安全技術(shù) Java與安全性，第1部分二(圖)

2019-11-18 12:22:44

字體：大中小

供稿：網(wǎng)友

　　用戶和組
　　
　　為列出屬于某個(gè)安全域的用戶，從Administration Console選擇該安全域，然后選擇Users節(jié)點(diǎn)。然后，可以使用右側(cè)窗格來(lái)查看所有用戶或者過(guò)濾清單。System用戶帳號(hào)也將是清單的一部分——這是當(dāng)使用Configuration Wizard（配置向?qū)В﹦?chuàng)建域時(shí)定義的Administration用戶帳號(hào)。選擇“Configure a new User”，創(chuàng)建一個(gè)新用戶。需要為每個(gè)用戶指定一個(gè)名稱、一段簡(jiǎn)短的描述和一個(gè)密碼。注重，安全域中所有的用戶名必須是獨(dú)一無(wú)二的。默認(rèn)的提供程序使用不區(qū)分大小寫(xiě)的用戶名。用戶可以屬于一個(gè)或多個(gè)組。
　　
　　為列出和編輯屬于某個(gè)安全域的所有組，需要從Administration Console選擇該安全域，然后選擇Groups節(jié)點(diǎn)。還可以在這里創(chuàng)建一個(gè)新組。組的Membership選項(xiàng)卡可能會(huì)誤導(dǎo)人，因?yàn)樗⒉淮饝?yīng)查看組的成員。要查看一個(gè)用戶是不是組的成員，必須選擇該用戶，然后查看它的Groups選項(xiàng)卡。WebLogic答應(yīng)向其他現(xiàn)有的組添加組，而Membership選項(xiàng)卡列出了所選中的組中包含的所有子組。還可以使用這個(gè)選項(xiàng)卡給當(dāng)前組添加另一個(gè)組。
　　
　　對(duì)于安全配置，組成員資格具有兩點(diǎn)重要的含義。假定用戶在域中定義了兩個(gè)組，A和B，而組B是組A的一個(gè)成員。這意味著：
　　
　　屬于組B的每個(gè)用戶同時(shí)也屬于組A。
　　
　　假如指派一個(gè)角色或策略給組A，就是同時(shí)向組A的所有成員和組B的所有成員指定了相同的角色或策略。
　　
　　當(dāng)查看用戶的Groups選項(xiàng)卡時(shí)，Administration Console僅列出該用戶直屬的組。所以，假如一個(gè)用戶屬于組B，Administration Console在Groups選項(xiàng)卡下只會(huì)列出組B，即使該用戶實(shí)際上既屬于組A，也屬于組B。
　　
　　當(dāng)使用Configuration Wizard創(chuàng)建一個(gè)新域時(shí)，以下組將會(huì)自動(dòng)創(chuàng)建并隨時(shí)可用：Administrators、Deployers、Operators和Monitors。一開(kāi)始，System用戶是惟一被創(chuàng)建的用戶，它也是域中Administrators組的惟一成員。
　　
　　記住，組只不過(guò)簡(jiǎn)化了治理的任務(wù)。假如一個(gè)用戶是某個(gè)組的成員，它不會(huì)自動(dòng)獲得任何非凡的權(quán)限。只有當(dāng)組（直接地或通過(guò)一個(gè)角色）參與策略語(yǔ)句時(shí)，它才會(huì)繼續(xù)訪問(wèn)權(quán)限。例如，最初的System用戶帳號(hào)獲得了Administrative訪問(wèn)權(quán)限，僅僅是因?yàn)樗茿dministrators組的成員，而這個(gè)組又是（全局的）Admin角色的一個(gè)成員，同時(shí)有一條可用的策略語(yǔ)句把訪問(wèn)域中各個(gè)區(qū)域(area)的權(quán)限授予Admin角色。
　　
　　有兩個(gè)組在Groups頁(yè)面上沒(méi)有列出，但是它們自動(dòng)對(duì)于安全域可用：
　　
　　users
　　
　　該組代表所有通過(guò)身份驗(yàn)證的用戶的集合。任何成功通過(guò)身份驗(yàn)證的用戶都是users組的成員。
　　
　　everyone
　　
　　這個(gè)組代表所有WebLogic用戶的集合，包括匿名用戶。任何用戶，無(wú)論是已驗(yàn)證的還是匿名的，都是everyone組的一個(gè)成員。
　　
　　這些組為建立默認(rèn)的訪問(wèn)控制提供了一種便捷的方式。例如，通過(guò)策略語(yǔ)句“用戶是everyone組的成員”，資源可以被所有用戶訪問(wèn)。另外，通過(guò)對(duì)某項(xiàng)資源定義如下策略：“用戶是users組的成員”，可以把訪問(wèn)權(quán)限定為僅針對(duì)已驗(yàn)證的用戶。還可以編程式地檢查服務(wù)器端的組成員資格。下面的例子用于檢查當(dāng)前用戶是users組還是everyone組的成員：
　　
　　/** returns false if executed without any security context */
　　
　　weblogic.security.SubjectUtils.isUserInGroup(
　　
　　weblogic.security.Security.getCurrentSubject( ),"users");/** returns true regardless of whether the user authenticates */
　　
　　weblogic.security.SubjectUtils.isUserInGroup(
　　
　　weblogic.security.Security.getCurrentSubject( ),"everyone");
　　
　　保護(hù)用戶帳號(hào)
　　
　　WebLogic提供一種用戶封鎖功能，以防止用戶帳號(hào)的濫用。當(dāng)一個(gè)用戶嘗試登錄失敗的次數(shù)達(dá)到一個(gè)闕值時(shí)，該用戶就會(huì)被封鎖。當(dāng)這種情況發(fā)生時(shí)，該用戶將被封鎖一段時(shí)間（時(shí)間長(zhǎng)短可以配置），或者直到治理員解鎖該用戶為止。在這期間，該用戶被禁止使用這些證書(shū)訪問(wèn)服務(wù)器。為配置用戶封鎖，需要選擇Administration Console左側(cè)窗格中的Security/Realms節(jié)點(diǎn)下的安全域。然后，可以使用User Lockout選項(xiàng)卡來(lái)調(diào)整封鎖功能，并查看封鎖統(tǒng)計(jì)信息。
　　
　　表17-2列出了User Lockout選項(xiàng)卡下可用的各種配置選項(xiàng)。默認(rèn)情況下，這些設(shè)置被配置為最高安全性。
　　
　　表17-2. 配置用戶封鎖
　　　安全技術(shù) Java與安全性，第1部分二(圖)

