Menu Close
Settings Close

Language and Page Formatting Options

4.3. 使用新身份存储保护管理接口和应用程序

此方案演示了 JBoss EAP 中的管理接口和应用如何通过 Elytron 中的新身份存储进行保护。sampleApp2.war 应用已部署到 JBoss EAP,并且配置为使用 basicExampleDomain

4.3.1. 安全性

JBoss EAP 能够通过 ManagementRealm 和 ApplicationRealm 之外的身份存储来保护管理接口和应用程序。借助 Elytron,同一身份存储可用于保护管理接口和应用的安全,但您仍然可以选择为每个用户设置单独的身份存储。身份存储由安全域表示,例如 filesystem-realmjdbc-realmldap-realm。在本示例中,已创建了名为 exampleRealmfilesystem-realm。还创建了一个名为 exampleDomain 的安全域,它使用 exampleRealm 作为身份存储,group -to-roles 角色 映射器对 exampleRealm 提供的组信息进行解码,使用 default-permission-mapper 进行映射权限。

对于 HTTP 身份验证,已创建 http-authentication-factory,名为 exampleHttpAuthFactory。它使用 全局 HTTP 服务器工厂机制和 exampleDomain 进行身份验证。它还有两种机制配置:使用 BASIC 验证方法之一公开为 basicExampleDomain,它使用 DIGEST 身份验证方法作为 摘要ExampleDomain。HTTP 管理接口已配置为使用 exampleHttpAuthFactoryundertow 子系统也配置了一个新的 application-security-domain, 它也使用 exampleHttpAuthFactory。应用 sampleApp2.war 已配置为使用 基本ExampleDomain 和 BASIC 身份验证。

对于 SASL 身份验证,创建了一个名为 exampleSa slAuthFactory 的 sasl -authentication-factory。它使用 配置的 SASL 服务器工厂和 exampleDomain 进行身份验证。它还配置了 DIGEST-MD5 身份验证机制,它作为 摘要MD5ExampleDomain 公开。管理接口的 SASL 配置已设置为使用 exampleSaslAuthFactory