5.2. 带有 HTTPS 和 RBAC 的红帽 JBoss 企业应用平台添加到管理接口中
此情景演示了在为管理接口启用 HTTPS 并且将 RBAC 添加到 ManagementRealm 安全域时,JBoss EAP 是如何安全的。
5.2.1. 安全性
JBoss EAP 支持将 HTTPS 与管理界面(包括管理控制台)搭配使用。若要启用 HTTPS,可以配置 secure-interface 元素,添加 secure 部分,然后使用所需的设置配置现有或新的安全域,如 server-identity、协议、密钥存储、别名等。这可让管理接口对所有 HTTP 流量使用 SSL/TLS。有关 HTTPS 并保护管理接口的更多背景信息,请参阅高级安全部分。
-port 到管理接口的 http-interface
JBoss EAP 还提供使用几种不同的身份验证方案在管理接口上启用 RBAC 的功能。本例使用用户名和密码身份验证以及 ManagementRealm 中使用的现有属性文件。通过设置管理接口的 provider 属性 to rbac 并使用所需的用户和角色更新 ManagementRealm 来启用 RBAC。
5.2.2. 它如何工作
在这种情况下,在现有安全域中添加了以下用户:
表 5.2. 管理用户
| username | 密码 | Security Realm |
|---|---|---|
| Suzy | 测试123! | ManagementRealm |
| Tim | 测试123! | ManagementRealm |
| Emily | 测试123! | ManagementRealm |
| Zach | 测试123! | ManagementRealm |
| Natalie | 测试123! | ManagementRealm |
根据组成员资格,用户也映射到以下 RBAC 角色:
表 5.3. RBAC 角色
| username | RBAC 角色 |
|---|---|
| Suzy | 超级用户 |
| Tim | Administrator |
| Emily | Maintainer |
| Zach | deployer |
| Natalie | Monitor |
在启动时,JBoss EAP 会加载将 RBAC 配置和管理接口作为核心服务的一部分的 ManagementRealm,该服务也会启动 http-interface( 为 HTTPS 配置)用于管理接口。现在,用户通过 HTTPS 访问管理接口,RBAC 也被启用和配置。如果没有启用 RBAC,ManagementRealm 安全 域中的任何用户都将被视为 SuperUser,且具有无限访问权限。由于启用了 RBAC,因此每个用户现在都会根据他们的角色进行限制。Suzy、Tim、Emily、Zach 和 Natalie 具有不同的角色,如上表中所示。例如,只有 Suzy 和 Tim 才能读取和修改访问控制信息。Suzy、Tim 和 Emily 可以修改运行时状态和其他持久配置信息。Zach 还可以修改运行时状态和其他持久配置信息,但仅与应用资源相关。Suzy、Tim、Emily、Zach 和 Natalie 可以读取配置和状态信息,但 Natalie 无法更新任何内容。有关每个角色以及 JBoss EAP 如何处理 RBAC 的更多详细信息,请参阅基于角色的访问控制和将 RBAC 添加到管理接口部分。
