Menu Close
Settings Close

Language and Page Formatting Options

1.10. Elytron 与 Remoting subsystem 集成

1.10.1. Elytron 与补救连接器集成

补救连接器由 SASL 身份验证工厂、套接字绑定和可选的 SSL 上下文指定。特别是,连接器的属性如下:

sasl-authentication-factory
对 SASL 身份验证工厂的引用,用于向这个连接器验证请求。有关创建此工厂的更多信息,请参阅创建 Elytron Authentication Factory
socket-binding
对套接字绑定的引用,详细描述了连接器应该侦听传入请求的接口和端口。
ssl-context
此连接器使用的服务器端 SSL 上下文的可选引用。SSL 上下文包含要使用的服务器密钥管理器和信任管理器,应在需要 SSL 的实例上定义。

例如,可以添加连接器,如下所示,SASL_FACTORY_NAME 是已经定义的身份验证工厂,SOCKET_BINDING_NAME 是现有的套接字绑定。

/subsystem=remoting/connector=CONNECTOR_NAME:add(sasl-authentication-factory=SASL_FACTORY_NAME,socket-binding=SOCKET_BINDING_NAME)

如果需要 SSL,可以使用 ssl-context 属性来引用预配置的 server-ssl-context,如下所示。

/subsystem=remoting/connector=CONNECTOR_NAME:add(sasl-authentication-factory=SASL_FACTORY_NAME,socket-binding=SOCKET_BINDING_NAME,ssl-context=SSL_CONTEXT_NAME)

1.10.1.1. 启用单向 SSL/TLS 使用 elytron 子系统重新移动连接器

以下 SASL 机制支持频道绑定到外部安全频道,如 SSL/TLS:

  • GS2-KRB5-PLUS
  • SCRAM-SHA-1-PLUS
  • SCRAM-SHA-256-PLUS
  • SCRAM-SHA-384-PLUS
  • SCRAM-SHA-512-PLUS

要使用任何这些机制,您可以配置自定义 SASL 工厂,或修改预定义的 SASL 身份验证因素之一。可以在客户端使用 SASL 机制选择器来指定适当的 SASL 机制。

先决条件

  • 配置了 密钥存储
  • 配置了 key-manager
  • 配置了 server-ssl-context,它引用定义的 key-manager

流程

  1. 为连接器创建 socket-binding。以下命令定义了在端口 11199 上侦听的 oneWayBinding 绑定。

    /socket-binding-group=standard-sockets/socket-binding=oneWayBinding:add(port=11199)
  2. 创建引用 SASL 身份验证工厂、之前创建的套接字绑定和 SSL 上下文的连接器。

    /subsystem=remoting/connector=oneWayConnector:add(sasl-authentication-factory=SASL_FACTORY,socket-binding=oneWayBinding,ssl-context=SSL_CONTEXT)
    重要

    如果您同时定义了 security-realmssl-context,JBoss EAP 将使用 ssl-context 提供的 SSL/TLS 配置。

  3. 配置客户端以信任服务器证书。Elytron Client Side One Way Example 提供了一个常规的示例客户端。这个示例使用客户端 trust-store 来配置 ssl-context

1.10.1.2. 启用双向 SSL/TLS 使用 elytron 子系统重新移动连接器

以下 SASL 机制支持频道绑定到外部安全频道,如 SSL/TLS:

  • GS2-KRB5-PLUS
  • SCRAM-SHA-1-PLUS
  • SCRAM-SHA-256-PLUS
  • SCRAM-SHA-384-PLUS
  • SCRAM-SHA-512-PLUS

要使用任何这些机制,您可以配置自定义 SASL 工厂,或修改预定义的 SASL 身份验证因素之一以提供这些机制。可以在客户端使用 SASL 机制来指定适当的 SASL 机制。

先决条件

  • 为客户端和服务器证书配置单独的 key-store 组件。
  • 为服务器 key-store 配置了一个 key-manager
  • 为服务器 trust-store 配置了一个 trust-manager
  • 配置了 server-ssl-context,它引用了定义的 key-managertrust-manager

流程

  1. 为连接器创建 socket-binding。以下命令定义了侦听端口 11199twoWayBinding 绑定。

    /socket-binding-group=standard-sockets/socket-binding=twoWayBinding:add(port=11199)
  2. 创建引用 SASL 身份验证工厂、之前创建的套接字绑定和 SSL 上下文的连接器。

    /subsystem=remoting/connector=twoWayConnector:add(sasl-authentication-factory=SASL_FACTORY,socket-binding=twoWayBinding,ssl-context=SSL_CONTEXT)
    重要

    如果您同时定义了 security-realmssl-context,JBoss EAP 将使用 ssl-context 提供的 SSL/TLS 配置。

  3. 将您的客户端配置为信任服务器证书,并将其证书提供给服务器。

    您需要将客户端配置为向服务器提供可信客户端证书,以完成双向 SSL/TLS 身份验证。例如,如果使用浏览器,您需要将可信证书导入到浏览器的信任存储中。Elytronon Client Side Two way Example 包括了一个常规的示例客户端。这个示例使用客户端 trust-storekey-store 来配置 ssl-context

现在,在 remoting connector 上启用了双向 SSL/TLS。