Comment utiliser htpasswd protection de Tomcat?

J'ai déjà créé un utilisateur du fichier de base de données à l'aide d'Apache de la commande htpasswd. Ce fichier est maintenant utilisé par plusieurs autres application comme apache et de subversion.

Utilisateurs sont créés comme ceci:

htpasswd /path/to/users.htpasswd peter

Ce fichier utilisateur est mondial, et non pas par répertoire.

Comment je peux faire Tomcat 6 utiliser ce fichier comme un domaine de sécurité?

OriginalL'auteur Juha Syrjälä | 2009-02-27

  1. 2

    Il y a deux options:

    1. Utiliser Apache comme un front-end pour le tomcat (à l'aide de mod_jk ou mod_proxy_ajp) et Apache ne l'authentification. Vous pouvez trouver plus de détails sur la façon de le faire ici

    2. Si vous souhaitez que le serveur tomcat à faire de l'authentification, vous devez ot utiliser autre chose que l'un fichier htpasswd. Il y a 4 possibilités pour enregistrer les informations d'identification des utilisateurs - utilisation de la base de données, JNDI/LDAP, XML ou un fichier JAAS fournisseur. Vous pouvez lire à propos de toutes les options de la Royaume de Configuration de FAÇON À.

    OriginalL'auteur David Rabinowitz

  2. 3

    Plus semblable à la htpasswd peut être le MemoryRealm.
    J'ai eu des problèmes moi-même pour trouver un exemple simple de comment l'utiliser, donc je vais poster un exemple simple de code ici:

    1. Définir un rôle, le nom d'utilisateur et mot de passe dans tomcat-users.xml

    2. Votre web.xml devrait contenir quelque chose comme:

         <security-constraint>
     <web-resource-collection>
      <web-resource-name> 
        My Protected WebSite 
      </web-resource-name>
      <url-pattern> /* </url-pattern>
      <http-method> GET </http-method>
      <http-method> POST </http-method>
    </web-resource-collection>
    <auth-constraint>
    <!-- the same like in your tomcat-users.conf file -->
      <role-name> test </role-name>
    </auth-constraint>
  </security-constraint>
   <login-config>
    <auth-method> BASIC </auth-method>
    <realm-name>  Basic Authentication </realm-name>
  </login-config>
  <security-role>
    <description> Test role </description>
    <role-name> test </role-name>
  </security-role>

    3. Ajouter à votre server.xml fichier:

      <Realm className="org.apache.catalina.realm.MemoryRealm"></Realm>

    OriginalL'auteur Andreas

  3. 3

    Pour sécuriser l'accès à votre serveur Tomcat webapp, vous pouvez mettre en œuvre votre sécurité simple contrainte (par exemple, dans /var/lib/tomcat7/webapps/*/WEB-INF/web.xml) comme ci-dessous (il suffit de l'ajouter avant de </web-app> fin):

    <!-- This security constraint protects your webapp interface. -->
<login-config>
  <!-- Define the Login Configuration -->
  <auth-method>BASIC</auth-method>
  <realm-name>Webapp</realm-name>
</login-config>
<security-constraint>
  <web-resource-collection>
    <web-resource-name>Admin</web-resource-name>
    <url-pattern>/*</url-pattern>
    <http-method>GET</http-method>
    <http-method>POST</http-method>
  </web-resource-collection>
  <auth-constraint>
    <role-name>*</role-name>
  </auth-constraint>
  <!-- Specifying a Secure Connection -->
  <user-data-constraint>
    <!-- transport-guarantee can be CONFIDENTIAL (forced SSL), INTEGRAL, or NONE -->
    <transport-guarantee>NONE</transport-guarantee>
  </user-data-constraint>
</security-constraint>
<!-- Authorization, see: tomcat-users.xml --> 
<security-role>
  <role-name>*</role-name>
</security-role>

    Le login-config élément contient la auth-method élément, qui spécifie la méthode d'authentification que nous utilisons, qui est BASIC. Le security-constraint élément contient 3 éléments: web-resource-collection, auth-constraint, et user-data-constraint. Le web-resource-collection spécifie les parties de notre application qui nécessitent une authentification. Le /* indique que l'ensemble de l'application nécessite une authentification. L'auth-constraint spécifie le rôle que l'utilisateur doit avoir afin d'accéder aux ressources protégées. L'utilisateur des données par la contrainte du transport de garantie peut être NONE, CONFIDENTIAL ou INTEGRAL. Nous avons choisi NONE, ce qui signifie que la redirection vers SSL n'est pas nécessaire lorsque vous essayez de frapper la ressource protégée.

    Assurez-vous également que vous avez la ligne:

    <Realm className="org.apache.catalina.realm.MemoryRealm" />

    à l'intérieur de votre conf/server.xml (Engine section).

    Si vous n'avez pas modifié les fichiers de configuration, veuillez consulter le fichier conf/tomcat-users.xml dans votre installation (locate tomcat-users.xml). Ce fichier doit contenir les informations d'identification pour vous permettre d'utiliser Tomcat webapp.

    Par exemple, pour ajouter le manager-gui rôle à un utilisateur nommé tomcat avec un mot de passe de s3cret, ajoutez la ligne suivante au fichier de configuration ci-dessus:

    <role rolename="manager-gui"/>
<user username="tomcat" password="s3cret" roles="manager-gui"/>

    Ensuite, vous pouvez accéder à vos webapps gestionnaire de /manager/html (par exemple le rechargement d'après les modifications de configuration).

    Lire la suite: Manager App how-to.

    Puis redémarrez votre serveur Tomcat et lors de l'accès à votre webapp, il devrait vous demander les informations d'identification appropriées.

    Voir aussi:

    OriginalL'auteur kenorb