编辑区域

要编辑区域,请执行以下步骤。

  1. 在管理控制台的树组件中,展开“配置”节点。
  2. 展开要配置的实例:
    1. 要配置特定的实例,请展开该实例的配置节点。例如,对于默认实例 server,请展开 server-config 节点。
    2. 要为所有实例配置默认设置,请展开 default-config 节点。
  3. 展开“安全性”节点。
  4. 展开“区域”节点。
  5. 选择一个现有区域的名称。
  6. 将显示“编辑区域”页面。

  7. 根据需要编辑现有属性及其值。
  8. 有关 file 区域属性的信息,请参见编辑 file 和 admin-realm 区域。要管理 file 区域中的用户,请单击“管理用户”按钮;有关更多信息,请参见管理 file 区域用户

    有关 certificate 区域属性的信息,请参见编辑 certificate 区域

  9. 要添加其他属性,请单击“添加属性”按钮。该页面将显示一个新行。输入一个有效的属性名和属性值。有关可以配置的可选属性的说明,请参见下列各表:
  10. 单击“保存”以保存更改。

编辑 file 和 admin-realm 区域

服务器在 file 区域的名为 keyfile 的文件和 admin-realm 区域的名为 admin-keyfile 的文件中维护所有用户、组和密码信息。对于这两种区域,file 属性均指定了 keyfile 的位置。表 0-40 显示了 file 区域的必需属性。

表 0-40  file 区域的必需属性 

属性名称

说明

默认值

file

密钥文件的完整路径和名称。

install_dir/domains/domain-name/
config/keyfile

jaas-context

要用于此区域的登录模块类型。

fileRealm 是唯一的有效值

keyfile 最初为空,因此在使用 file 区域之前,必须先添加用户。有关说明请参见管理 file 区域用户

admin-keyfile 最初包含管理员用户名、加密格式的管理员密码和该用户所属的组(默认情况下为 asadmin)。有关将用户添加到 admin-realm 的更多信息,请参见控制对管理工具的访问

admin-realmasadmin 组中的用户已被授权,可以使用管理控制台和 asadmin 工具。只能将具有服务器管理权限的用户添加到该组中。

使用网络安全服务 (NSS) 管理用户

仅在 Enterprise Edition 中,您可以使用管理控制台来管理用户(如管理 file 区域用户所述),或者使用 NSS 工具来管理用户。网络安全服务 (NSS) 是为支持启用安全性的客户机和服务器应用程序的跨平台开发而设计的一组库。使用 NSS 构建的应用程序可以支持 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书和其他安全性标准。有关详细信息,请链接到以下 URL:

管理 file 区域用户

使用管理控制台来管理 file 区域用户。file 区域中的用户和组列在 keyfile 文件中,该文件的位置由 file 属性指定。

:还可以使用以下步骤将用户添加到任何 file 区域(包括 admin-realm)中。您只需将本节中引用的 file 区域替换为目标区域的名称即可完成操作。

file 区域中的用户可以属于 J2EE 组它是按照常见属性分类的一个用户类别。例如,假定电子商务应用程序的用户属于 CUSTOMER 组,但是大客户可以属于 PREFERRED 组。将用户分组可以简化对用户量很大时的访问控制。

初次安装 Application Server 之后,唯一的用户是管理员在安装过程中输入的用户。默认情况下,此用户属于 admin-realm 区域中的 asadmin 组,该组可以授予修改 Application Server 的权限。指定给该组的任何用户都将具有管理员权限,也就是说,这些用户具有对 asadmin 工具和管理控制台的访问权。

要管理 file 区域用户,请执行以下步骤。

  1. 在管理控制台的树组件中,展开“配置”节点。
  2. 展开要配置的实例:
    1. 要配置特定的实例,请展开该实例的配置节点。例如,对于默认实例 server,请展开 server-config 节点。
    2. 要为所有实例配置默认设置,请展开 default-config 节点。
  3. 展开“安全性”节点。
  4. 展开“区域”节点。
  5. 选择 file 节点。
  6. 在“编辑区域”页面中,单击“管理用户”按钮。
  7. 将显示“文件用户”页面。在此页面中执行以下任务:

