|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 警告: | 使用审核提供程序时,即使只记录了几个事件,也会影响 WebLogic Server 的性能。 |
有关详细信息,请参阅“管理控制台联机帮助”中的配置审核提供程序。
审核事件包含的 ContextHandler 可以保留多种信息或对象。设置 WebLogic 审核提供程序的“活动 ContextHandler 条目”特性可以指定审核提供程序将记录 ContextHandler 中的哪些 ContextElement 条目。默认情况下,不会审核任何 ContextElements。大多数情况下,将使用 toString 方法记录ContextHandler 中的对象。表 4-3 列出了可用的 ContextHandler 条目。
可以配置管理服务器,使其在用户更改域中任何资源的配置或调用域中任何资源的管理操作时发出日志消息并生成审核事件。例如,如果用户禁用域中受管服务器上的 SSL,管理服务器将发出日志消息。如果启用了 WebLogic 审核提供程序,则它会将审核事件写入附加的安全日志中。这些消息和审核事件提供了对域配置更改的审核跟踪(配置审核)。
管理服务器会将配置审核消息写入它的本地日志文件。默认情况下,不会将这些审核消息写入域范围的消息日志中。
请注意,配置审核信息包含在授权事件中。因此,配置审核的另一种方式便是使用授权事件。但请注意,授权事件中的信息可指示是否允许访问以执行配置更改;它并不指示配置更改实际上是否已获得成功(例如,配置更改可能因无效而已经失败)。
使用管理控制台。在域的“配置: 常规”页上,设置“配置审核类型”。请参阅“管理控制台帮助”中的启用配置审核。当启动管理服务器时,在weblogic.Server命令中包含下列 Java 选项之一:使用 WebLogic 脚本工具更改DomainMBean的ConfigurationAuditType特性的值。请参阅 WebLogic 脚本工具。
配置审核消息由消息 ID 标识,其范围为 159900-159910。
这些消息使用 MBean 对象名标识资源。WebLogic Server MBean 的对象名反映了 MBean 在层次数据模型中的位置。为反映该位置,对象名包含了父 MBean 中的名称/值对。例如,某服务器的 LogMBean 的对象名为:mydomain:Name=myserverlog,Type=Log,Server=myserver。请参阅“使用 JMX 开发自定义管理实用工具”中的 WebLogic Server MBean 数据模型。
表 4-5 概括了这些消息。
| 注意: | 每当授权用户添加、修改或删除资源时,无论是否已启用了配置审核,管理子系统也会生成一条 ID 为 140009 的 Info 消息。例如: |
| 注意: | <Sep 15, 2005 11:54:47 AM EDT> <Info> <Management> <140009> <Configuration changes for domain saved to the repository.> |
| 注意: | 虽然该消息可通知您域的配置已发生更改,但它不提供配置审核消息所提供的详细信息。此外,在调用资源的操作时,管理子系统也不会生成该消息。 |
表 4-6 列出了配置审核消息的其他消息特性。所有配置审核消息都为这些特性指定相同的值。
审核事件是审核提供程序可按特定方式读取和处理的对象。审核提供程序是一个可插入组件,安全领域使用它来收集、存储和分发有关操作请求及其请求结果的信息(出于非否认目的)。
如果启用域来发送审核事件,则该域将发送表 4-7 中所描述的事件。为该域配置的所有审核提供程序都可以处理这些事件。
所有事件的严重程度级别都是 SUCCESS,它们描述了启动操作的安全委托人、是否已授予权限以及所请求操作的对象(MBean 或 MBean 特性)。
如果启用默认的 WebLogic Server 审核提供程序,它会将所有审核事件作为日志消息写入自己的日志文件中。
您创建或购买的其他审核提供程序可以筛选这些事件,并将它们写入诸如 LDAP 服务器、数据库或简单的文件之类的输出仓库中。另外,其他类型的安全提供程序还可以向审核提供程序请求审核服务。请参阅“开发 WebLogic Server 的安全提供程序”中的审核提供程序。
