Menu Close
Settings Close

Language and Page Formatting Options

2.7. 核心管理身份验证

核心管理身份验证负责使用 ManagementRealm 保护管理接口 HTTP 和原生的管理功能。它内置在核心管理中,默认启用和配置为核心服务。它仅负责确保管理接口的安全。

2.7.1. Security Realms

安全域是用户名、密码和组成员资格信息的身份存储,可用于对 Jakarta 企业 Bean、Web 应用和管理界面中的用户进行身份验证。最初,JBoss EAP 默认预配置了两个安全域: ManagementRealmApplicationRealm。两个安全域都使用 文件系统来存储用户和密码与用户和组成员资格信息之间的映射。默认情况下,它们在验证时使用摘要机制。

摘要机制是一种身份验证机制,它利用由多种信息组成的一次性单向哈希(包括用户名和密码映射属性文件中存储的信息)来验证用户。这使得 JBoss EAP 无需通过网络以纯文本形式发送任何密码,即可对用户进行身份验证。

JBoss EAP 安装包含一个脚本,可供管理员向两个域添加用户。以这种方式添加用户时,用户名和密码属性文件中存储用户名和密码密码。当用户尝试进行身份验证时,JBoss EAP 会将一次性使用编号 nonce 发回给客户端。然后,客户端使用用户名、密码、非ce 和一些其他字段生成单向哈希,并将用户名、非ce 和单向哈希发送到 JBoss EAP。JBoss EAP 查找用户预哈希的密码并使用该密码以及提供的用户名、非ce 和其他一些字段,以相同的方式生成另一个单向哈希。如果两端都使用相同的信息,包括正确的密码,哈希将匹配,用户通过身份验证。

虽然安全域默认使用摘要机制,但可以重新配置它们以使用其他身份验证机制。启动时,管理界面根据 ManagementRealm 中配置了哪些身份验证机制来确定将启用哪些身份验证机制。

安全域不涉及任何授权决策;但它们可以配置为加载用户组成员资格信息,随后可用于做出授权决策。用户通过身份验证后,将执行第二个步骤,以根据用户名加载组成员资格信息。

默认情况下,ManagementRealm 在管理接口的身份验证和授权中使用。ApplicationRealm 是默认的域,供 Web 应用和 Jakarta 企业 Bean 在验证和授权用户使用。