安全管理 安全管理 安全管理 安全管理

13 安全管理 安全管理 安全管理 安全管理

本章将介绍以下内容：

安全配置概述

设置Java安全管理器

改变系统口令

指定一个安全域

定义用户

定义组

为虚拟机定义一个组

定义ACL

配置SSL协议

配置双向验证

口令的保护

安装审计提供者

安装连接过滤器

配置安全上下文传播

安全配置概述 安全配置概述 安全配置概述 安全配置概述

在WebLogic服务器中，安全主要通过配置定义安全策略的属性来实现。可以 用管理控制台定义安全策略。在管理控制台中，你应该为所分发的应用指定设 置与安全相关的属性：

域

用户与组

访问控制列表（ACLs）以及对WebLogic服务器资源的访问权限

SSL协议

双向认证

- 140 -

主机名验证器

审计提供者

定制过滤器

安全上下文传播

因为各安全部件之间是紧密关联的，因此，在进行安全配置时，很难确定从哪 开始。事实上，安全配置是一个递归的过程。尽管在进行安全配置时，可能会 有很多种流程，但我们还是建议你遵照以下步骤进行：

1．改变system用户的口令以保护WebLogic服务器

2．指定一个安全域。WebLogic 服务器有一个缺省的File安全域。但你可能更愿意用别的

安全域或者是一个定制的安全域

3．定义安全域的用户。你可以在安全域中用组来组织用户 4．定义ACL以及对资源的访问权限

5．客户端与WebLogic服务器之间的通信采用SSL协议，这样可以保护网络连接。当使用

SSL协议，WebLogic服务器会使用由可靠的证书管理机构所发放的数字证书对客户进行验

证。这一步是可选的，但我们建议你实施这一步

6．通过实施双向认证进一步保护你的WebLogic服务器。当使用了双向验证，客户端会对

WebLogic服务器进行验证，然后WebLogic服务器在对客户端进行验证

本章将介绍上述安全配置步骤，以及如何在管理控制台中设置那些与安全相关 的属性。有关WebLogic服务器安全特征的详细描述，请参见“WebLogic安 全介绍”与“安全基础”。

有关如何在管理控制台中设置安全属性的详细说明，可以参见管理控制台在线 帮助中的内容。

注意：本章所描述的所有配置步骤都是在管理控制台中进行的。

有关如何为 WebLogic EJB 分配安全角色的内容，可以参见“WebLogic Server 6.0 的分发属性”中的内容。

有关web应用安全的内容，可以参见“分发与配置Web应用”中的内容

改变系统口令 改变系统口令 改变系统口令 改变系统口令

在安装WebLogic服务器时，安装程序会要求你指定系统用户的口令。该口令 是 WebLogic 服 务 器 中 system 用 户 的 口 令 ， 被 存 储 在

- 141 -

\wlserver6.0\config\mydomain目录中的fileRealm.properties文 件中。这个口令可以用于这个域的管理服务器以及所有与这个管理服务器关联 的受管服务器。

注意：WebLogic服务器只能用system用户来启动。

保存在 fileReamln.properties 文件中的口令是经过加密的。WebLogic 服务器对被加密的口令进行散列化处理，从而进一步保护了口令。为了提高安 全性，我们建议你经常更新系统口令。

以下是更改系统口令的步骤：

1．在管理控制台中打开Users窗口 2．在User属性中输入system

3．在Password属性中输入一个新的口令

4．确认你输入的口令

在一个域中，所有受管服务器的口令与管理服务器的口令相同。你应该用管理 控制台经常地改变管理服务器的口令，新口令会传播到同一域中的所有受管服 务器上。记住，一个域中的所有服务器成员的系统口令必须相同。

注 意 ：Petstore 以 及 ExampleServer 域 仍 然 把 系 统 口 令 保 存 在 password.ini 文件中。当使用这些域时，你可以通过修改 password.ini 文件中的口令信息来修改 examples 服务器的系统口令。Password.ini 文 件中的口令是以明文形式保存的。

指定一个安全域 指定一个安全域 指定一个安全域 指定一个安全域

缺省情况下，安装完WebLogic服务器后，WebLogic服务器就有一个 File 域（File realm）。在使用这个域之前，需要先设置几个属性来管理 File 域的使用。可以在管理控制台的Security窗口的filerealm标签中设置这 些属性。

下表是这些属性的描述。

表 表表

表14-1 File域的属性域的属性域的属性域的属性

属性 描述

Cache Realm 所使用的缓存域（Caching realm）的名字。当使用 File 域时，该属性必须设 置为 None

Max Users 该属性设置了 File 域的最大用户数。File 域的最大用户数为 10,000，最小为 1，

- 142 - 缺省为 1,000。

Max Groups 该属性设置了 File 域的最大组数，最大值为 10,000，最小为 1，缺省为 1,000 Max ACLs 指定 File 域中最多可以有多少 ACL，最小设置为 1，最大为 10,000，缺省为

1,000。

如果fileRealm.properties文件被破坏，那么你需要重新配置WebLogic 服务器的所有安全信息。因此，我们建议你完成以下任务：

对fileRealm.properties文件进行备份，然后把备份放在一个安全的地方。

设置fileRealm.properties文件的访问权限，只有WebLogic服务器管理员才 有该文件的读写该权限，其它用户不能读写这个文件。

注意：你还应该备份 File 域的 SerializedSystemIni.dat 文件。有关 SerializedSystemIni.dat 文件的更多内容，你可以参见“口令的保护”