凭据映射是指,远程系统(例如,旧式系统或应用程序)的身份验证和授权机制通过获取适当的凭据集来对远程用户进行身份验证以确定是否允许其访问目标 WebLogic 资源的过程。WebLogic 凭据映射提供程序会将 WebLogic Server 主题映射到要在访问此类资源时使用的用户名/密码对。
默认情况下,WebLogic 凭据映射提供程序的大多数配置选项已经过定义。但是,可以设置“已启用凭据映射部署”,以指定该凭据映射提供程序是否将资源适配器的部署描述符(weblogic-ra.xml 文件)中的凭据映射导入到安全领域中。默认情况下启用此设置。
为支持“已启用凭据映射部署”,凭据映射提供程序必须实现 DeployableCredentialProvider SSPI。凭据映射信息存储在嵌入式 LDAP 服务器中。
“开发 WebLogic Server 的安全提供程序”中的凭据映射提供程序。“管理控制台联机帮助”中的配置凭据映射提供程序和创建凭据映射。有关使用凭据映射的信息,请参阅 WebLogic 资源适配器编程。也可以使用 WebLogic 脚本工具或 Java 管理扩展(JMX) API 来创建新的安全配置。有关其他凭据映射提供程序的信息,请参阅配置 PKI 凭据映射提供程序和配置 SAML 凭据映射提供程序。
WebLogic Server 中包含的公钥基础结构(Public Key Infrastructure,简称 PKI)凭据映射提供程序将 (a) WebLogic Server 主题(发起方)和目标资源(以及可选的凭据操作)映射到 (b) 可由应用程序用于访问已定位资源的密钥对或公共证书。PKI 凭据映射提供程序使用主题和资源名从密钥库中检索相应的凭据。
使用适当的密钥配置密钥库,并在 WebLogic Server 群集中的所有计算机上分发此密钥库。WebLogic Server 不具备设置密钥库的功能。有关设置密钥库的信息,请参阅 help for the Java keytool utility,访问网址为 http://java.sun.com/j2se/1.4.2/docs/tooldocs/solaris/keytool.html。另外,有关 WebLogic Server 中的密钥库和密钥的信息,请参阅配置标识和信任。配置 PKI 凭据映射提供程序。在默认安全领域 (myrealm) 中,PKI 凭据映射提供程序尚未得到配置。请参阅“管理控制台联机帮助”中的 PKI 凭据映射特性和配置凭据映射提供程序。创建凭据映射。请参阅“管理控制台联机帮助”中的创建 PKI 凭据映射。
要配置 PKI 凭据映射提供程序,请设置下列特性的值。请参阅“管理控制台联机帮助”中的配置凭据映射提供程序。
另外,还有两个可选的特性,可在确切的资源或主题不可用时,用于确定 PKI 凭据映射提供程序将如何查找凭据映射:
也可以通过凭据操作来标记凭据映射。可在创建凭据映射时通过管理控制台来完成此操作。凭据操作是一个用于区分在不同环境中使用的凭据映射的任意字符串。例如,一个凭据映射可以解密来自远程资源的消息,另一个凭据映射可以签署要发送到同一资源的消息。主题发起方和目标资源不足以区分这两个凭据映射。可以使用凭据操作将这两个凭据映射中的一个标记为类似 decrypt 的内容,而将另一个标记为 sign。然后,调用该 PKI 凭据映射提供程序的应用程序可以在传递给该提供程序的 ContextHandler 中提供所需的凭据操作值。
有关向 PKI 凭据映射中添加凭据操作的信息,请参阅“管理控制台联机帮助”中的创建 PKI 凭据映射。
SAML 凭据映射提供程序充当 SAML 安全声明的生成程序,它允许 WebLogic Server 充当源站点以便使用 SAML 进行单一登录。SAML 凭据映射提供程序会基于目标站点或资源的配置为经过身份验证的主题生成有效的 SAML 1.1 声明。可以将 SAML 凭据映射提供程序配置为 SAML 站点间传输服务。请参阅“管理控制台联机帮助”中的配置凭据映射提供程序。
本版本的 WebLogic Server 包含两个 SAML 凭据映射提供程序。SAML 凭据映射提供程序版本 2 提供了显著增强的配置选项,建议在新部署中使用此提供程序。WebLogic Server 9.1 中不赞成使用 SAML 凭据映射提供程序版本 1。一个安全领域最多只能有一个 SAML 凭据映射提供程序,如果安全领域中同时包含 SAML 凭据映射提供程序和 SAML 标识声明提供程序,则两者必须属于同一版本。请勿在使用版本 2 SAML 提供程序的同一安全领域中使用版本 1 SAML 提供程序。有关配置 SAML 凭据映射提供程序版本 1 的信息,请参阅 WebLogic Server 9.0 文档中的Configuring a SAML Credential Mapping Provider。
