster 子系统集成" 1.8.1. 定义客户端 SSL 上下文并配置 ModCluster subsystem 1.9. Elytron 与 JGroups 子系统集成 1.10. Elytron 与 Remoting subsystem 集成 Expand section "1.10. Elytron 与 Remoting subsystem 集成" Collapse section "1.10. Elytron 与 Remoting subsystem 集成" 1.10.1. Elytron 与补救连接器集成 Expand section "1.10.1. Elytron 与补救连接器集成" Collapse section "1.10.1. Elytron 与补救连接器集成" 1.10.1.1. 启用单向 SSL/TLS 使用 elytron 子系统重新移动连接器 1.10.1.2. 启用双向 SSL/TLS 使用 elytron 子系统重新移动连接器 1.10.2. Elytron 与补救 HTTP 连接器集成 Expand section "1.10.2. Elytron 与补救 HTTP 连接器集成" Collapse section "1.10.2. Elytron 与补救 HTTP 连接器集成" 1.10.2.1. 在 remoting HTTP 连接器中启用单向 SSL 1.10.2.2. 在 remoting HTTP 连接器中启用双向 SSL/TLS 1.10.3. Elytron 与远程出站连接器集成 1.11. 用于 SSL/TLS 的额外 Elytron 组件 Expand section "1.11. 用于 SSL/TLS 的额外 Elytron 组件" Collapse section "1.11. 用于 SSL/TLS 的额外 Elytron 组件" 1.11.1. 使用 ldap-key-store 1.11.2. 使用 filtering-key-store 1.11.3. 重新加载密钥存储 1.11.4. 重新初始化密钥管理器 1.11.5. 重新初始化信任管理器 1.11.6. Keystore Alias 1.11.7. 使用 client-ssl-context 1.11.8. 使用 server-ssl-context 1.11.9. 使用 server-ssl-sni-context 1.11.10. 自定义 SSL 组件 Expand section "1.11.10. 自定义 SSL 组件" Collapse section "1.11.10. 自定义 SSL 组件" 1.11.10.1. 在 Elytron 中添加自定义组件 1.11.10.2. 在自定义 Elytron 组件中包含参数 1.11.10.3. 使用带有 Elytron 的自定义信任管理器 1.11.11. 默认 SSLContext 1.11.12. 使用证书撤销列表 1.11.13. 使用证书颁发机构管理签名证书 1.11.14. Keystore Manipulation Operations Expand section "1.11.14. Keystore Manipulation Operations" Collapse section "1.11.14. Keystore Manipulation Operations" 1.11.14.1. 密钥存储证书颁发机构操作 1.11.15. 使用 Subject Alternative Name Extension 为 X.509 证书配置 Evidence Decoder 1.11.16. 配置 Aggregate Evidence Decoder 1.11.17. 配置 X.500 Subject Evidence Decoder 1.11.18. 使用自定义 Evidence Decoder 实现 2. 保护托管域 Expand section "2. 保护托管域" Collapse section "2. 保护托管域" 2.1. 使用 elytron为域控制器配置密码身份验证 2.2. 使用旧的内核管理验证为域控制器配置密码身份验证 2.3. 使用 Elytron 为域控制器配置 SSL 或 TLS 2.4. 使用 Elytron 在域模式中配置 SSL 2.5. 为旧的核心管理验证机制配置 SSL 或 TLS 3. 保护服务器的用户及其管理界面 Expand section "3. 保护服务器的用户及其管理界面" Collapse section "3. 保护服务器的用户及其管理界面" 3.1. 使用 Elytron 进行用户身份验证 Expand section "3.1. 使用 Elytron 进行用户身份验证" Collapse section "3.1. 使用 Elytron 进行用户身份验证" 3.1.1. 默认配置 Expand section "3.1.1. 默认配置" Collapse section "3.1.1. 默认配置" 3.1.1.1. 默认 Elytron HTTP 验证配置 3.1.1.2. 默认 Elytron 管理 CLI 身份验证 3.1.2. 使用新身份存储保护管理接口 3.1.3. 添加 Silent 身份验证 3.1.4. Authenticated Management 用户映射身份 3.1.5. 通过管理 CLI 使用 Elytron 客户端 3.2. 使用 Elytron 进行身份传播和转发 Expand section "3.2. 使用 Elytron 进行身份传播和转发" Collapse section "3.2. 使用 Elytron 进行身份传播和转发" 3.2.1. 为远程调用传播安全识别信息 3.2.2. 使用授权转发模式 3.2.3. 创建 case-principal-transformer 以更改主体用户名的问题单字符 3.2.4. 检索安全身份凭证 3.2.5. 支持安全身份传播机制 3.3. 使用 Elytron 进行身份切换 Expand section "3.3. 使用 Elytron 进行身份切换" Collapse section "3.3. 使用 Elytron 进行身份切换" 3.3.1. 