添加用户

在“文件用户”页面中,执行以下步骤来添加新用户:

  1. 单击“新建”将新用户添加到 file 区域中。
  2. 在“文件用户”页面中输入以下信息:
  3. 单击“确定”将此用户添加到 file 区域的用户列表中。单击“取消”退出而不保存更改。

等效的 asadmin 命令为:create-file-user

编辑用户

在“文件用户”页面中,执行以下步骤来更改用户的信息:

  1. 在“用户 ID”列中,单击要修改的用户名。
  2. 将显示“编辑文件区域用户”页面。

  3. 在“密码”和“确认密码”字段中输入新密码来更改用户密码。
  4. 在“组列表”字段中添加或删除组来更改用户所属的组。用逗号将组名分隔开。不需要先定义组。
  5. 单击“保存”将此用户保存到 file 区域的用户列表中。单击“关闭”退出而不保存更改。
删除用户

在“文件用户”页面中,执行以下步骤来删除用户:

  1. 选中要删除的用户名左侧的复选框。
  2. 单击“删除”。
  3. 单击“关闭”返回到“编辑区域”页面。

等效的 asadmin 命令为:delete-file-user

编辑 certificate 区域

certificate 区域支持 SSL 验证。该区域在 Application Server 的安全上下文中设置用户身份,并使用从信任存储和密钥库文件中以加密方式检验的客户机证书中获得的用户数据填充该身份(请参见)。使用 certutil 将用户添加到这些文件中。使用 certificate 区域,J2EE 容器可以根据每个用户从其证书中获得的独特名称 (DN) 来执行授权处理。DN 是证书对其公共密钥进行标识的实体的名称。此名称使用 X.500 标准,因此它在 Internet 中应该是唯一的。有关密钥库和信任存储的更多信息,请参阅关于 CertUtil 实用程序中的 certuti 文档。

表 0-41 列出了 certificate 区域的可选属性。

表 0-41  certificate 区域的可选属性 

属性

说明

assign-groups

以逗号分隔的组名列表。提供有效证书的所有客户机均被指定给这些组。例如,employee,manager,它们是用户组的名称。

jaas-context

要用于此区域的登录模块类型。对于 certificate 区域,该值必须为 certificateRealm

另请参见:

配置双向验证

在双向验证中,服务器端和客户端验证都会被启用。要测试双向验证,必须存在一个包含有效证书的客户机。有关双向验证的信息,请参见位于以下位置的《J2EE 1.4 Tutorial》中的 Security 一章:

为所有应用程序启用双向验证

Application Server 使用 certificate 区域进行 HTTPS 验证。

要指定对使用此区域的所有应用程序进行双向验证,请执行以下步骤。

  1. 在管理控制台的树组件中,展开“配置”节点。
  2. 展开要配置的实例:
    1. 要配置特定的实例,请展开该实例的配置节点。例如,对于默认实例 server,请展开 server-config 节点。
    2. 要为所有实例配置默认设置,请展开 default-config 节点。
  3. 展开“安全性”节点。
  4. 展开“区域”节点。
  5. 选择 certificate 区域。
  6. 单击“添加属性”按钮。
  7. 单击“保存”。
  8. 如果控制台中显示“需要重新启动”,请重新启动 Application Server。
  9. 重新启动服务器之后,需要对使用 certificate 区域的所有应用程序进行客户机验证。

在应用程序中启用双向 SSL 验证

要启用对特定应用程序的双向验证,请使用 deploytool 将验证的方法设置为 Client-Certificate。有关使用 deploytool 的更多信息,请参阅位于以下位置的 The J2EE 1.4 Tutorial 中的 "Security" 一章:


法律通告