如果要在 WebLogic 服务器中使用安全管理器与 weblogic.policy 文件,
在启动时使用以下命令
$ java ... -Djava.security.manager\
-Djava.security.policy==D:/BEA/wlserver600/lib/weblogic.p olicy
有关 Java 安全管理器的详细信息,请参见 Java2 的 Javadoc 文档。
可以用 RecordingSecurityManager 工具发现 WebLogic 服务器在启动与 运行过程中所出现的权限问题。该工具输出那些能够加到安全策略文件中的权 限以解决该工具所发现的权限问题。你可以从 BEA Developer’s Center 获得 RecordingSecurityManager。
配置安全上下文传播
安全上下文传播使得运行在 WebLogic 服务器中的 Java 应用可以访问 BEA WebLogic 企业(WebLogic Enterprise,简称为 WLE)域中的资源与对 象。WebLogic 服务器的 BEA WLEC(WebLogic Enterprise Connectivity)
组件提供了安全上下文传播功能。
如果使用安全上下文传播,一个 WebLogic 服务器安全域中的用户安全标识将 作为 IIOP 请求的服务环境上下文的一部分被传播,这里的 IIOP 请求通过作 为 WLEC 连接组成部分的网络连接发送给 WLE 域的。WLEC 连接池中的每个网 络连接都通过一个已定义的用户标识认证过。
为了使用安全上下文传播,需要为每个从 WebLogic 服务器访问的 WLE 域创建 WLEC 连接池。WLEC 连接池由 IIOP 连接组成。WebLogic 服务器环境中的 Java 应用从 WLEC 连接池取得 IIOP 连接并用这些连接调用 WLE 域中的对象、激活 WLE 域中的操作。
在 使 用 安 全 上 下 文 传 播 之 前 , 需 要 在 startAdminWebLogic.sh 或 者 startAdminWebLogic.cmd 文 件 的 CLASSPATH 环 境 变 量 中 加 上 WLE_HOME/lib/wleorb.jar 和 WLE_HOME/lib/wlepool.jar 。
更多资料,请参照“使用 WLEC”。
要实现安全上下文传播的步骤如下:
1. 为安全上下文传播创建一个新的 WLEC 连接池。要创建 WLEC 连接池,选择 管理控制台左窗格的 Service->WLEC 节点。在右窗格单击“Create a new WLEC Connection Pool”链接。定义下表中的属性:
表 14-22 General 标签页中的 WLEC 连接池属性
属性 说明
Name WLEC 连接池的名字。每个 WLEC 连接池的名字必须唯一。
- 145 - Primary Addresses 用来在WLEC 连接池和 WLE 域之间建立连接的 IIOP 监听器/处理器
的地址列表。每个地址的格式是//hostname:port。
地址必须要和UBBCONFIG 文件中定义的 ISL 地址匹配。多个地址 使用分号分开,例如://main1.com:1024;//main2.com:1044。
如果WLEC 连接池要使用 SSL 协议,那么在 IIOP 的监听器与处理 器前加上corbalocs 前缀。例如:
corbalocs://hostname:port.