　　當(dāng)一個(gè)用戶被封鎖時(shí)，用戶列表（位于Users節(jié)點(diǎn)下）中的Locked欄下就會(huì)出現(xiàn)一個(gè)Details鏈接。假如選擇列表中某個(gè)用戶的這個(gè)鏈接，就可以查看該用戶登錄嘗試失敗的次數(shù)，以及最后一次失敗的登錄嘗試的時(shí)間。還可以選擇Unlock選項(xiàng)，手動(dòng)重新激活用戶的帳戶。
　　
　　角色
　　
　　和組不同，角色代表一個(gè)動(dòng)態(tài)的用戶集合。角色成員資格可以通過(guò)以下規(guī)則進(jìn)行定義：
　　
　　用戶名
　　
　　可以指定多個(gè)用戶名。假如通過(guò)身份驗(yàn)證的用戶與列表中的一個(gè)名稱相匹配，而且它滿足其他所有規(guī)則，它將自動(dòng)成為該角色的成員。
　　
　　組名
　　
　　可以指定多個(gè)組名。假如通過(guò)身份驗(yàn)證的用戶是列表中某個(gè)組的成員，而且它滿足其他所有規(guī)則，它將自動(dòng)成為該角色的成員。
　　
　　訪問(wèn)時(shí)間
　　
　　可以定義多個(gè)答應(yīng)用戶進(jìn)行訪問(wèn)的時(shí)間段。假如用戶試圖在一個(gè)指定的時(shí)間段之內(nèi)訪問(wèn)資源，而且滿足其他所有規(guī)則，它將自動(dòng)成為該角色的成員。
　　
　　通過(guò)使用邏輯AND（與）和OR（或）關(guān)系，可以以各種方式組合這些規(guī)則。例如，可以基于如下規(guī)則創(chuàng)建RoleA：用戶屬于組UKSeller，而且訪問(wèn)時(shí)間在上午8:00到下午9:00之間。那么任何試圖在這段時(shí)間內(nèi)訪問(wèn)資源，同時(shí)又是UKSeller組成員的用戶就會(huì)成為RoleA的成員。或者，可以基于如下規(guī)則創(chuàng)建RoleB：用戶屬于組UKSeller，或者訪問(wèn)時(shí)間在上午8:00到下午9:00之間。在這種情況下，組UKSeller的每個(gè)成員都將始終屬于這個(gè)角色，同時(shí)每個(gè)在上午8:00到下午9:00之間訪問(wèn)資源的用戶也將成為該角色的一個(gè)成員，而不管它屬于哪個(gè)組。當(dāng)用戶嘗試訪問(wèn)受（根據(jù)該角色定義的）策略語(yǔ)句保護(hù)的資源時(shí)，要在運(yùn)行時(shí)對(duì)該角色的成員資格條件進(jìn)行評(píng)估。因此，成員資格條件有助于評(píng)估在某個(gè)時(shí)刻用戶是否屬于該角色。
　　
　　通常，WebLogic默認(rèn)的Role Mapping PRovider負(fù)責(zé)治理與在某個(gè)安全域中定義的所有角色相關(guān)的信息。事實(shí)上可以定義兩類角色：全局的(scoped)和局部的(scoped)角色。
　　
　　全局角色
　　
　　全局角色可用于安全域中的所有資源。當(dāng)創(chuàng)建一個(gè)新域時(shí)，就會(huì)自動(dòng)創(chuàng)建一組默認(rèn)的全局角色；它用于授權(quán)對(duì)各種操作的訪問(wèn)。這些預(yù)定義的全局角色與默認(rèn)的安全策略（對(duì)WebLogic域執(zhí)行factory-set安全配置）相關(guān)聯(lián)：
　　
　　Admin
　　