中的内容。

如果你不想使用File域，而是想使用WebLogic服务器提供的其它安全域或 者是定制安全域，那么在对所用的安全域设置了上述属性后，重启服务器使你 的设置生效。

有关WebLogic服务器安全域的更多内容，你可以参见“安全域”中的内容。

配置缓存域 配置缓存域 配置缓存域 配置缓存域

缓存域（Caching realm）与 File 域、WebLogic 服务器的其它安全域以 及定制安全域一起实现对客户端请求的验证与授权。无论是成功的还是失败的 域搜索，缓存域都将保存搜索结果。缓存域要管理以下内容的缓存：用户，组，

权限，ACL 以及验证请求。缓存域通过缓存搜索结果，减少对其它安全域的调 用次数，从而提高了WebLogic服务器的性能。有关WebLogic服务器安全域 的更多内容，你可以参加“安全域”中的内容。

安装WebLogic服务器时会自动安装缓存域：设置了缓存域，但不启用缓存。

你可以用管理控制台启用缓存。如果使用的安全域不是 File 域，那么必须启 用缓存域。

启用缓存域后，缓存域会把对一个域的搜索结果保存在它的缓冲区中，所保存 的时间由存活期（time-to-live，简写为TTL）属性的值而定或者看缓存区 是否已经满了。如果缓存区已经满了，新的搜索结果将替换最老的搜索结果。

TTL 属性决定了一个缓存对象的有效时间。你把这些值设得越高，缓存区调用 从安全域（seconddary realm）的次数越少。减少调用的频率会提高新能，

代价是对从安全域的改变只有等到缓存对象过期了才能被识别。

- 143 - 注意：当你从安全域获得一个对象时，所获得的对象只是这个对象的一个快照。

因此，要更新对象，必须再次调用get()方法。例如，当你调用getgroup() 方法从安全域获得一个组时，你设置了这个组的成员关系，如果要更新组的成 及定义各缓存的操作方式。所有这些工作都是通过设置 Caching Realm Configuration 窗口的 General 标签页上的属性来完成的。要保存所作的 设置，点 Apply 按钮。定义完上述属性后，你应该重启WebLogic 服务器使

Case Sensitive Cache 所指定的安全域是否区分大小写。缺省情况下，该属性是开启的，即 域是区分大小写的。如果要使用一个不区分大小写的域（例如 Windows NT 与 LDAP 安全域），应该禁用这个属性。

要启用或配置ACL缓存，需要定义Caching Realm configuration窗口 的ACL标签页上的属性。要保存所作的设置，点Apply按钮。当完成配置后，

- 144 - configuration窗口的 Authentication 标签页上的那些属性。要保存所 做的设置，点Apply按钮，重启WebLogic服务器。

下表描述了Authentication标签页上的各个属性。

表表表

表14-4 Authentication缓存的配置属性缓存的配置属性缓存的配置属性缓存的配置属性

属性 描述

Enable Authentication Cache 该选项用于开启 Authentication 缓存

Authentication Cache Size 指定最多能缓存多少 Authentication 请求。缺省为 211。该属性 应该设置为一个质数以获得最好的查找性能。

Authentication Cache TTL Positive

设置一个成功的查找结果保存在缓存中的时间。缺省为 60 秒。

Authentication Cache TTL Negative

设置一个失败的查找结果保存在缓存中的时间。缺省为 10 秒

要启用或配置Group缓存，需要定义Caching Realm configuration窗 口的Group 标签页上的那些属性。要保存所作的设置，点Apply按钮，重启 Group Membership Cache

TTL

隔多长时间个更新缓存组的组成员。缺省为 10 秒

要启用或配置User缓存，需要定义Caching Realm configuration窗口 的 User 标签页上的那些属性。要保存所作的设置，点 Apply 按钮，重启

User Cache TTLPositive 该属性设置一个成功的查找结果保存在缓存中的时间。缺省为 60 秒。

User Cache TTLNegative 该属性设置一个失败的查找结果保存在缓存中的时间。缺省为 10

- 145 - 秒

要 启 用 或 配 置 Permission 缓 存 ， 你 需 要 定 义 Caching Realm configuration窗口的Permission标签页上的那些属性。要保存所作的设 置，点Apply按钮，重启WebLogic服务器。

下表描述了Permission标签页上的各个属性。

表 表表

表12-7 Permission缓存的配置属性缓存的配置属性缓存的配置属性缓存的配置属性

属性 描述

Enable Permission Cache 该选项用于开启 Permission 缓存

Permission Cache Size 指定最多能缓存多少 Permission 查找。缺省为 211。该属性应该 设置为一个质数以获得最好的查找性能。

Permission Cache TTLPositive 该属性设置一个成功的查找结果保存在缓存中的时间。缺省为 60 秒。

Permission Cache TTLNegative 该属性设置一个失败的查找结果保存在缓存中的时间。缺省为 10 秒

配置 配置

配置 配置 LDAP 安全域 安全域 安全域 安全域

LDAP安全域通过轻量级目录访问协议（LDAP）服务器对客户端请求进行验证。

该服务器把组织中的所有用户都放在LDAP目录中以进行集中管理。目前LDAP 安全域支持Open LDAP，Netscape iPlanet, Microsoft Site Server 与Novell NDS。

目前，WebLogic服务器支持以下两个版本的LDAP安全域。

LDAP realm V1——打包在以前WebLogic服务器版本中的LDAP安全域。LDAP security realm V1可以与所有所支持的LDAP服务器一同工作，该版本主要是为那 些仍然使用老版本WebLogic服务器的BEA用户提供的。但是这一版本已经不使用LDAP realm V1，所以BEA建议用户升级到LDAP realm V2。

LDAP realm V2——在性能与可配置性方面都得到了提高。与WebLogic Server

LDAP realm V2——在性能与可配置性方面都得到了提高。与WebLogic Server