Failover Addresses 不能与Primary Addressed 字段定义的地址建立连接时所使用的 IIOP 监听器/处理器的地址列表。多个地址使用分号分开。这个字段时 可选的。
Domain WLEC 连接池所连接的 WLE 域的名字。一个 WLE 域只能有一个 WLEC 连接池。域的名字必须与 WLE 域的 UBBCONFIG 文件中的 RESOURCES 部分的 domainid 参数匹配。
Minimum Pool Size 在WebLogic 服务器启动时,WLEC 连接池的初始 IIOP 连接数,缺 省为1
Maximum Pool Size WLEC 连接池的最大 IIOP 连接数,缺省为 1。
2. 点 Create 按钮
3. 定义 Connection Pool Configuration 窗口的 Security 标签页上的属性,这样 就可以把一个用户的安全上下文传播到 WLE 域。下表描述了 Security 标签页 中的这些字段。
表 14-23 Security 标签页上的 WLEC 连接池属性
属性 描述
User Name 一个 WLE 用户的用户名。只有当 WLE 域的安全级别为
USER_AUTH, ACL 或者是 MANDATORY_ACL 时,才需要定义 这个字段
User Password 用户的口令。只有当你定义了User Name 字段后,才需要定 义这个字段
User Role WLE 用户的角色。只有当 WLE 域的安全级别为 APP_PW, USER_AUTH, ACL, 或者是 MANDATORY_ACL 时,才需要定义 这个字段。
Application Password WLE 应用的口令。只有当 WLE 域的安全级别为 APP_AUTH, ACL 或者是 MANDATORY_ACL 时,才需要定义这个字段。
Minimum Encryption Level WLE 域与 WebLogic 服务器之间的通信所使用的最低 SSL 加 密级别。可以设置为以下值:0,40,56 以及 128。缺省为 40。0 表示数据被签名但没有加密。40, 56,128 是指密钥的长 度(以位为单位)。如果最低的级别都不满足,那么 WebLogic 服务器与 WLE 之间的 SSL 连接将失败。
Maximum Encryption Level WLE 域与 WebLogic 服务器之间的通信所使用的最高 SSL 加 密级别。可以设置以下值:0,40,56 以及 128。缺省为 40。
0 表示数据被签名但没有加密。40, 56,128 是指密钥的长度
(以位为单位)。如果最低的级别都不满足,那么 WebLogic 服务器与 WLE 之间的 SSL 连接将失败。
Enable Certificate Authentication 这是一个复选框,该字段决定是否启用证书验证。
缺省情况下,不使用证书验证。
Enable Security Context 这是一个复选框,如果要把 WebLogic 服务器的安全上下文 传递到WLE 域,那么应该启用该选项。
该属性缺省为禁用的。
4. 点 Apply 按钮保存所做的设置,然后重启 WebLogic 服务器。
5.运行 tpusradd 命令。该命令的作用是把 WebLogic 服务器中的用户定义为在 WebLogic Enterprise 域中的授权用户
- 146 - 6.设置 ISL 命令的-E 选项。该命令的作用是使 IIOP 监听器/处理器可以监听并利
用来自 WebLogic 服务器的安全上下文。在-E 选项中,需要指定一个 principal name。Principal name(TBD)定义了 WLEC 连接池使用什么样的 principal 来登录到 WebLogic Enterpise 域。Principal name 应该与 WLEC 连接池的 User Name 属性匹配。
当 WebLogic 服务器环境与 WebLogic Enterprise 环境之间的通信使用安 全验证时,这意味着在 WebLogic 服务器与 WebLogic Enterprise 环境的 CORBA 对象或 RMI 对象或者是 EJB 建立连接时,会重新执行 SSL 握手操作。
如果要使一个 SSL 网络连接同时支持多个客户端请求,那么必须使用证书验证。
以下是设置证书验证的步骤:
1.获得 principal(TBD)的数字证书。把私钥文件保存在 WebLogic Enteroprise 的 TUXDIR/udataobj/security/keys 目录中。
2. 运行 tpusradd 命令。该命令的作用是把 principal(TBD)定义为一个 WebLogic Enterprise 用户。
3.定义 UBBCONFIG 文件的 IIOP 监听器/处理器,使用-E 选项表明该 principal 是用于验证的。
4.在 WebLogic 服务器的管理控制台创建一个 WLEC 连接池时,在 User Name 属性中定义 principal(TBD)名字。
5.获得 IIOP 监听器/处理器的数字证书。
6.在 ISL 命令中用 SEC_PRINCIPAL_NAME 选项指定数字证书。使用-s 选项表 明 WebLogic Enterprise 域与 WebLogic 服务器安全域之间的通信使用安全端 口。
有关 UBBCONFIG 文件的更多信息,参见 WLE 文档的“创建配置文件”部分。
有关 corbalocs 前缀的更多信息,可以参见 WLE 文档的“理解 Bootstrap 对象的地址格式”部分。
有关 WLE 安全级别的更多内容,可以参见 WLE 文档的“定义安全级别”部分。
- 147 -
14 管理事务
本章将介绍以下内容