　　屬于該角色的用戶對(duì)域的各個(gè)區(qū)域具有完全訪問(wèn)權(quán)。這包括以下能力：查看和編輯域配置、啟動(dòng)和停止服務(wù)器、部署應(yīng)用程序（EJB、JMS factory、web應(yīng)用程序）等等。任何屬于Administrators組的用戶將自動(dòng)繼續(xù)Admin角色。也就是說(shuō)，Admin角色的成員資格條件是用戶必須屬于Administrators組。
　　
　　Deployer
　　
　　屬于該角色的用戶可以查看域配置，查看和編輯部署描述符，部署應(yīng)用程序和EJB，以及啟動(dòng)和關(guān)閉類、J2EE連接器和web服務(wù)組件。Deployer角色的成員資格條件是用戶必須屬于Deployers組。
　　
　　Operator
　　
　　屬于該角色的用戶可以查看服務(wù)器配置，還可以啟動(dòng)、停止和重新開(kāi)始服務(wù)器實(shí)例。Operator角色的成員資格條件是用戶必須屬于Operators組。
　　
　　Monitor
　　
　　屬于該角色的用戶只可以查看服務(wù)器的配置。Monitor角色的成員資格條件是用戶必須屬于Monitors組。
　　
　　為創(chuàng)建或修改現(xiàn)有的全局角色，需要從Administration Console左側(cè)窗格中選擇安全域，然后選擇Global Roles節(jié)點(diǎn)。
　　
　　WebLogic還提供一個(gè)稱為anonymous的全局角色。它的成員資格被定義為包括everyone組中的所有用戶。即使anonymous角色沒(méi)有出現(xiàn)在Administration Console中所列出的角色之中，仍然可以使用它來(lái)定義針對(duì)資源的策略。
　　
　　局部角色
　　
　　大多數(shù)角色是局部的，這是指它們適用于特定的資源或JNDI樹(shù)的分支。全局角色和局部角色的差別在于，前者獨(dú)立于任何資源，并且可以通過(guò)Administration Console進(jìn)行集中治理，而后者是跨各種資源分布的。用戶必須選擇一種特定的資源，以便查看相關(guān)的局部角色。不管實(shí)際資源是什么，用于創(chuàng)建局部角色的底層principle是相同的。從Administration Console的左側(cè)窗格中定位資源，然后右擊并選擇Define Scoped Role。在某些情況下，在更具體的方面中可以定義局部角色及其“兄弟”，局部策略。例如，在web應(yīng)用程序中，可以為EJB（基于每個(gè)方法）、web服務(wù)（基于每項(xiàng)操作）和web資源（基于某種HTTP方法類型（POST、GET、HEAD等等））都定義一個(gè)局部角色和策略。現(xiàn)在，讓我們看一看如何為特定的資源創(chuàng)建局部角色，以及在此配置中需要采取的一些預(yù)防措施。
　　
　　連接池和多池
　　
　　JDBC資源位于Services/JDBC子樹(shù)下。可以右擊選定的資源（如：連接池），然后選擇Define Scoped Role來(lái)為資源定義一個(gè)角色。還可以刪除或修改以前指派的角色。
　　
　　JDBC角色是分級(jí)的。假如右擊JDBC/Connection Pools節(jié)點(diǎn)，可以按照同樣的過(guò)程創(chuàng)建一個(gè)適用于所有連接池的局部角色。
　　
　　JNDI分支
　　
　　可以為服務(wù)器的JNDI樹(shù)的特定的節(jié)點(diǎn)或分支指派一個(gè)角色。從Administ

上一篇：安全技術(shù) Java與安全性，第2部分一(圖)

下一篇：在 WAS 中使用 Java 安全套接字?jǐn)U展(圖)