在 Server-to-server Jakarta Enterprise Beans 调用中切换身份 3.4. 使用传统核心管理身份验证进行用户身份验证 Expand section "3.4. 使用传统核心管理身份验证进行用户身份验证" Collapse section "3.4. 使用传统核心管理身份验证进行用户身份验证" 3.4.1. 默认用户配置 3.4.2. 通过 LDAP 添加身份验证 3.4.3. 使用 JAAS 来保护管理界面 3.5. 基于角色的访问控制 Expand section "3.5. 基于角色的访问控制" Collapse section "3.5. 基于角色的访问控制" 3.5.1. 启用基于角色的访问控制 3.5.2. 更改权限组合策略 3.5.3. 管理角色 Expand section "3.5.3. 管理角色" Collapse section "3.5.3. 管理角色" 3.5.3.1. 使用管理 CLI 配置用户角色分配 3.5.4. 使用 Elytron subsystem 配置用户角色分配 3.5.5. 角色和用户组 3.5.6. 使用管理 CLI 配置组角色分配 3.5.7. 通过 LDAP 使用 RBAC 3.5.8. 有范围角色 Expand section "3.5.8. 有范围角色" Collapse section "3.5.8. 有范围角色" 3.5.8.1. 通过管理 CLI 配置范围角色 3.5.8.2. 从管理控制台配置范围角色 3.5.9. 配置限制 Expand section "3.5.9. 配置限制" Collapse section "3.5.9. 配置限制" 3.5.9.1. 配置敏感限制 3.5.9.2. 列出敏感限制 3.5.9.3. 配置应用程序资源限制 3.5.9.4. 列出应用程序资源限制 3.5.9.5. 配置 Vault 表达式约束 4. 凭证的安全存储 Expand section "4. 凭证的安全存储" Collapse section "4. 凭证的安全存储" 4.1. 凭证存储在 Elytron 中 Expand section "4.1. 凭证存储在 Elytron 中" Collapse section "4.1. 凭证存储在 Elytron 中" 4.1.1. Elytron 提供的凭证存储 Expand section "4.1.1. Elytron 提供的凭证存储" Collapse section "4.1.1. Elytron 提供的凭证存储" 4.1.1.1. KeyStoreCredentialStore/credential-store 4.1.1.2. PropertiesCredentialStore/secret-key-credential-store 4.1.2. Elytron 中的凭证类型 4.1.3. Elytron 凭证存储支持的凭证类型 4.1.4. 使用 JBoss EAP 管理 CLI 的凭据存储操作 Expand section "4.1.4. 使用 JBoss EAP 管理 CLI 的凭据存储操作" Collapse section "4.1.4. 使用 JBoss EAP 管理 CLI 的凭据存储操作" 4.1.4.1. 为独立服务器创建 KeyStore/credential-store 4.1.4.2. 为受管域创建 KeyStore/credential-store 4.1.4.3. 为独立服务器创建 PropertiesCredentialStore/secret-key-credential-store 4.1.4.4. 将密码凭证添加到 KeyStoreStore/credential-store 4.1.4.5. 在 KeyStoreStore/credential-store 中生成 SecretKeyCredential 4.1.4.6. 在 PropertiesCredentialStore/secret-key-credential-store 中生成 SecretKeyCredential 4.1.4.7. 将 SecretKeyCredential 导入到 PropertiesCredentialStore/secret-key-credential-store 4.1.4.8. 列出 KeyStoreStore/credential-store 中的凭证 4.1.4.9. 列出 PropertiesCredentialStore/secret-key-credential-store 中的凭证 4.1.4.10. 从 KeyStoreCredential/credential-store 导出 SecretKeyCredential 4.1.4.11. 从 PropertiesCredentialStore/secret-key-credential-store 导出 SecretKeyCredential 4.1.4.12. 从 KeyStoreCredentialStore/credential-store 中删除凭证 4.1.4.13. 从 PropertiesCredentialStore/secret-key-credential-store 中删除凭证 4.1.5. 使用 WildFly Elytron 工具进行凭证存储操作 Expand section "4.1.5. 使用 WildFly Elytron 工具进行凭证存储操作" Collapse section "4.1.5. 使用 WildFly Elytron 工具进行凭证存储操作" 4.1.5.1. 使用 WildFly Elytron 工具创建 KeyStore/credential-store 4.1.5.2. 使用 Bouncy Castle 供应商创建 KeyStoreStore/credential-store 4.1.5.3. 