要编辑区域,请执行以下步骤。
server
,请展开 server-config
节点。default-config
节点。将显示“编辑区域”页面。
有关 file
区域属性的信息,请参见编辑 file 和 admin-realm 区域。要管理 file
区域中的用户,请单击“管理用户”按钮;有关更多信息,请参见管理 file 区域用户。
有关 certificate
区域属性的信息,请参见编辑 certificate 区域。
服务器在 file
区域的名为 keyfile
的文件和 admin-realm
区域的名为 admin-keyfile
的文件中维护所有用户、组和密码信息。对于这两种区域,file
属性均指定了 keyfile 的位置。表 0-40 显示了 file
区域的必需属性。
属性名称 |
说明 |
默认值 |
---|---|---|
file |
密钥文件的完整路径和名称。 |
install_dir |
jaas-context |
要用于此区域的登录模块类型。 |
|
keyfile
最初为空,因此在使用 file
区域之前,必须先添加用户。有关说明请参见管理 file 区域用户。
admin-keyfile
最初包含管理员用户名、加密格式的管理员密码和该用户所属的组(默认情况下为 asadmin
)。有关将用户添加到 admin-realm
的更多信息,请参见控制对管理工具的访问。
注:admin-realm
的 asadmin
组中的用户已被授权,可以使用管理控制台和 asadmin
工具。只能将具有服务器管理权限的用户添加到该组中。
仅在 Enterprise Edition 中,您可以使用管理控制台来管理用户(如管理 file 区域用户所述),或者使用 NSS 工具来管理用户。网络安全服务 (NSS) 是为支持启用安全性的客户机和服务器应用程序的跨平台开发而设计的一组库。使用 NSS 构建的应用程序可以支持 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书和其他安全性标准。有关详细信息,请链接到以下 URL:
使用管理控制台来管理 file
区域用户。file
区域中的用户和组列在 keyfile 文件中,该文件的位置由 file
属性指定。
注:还可以使用以下步骤将用户添加到任何 file 区域(包括 admin-realm
)中。您只需将本节中引用的 file
区域替换为目标区域的名称即可完成操作。
file
区域中的用户可以属于 J2EE 组,它是按照常见属性分类的一个用户类别。例如,假定电子商务应用程序的用户属于 CUSTOMER
组,但是大客户可以属于 PREFERRED
组。将用户分组可以简化对用户量很大时的访问控制。
初次安装 Application Server 之后,唯一的用户是管理员在安装过程中输入的用户。默认情况下,此用户属于 admin-realm
区域中的 asadmin
组,该组可以授予修改 Application Server 的权限。指定给该组的任何用户都将具有管理员权限,也就是说,这些用户具有对 asadmin
工具和管理控制台的访问权。
要管理 file
区域用户,请执行以下步骤。
server
,请展开 server-config
节点。default-config
节点。file
节点。 将显示“文件用户”页面。在此页面中执行以下任务:
在“文件用户”页面中,执行以下步骤来添加新用户:
file
区域中。file
区域的用户列表中。单击“取消”退出而不保存更改。
等效的 asadmin
命令为:create-file-user
在“文件用户”页面中,执行以下步骤来更改用户的信息:
将显示“编辑文件区域用户”页面。
file
区域的用户列表中。单击“关闭”退出而不保存更改。在“文件用户”页面中,执行以下步骤来删除用户:
等效的 asadmin
命令为:delete-file-user
certificate
区域支持 SSL 验证。该区域在 Application Server 的安全上下文中设置用户身份,并使用从信任存储和密钥库文件中以加密方式检验的客户机证书中获得的用户数据填充该身份(请参见)。使用 certutil
将用户添加到这些文件中。使用 certificate
区域,J2EE 容器可以根据每个用户从其证书中获得的独特名称 (DN) 来执行授权处理。DN 是证书对其公共密钥进行标识的实体的名称。此名称使用 X.500 标准,因此它在 Internet 中应该是唯一的。有关密钥库和信任存储的更多信息,请参阅关于 CertUtil 实用程序中的 certuti 文档。
表 0-41 列出了 certificate
区域的可选属性。
属性 |
说明 |
---|---|
assign-groups |
以逗号分隔的组名列表。提供有效证书的所有客户机均被指定给这些组。例如, |
jaas-context |
要用于此区域的登录模块类型。对于 |
另请参见:
在双向验证中,服务器端和客户端验证都会被启用。要测试双向验证,必须存在一个包含有效证书的客户机。有关双向验证的信息,请参见位于以下位置的《J2EE 1.4 Tutorial》中的 Security 一章:
Application Server 使用 certificate
区域进行 HTTPS 验证。
要指定对使用此区域的所有应用程序进行双向验证,请执行以下步骤。
server
,请展开 server-config
节点。default-config
节点。certificate
区域。clientAuth
。true
。
重新启动服务器之后,需要对使用 certificate
区域的所有应用程序进行客户机验证。
要启用对特定应用程序的双向验证,请使用 deploytool
将验证的方法设置为 Client-Certificate
。有关使用 deploytool
的更多信息,请参阅位于以下位置的 The J2EE 1.4 Tutorial 中的 "Security" 一章: