こんにちは、加藤です。
JBossEAP6.2の新機能である、管理機能のロールベースアクセス制御(RBAC)について調査しました。
RBACの機能概要
管理ユーザの権限を設定することで、CLIやコンソールの設定変更・閲覧に制御がかかります。
管理者・閲覧者・オペレーターなどのあらかじめ設定されている権限を、ユーザ・グループごとに付与することが可能です。
デフォルトでは無効になっているため、以下のコマンドをCLI上で実行し、有効にする必要があります。
/core-service=management/access=authorization:write-attribute(name=provider, value=rbac)
ユーザ・グループの設定は、add_userスクリプトを使用することで以下に追加されます。
・mgmt-users.properties
・mgmt-groups.properties(6.2から追加)
LDapServerで認証されたユーザも制御下に置くことが可能なようです。
また、以下の機能があります。
1. ロールを複数保持している場合の制御設定
2. 権限の除外設定
3. サーバグループ・ホストごとの権限付与
所感
サーバごとに管理者を設定する、機密情報を閲覧不可とする等の設定がユーザ・グループごとに可能になっているため、実際に企業等で運用する上で便利ではないかと思いました。
権限の除外設定は、試してはみたのですがよくわかりませんでした。設定の制約があるらしいのですが、まだマニュアルに記述がありません(最終リリースではドキュメントは完成しているだろう、という旨の記述はあります)。
以上です。