使用 WildFly Elytron 工具创建 PropertiesCredentialStore/secret-key-credential-store 4.1.5.4. WildFly Elytron 工具 KeyStoreCredentialStore/credential-store 操作 4.1.5.5. WildFly Elytron 工具 PropertiesCredentialStore/secret-key-credential-store 操作 4.1.5.6. 将使用 WildFly Elytron 工具创建的凭据存储添加到 JBoss EAP 服务器 4.1.5.7. WildFly Elytron 工具密钥对管理操作 4.1.5.8. 在 Elytron 配置文件中使用存储的密钥对示例 4.1.5.9. 使用 WildFly Elytron 工具生成屏蔽的加密字符串 4.1.6. Elytron 中的加密表达式 4.1.7. 在 Elytron 中创建加密的表达式 4.1.8. 在 JBoss EAP 配置中使用密码凭证 4.1.9. 使用加密表达式来保护 KeyStore/credential-store 4.1.10. 自动更新凭证存储在凭证存储中 4.1.11. 定义 FIPS 140-2 兼容凭证存储 Expand section "4.1.11. 定义 FIPS 140-2 兼容凭证存储" Collapse section "4.1.11. 定义 FIPS 140-2 兼容凭证存储" 4.1.11.1. 使用 NSS 数据库定义 FIPS 140-2 兼容凭证存储 4.1.11.2. 使用 Bouncy Castle 供应商定义 FIPS 140-2 兼容凭证存储 4.1.12. 使用凭证存储的自定义实现 4.1.13. 从外部来源获取凭证存储的密码 4.1.14. 为 JBoss EAP 提供初始密钥以解锁安全资源 Expand section "4.1.14. 为 JBoss EAP 提供初始密钥以解锁安全资源" Collapse section "4.1.14. 为 JBoss EAP 提供初始密钥以解锁安全资源" 4.1.14.1. 为独立服务器创建 PropertiesCredentialStore/secret-key-credential-store 4.1.14.2. 在 Elytron 中创建加密的表达式 4.1.14.3. 使用加密表达式来保护 KeyStore/credential-store 4.1.15. 将密码库转换为凭证存储 Expand section "4.1.15. 将密码库转换为凭证存储" Collapse section "4.1.15. 将密码库转换为凭证存储" 4.1.15.1. 使用 WildFly Elytron 工具将单个密码库转换为凭据存储 4.1.15.2. 使用 WildFly Elytron 工具批量将密码 vault 转换为凭证存储 4.1.16. 使用 Elytron 客户端的凭证存储示例 4.2. 密码 Vault Expand section "4.2. 密码 Vault" Collapse section "4.2. 密码 Vault" 4.2.1. 设置密码 Vault 4.2.2. 初始化密码 Vault 4.2.3. 使用密码 Vault 4.2.4. 在 Password Vault 中存储敏感字符串 4.2.5. 在配置中使用加密敏感字符串 4.2.6. 在应用程序中使用加密敏感字符串 4.2.7. 检查敏感字符串是否在 Password Vault 中 4.2.8. 从 Password Vault 中删除敏感字符串 4.2.9. 配置 Red Hat JBoss Enterprise Application Platform 平台,以使用密码 Vault 的自定义实施 4.2.10. 从外部源获取密钥存储密码 5. Java 安全管理器 Expand section "5. Java 安全管理器" Collapse section "5. Java 安全管理器" 5.1. 关于 Java 安全管理器 5.2. 关于 Java 安全策略 Expand section "5.2. 关于 Java 安全策略" Collapse section "5.2. 关于 Java 安全策略" 5.2.1. 关于在安全管理器子系统中定义策略 5.2.2. 关于在部署中定义策略 5.2.3. 关于在模块中定义策略 5.3. 使用 Java 安全管理器运行 JBoss EAP Expand section "5.3. 使用 Java 安全管理器运行 JBoss EAP" Collapse section "5.3. 使用 Java 安全管理器运行 JBoss EAP" 5.3.1. 使用带有启动配置脚本的 -secmgr 标志。 5.3.2. 使用启动配置文件 5.4. 从之前的版本进行迁移前的注意事项 A. 参考资料 Expand section "A. 参考资料" Collapse section "A. 参考资料" A.1. Elytron 子系统组件参考 A.2. 配置您的环境以使用 BouncyCastle 供应商 A.3. SASL 身份验证机制参考 Expand section "A.3. SASL 身份验证机制参考" Collapse section "A.3. SASL 身份验证机制参考" A.3.1. 支持 SASL 身份验证机制的级别 A.3.2. SASL 身份验证机制属性 A.4. 安全授权参数 A.5. Elytron Client Side One way 示例 A.6. Elytron 客户端方双向示例 法律通告 Settings Close Language: 日本語 简体中文 한국어 English Language: 日本語 简体中文 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 한국어 English Language: 日本語 简体中文 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page 1.9. Elytron 与 JGroups 子系统集成 在 jgroups 子系统中定义授权或加密协议时,可能会引用 elytron 子系统中的组件。有关配置这些协议的完整说明,请参阅配置指南中的保护集群部分。 Previous Next