Tomcat sécurité de contrainte pour l'utilisateur valide

Je suis en train de protéger une ressource dans tomcat, de sorte que seuls les "utilisateurs valides" (ceux avec une connexion valide et un mot de passe dans le domaine) peut y accéder. Ils n'appartiennent pas nécessairement à un groupe dans le domaine. J'ai essayé avec de nombreuses combinaisons de la <security-constraint> directive, sans succès. Des idées?

InformationsquelleAutor Ricardo Marimon | 2009-07-06
  1. 12

    En plus de l'auth-constraint vous ajoutez à la sécurité-contrainte:

       <auth-constraint>
       <role-name>*</role-name>
   </auth-constraint>

    vous avez besoin de spécifier le rôle de sécurité dans la web-app:

        <security-role>
        <role-name>*</role-name>
    </security-role>
    • Je vais essayer de faire cela et d'en faire rapport.
    • L'ajout de la sécurité-rôle de la balise est la solution idéale pour nous. Merci.
    • De toute façon pour ajouter la contrainte de l'extérieur de la web.xml? E. g. ajouter une contrainte pour toutes les applications web en plus du Domaine/de Vanne en context.xml?
    • Réponse ci-dessus est de $CATALINA_BASE/conf/web.xml. Voir stackoverflow.com/questions/18242619/...
    InformationsquelleAutor Eliecer Leiton
  2. 1

    Il y a plusieurs royaumes mise en œuvre dans tomcat - mémoire, base de données, JAAS et plus. Le plus simple à configurer (si pas le plus sécurisé) de la mémoire, qui contient un seul fichier XML, généralement sous conf/tomcat-users.xml:

    <tomcat-users>
  <user name="tomcat" password="tomcat" roles="tomcat" />
  <user name="role1"  password="tomcat" roles="role1"  />
  <user name="both"   password="tomcat" roles="tomcat,role1" />
</tomcat-users>

    Le domaine de la configuration est dans le contexte, d'accueil ou de configurations de moteur, comme ceci:

    <Realm className="org.apache.catalina.realm.MemoryRealm"
       pathname="conf/tomcat-users.xml" />

    Puis, dans le web.xml vous mettez de la définition suivante:

        <security-constraint>
            <web-resource-collection>
                    <web-resource-name>MRC Customer Care</web-resource-name>
                    <url-pattern>/protected/*</url-pattern>
            </web-resource-collection>
            <auth-constraint>
                    <role-name>role1</role-name>
            </auth-constraint>
    </security-constraint>

    <!-- Define the Login Configuration for this Application -->
    <login-config>
            <auth-method>DIGEST</auth-method>
            <realm-name>YOUR REALM NAME</realm-name>
    </login-config>

    <security-role>
            <description>
              The role that is required to access the application. 
              Should be on from the realm (the tomcat-users.xml file).
            </description>
            <role-name>role1</role-name>                  
    </security-role>

    L'web.xml une partie est prise (avec un léger changement) à partir de l'une de nos applications web.

    • Dans mon environnement, je me connecte à un ldap à l'aide de la JNDIRealm. Le problème est que je ne peux pas inclure les groupes dans le ldap et doit s'authentifier basant uniquement sur le nom d'utilisateur et le mot de passe sans aucun rôle. J'ai essayé d'utiliser <role-name></role-name> et <role-name>*</role-name> sans succès.
    InformationsquelleAutor David Rabinowitz
  3. 0

    Si vous utilisez Tomcat 8.x , comme le server.xml viendra imbriqués Royaume élément, veuillez ajouter " allRolesMode="authOnly" " dans les "gros" Royaume de l'élément et le changement susmentionné web.xml pour les tests.
    par exemple,

      <Realm allRolesMode="authOnly" className="org.apache.catalina.realm.LockOutRealm">
    <!-- This Realm uses the UserDatabase configured in the global JNDI
         resources under the key "UserDatabase".  Any edits
         that are performed against this UserDatabase are immediately
         available for use by the Realm.  -->
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
           resourceName="UserDatabase" />
  </Realm>

    Veuillez lire org.apache.catalina.realm.RealmBase.java pour plus de détails.

    Aussi, les paramètres suivants dans l'industrie forestière.les propriétés sont utiles.

    org.apache.catalina.realm.level=ALL
org.apache.catalina.realm.useParentHandlers=true
org.apache.catalina.authenticator.level=ALL
org.apache.catalina.authenticator.useParentHandlers=true
    InformationsquelleAutor WENPIN