5.2. 带有 HTTPS 和 RBAC 的红帽 JBoss 企业应用平台添加到管理接口中
此情景演示了在为管理接口启用 HTTPS 并且将 RBAC 添加到 ManagementRealm 安全域时
,JBoss EAP 是如何安全的。
5.2.1. 安全性
JBoss EAP 支持将 HTTPS 与管理界面(包括管理控制台)搭配使用。若要启用 HTTPS,可以配置 secure-interface
元素,添加 secure
部分,然后使用所需的设置配置现有或新的安全域,如 server-identity、协议、密钥存储、别名等。这可让管理接口对所有 HTTP 流量使用 SSL/TLS。有关 HTTPS 并保护管理接口的更多背景信息,请参阅高级安全部分。
-port
到管理接口的 http-interface
JBoss EAP 还提供使用几种不同的身份验证方案在管理接口上启用 RBAC 的功能。本例使用用户名和密码身份验证以及 ManagementRealm
中使用的现有属性文件。通过设置管理接口的 provider
属性 to rbac
并使用所需的用户和角色更新 ManagementRealm
来启用 RBAC。
5.2.2. 它如何工作
在这种情况下,在现有安全域中添加了以下用户:
表 5.2. 管理用户
username | 密码 | Security Realm |
---|---|---|
Suzy | 测试123! | ManagementRealm |
Tim | 测试123! | ManagementRealm |
Emily | 测试123! | ManagementRealm |
Zach | 测试123! | ManagementRealm |
Natalie | 测试123! | ManagementRealm |
根据组成员资格,用户也映射到以下 RBAC 角色:
表 5.3. RBAC 角色
username | RBAC 角色 |
---|---|
Suzy | 超级用户 |
Tim | Administrator |
Emily | Maintainer |
Zach | deployer |
Natalie | Monitor |
在启动时,JBoss EAP 会加载将 RBAC 配置和管理接口作为核心服务的一部分的 ManagementRealm
,该服务也会启动 http-interface(
为 HTTPS 配置)用于管理接口。现在,用户通过 HTTPS 访问管理接口,RBAC 也被启用和配置。如果没有启用 RBAC,ManagementRealm 安全
域中的任何用户都将被视为 SuperUser
,且具有无限访问权限。由于启用了 RBAC,因此每个用户现在都会根据他们的角色进行限制。Suzy、Tim、Emily、Zach 和 Natalie 具有不同的角色,如上表中所示。例如,只有 Suzy 和 Tim 才能读取和修改访问控制信息。Suzy、Tim 和 Emily 可以修改运行时状态和其他持久配置信息。Zach
还可以修改运行时状态和其他持久配置信息,但仅与应用资源相关。Suzy、Tim、Emily、Zach 和 Natalie 可以读取配置和状态信息,但 Natalie 无法更新任何内容。有关每个角色以及 JBoss EAP 如何处理 RBAC 的更多详细信息,请参阅基于角色的访问控制和将 RBAC 添加到管理接口部分。