有关 WebLogic Server 对 SAML 支持的一般信息,请参阅“了解 WebLogic 安全性”中的安全声明标记语言 (SAML) 和使用 WebLogic 安全框架单一登录。有关如何在 SAML 单一登录配置中使用 SAML 凭据映射提供程序的信息,请参阅使用 Web 浏览器和 HTTP 客户端配置单一登录
SAML 声明的有效性在时间上通常是有限的。SAML 凭据映射提供程序生成的声明的默认生存时间由 DefaultTimeToLive 特性指定。对于为不同的 SAML 依赖方生成的声明,可以替换其默认生存时间。
通常情况下,声明在 NotBefore 时间(默认为生成声明的大致时间)到 NotOnOrAfter 时间(按 NotBefore + TimeToLive 计算)内有效。要允许凭据映射器补偿源和目标站点之间的时钟差异,可以配置 SAML 凭据映射提供程序的 DefaultTimeToLiveDelta 特性。此生存时间偏移值是正整数或负整数,指示应将声明的 NotBefore 值设置为距“现在”之前或之后多少秒。如果设置 DefaultTimeToLiveDelta 的值,则声明生命周期仍然按 (NotBefore + TimeToLive) 计算,但 NotBefore 值将设置为 (now + TimeToLiveDelta)。例如,给定下列设置:
DefaultTimeToLive = 120DefaultTimeToLiveDelta = -30声明在生成时的声明周期有两分钟(120 秒),该时间将从生成前的 30 秒开始计算。
在将 WebLogic Server 配置为充当 SAML 安全声明的源时,需要注册可能请求并接受 SAML 声明的各方。对于每个 SAML 依赖方,可以指定使用的 SAML 配置文件、有关依赖方的详细信息以及在依赖方的声明中预期使用的特性。有关信息,请参阅:
配置依赖方。“管理控制台联机帮助”中的配置 SAML 依赖方。
WebLogic Server 可以将数字证书作为 Web Service 请求、双向 SSL 或其他安全交互的一部分接收。为验证这些证书,WebLogic Server 包含了一个证书查找和验证(Certificate Lookup and Validation,简称 CLV)框架,其功能是查找并验证 X.509 证书链。CLV 框架的关键元素是 CertPathBuilder 和 CertPathValidator。CLV 框架仅需要一个活动的 CertPathBuilder 以及零个或多个 CertPathValidator,前者可在给定对证书链的引用时查找该链并进行验证,后者可在给定证书链时对该链进行验证。
当 WebLogic Server 收到证书时,CLV 框架将使用配置为 CertPathBuilder 的安全提供程序来查找并验证该证书链。如果该证书链被找到并且有效,则该框架将调用每个已配置的 CertPathValidator 对该链执行额外验证,其调用顺序为管理员对它们的配置顺序。仅当生成器和所有验证器都对链成功验证后,该链才是有效的。
WebLogic Server 包含两个 CLV 安全提供程序:WebLogic CertPath 提供程序(同时充当 CertPathBuilder 和 CertPathValidator,如 CertPath 提供程序中所述)和证书注册表(如证书注册表中所述)。如果需要对整个证书链使用基于可信 CA 的验证,只需使用 WebLogic CertPath 提供程序。如果仅需要验证已注册的证书,只需使用证书注册表。如果要同时使用这两种类型的验证,请在使用时将证书注册表指定为当前生成器。
有关证书查找和验证的详细信息,请参阅配置标识和信任
WebLogic Server 中的默认安全领域被配置为使用 WebLogic CertPath 提供程序。CertPath 提供程序有两个功能:CertPathBuilder 和 CertPathValidator。CertPath 提供程序接收结束证书或证书链。如有必要,它将使用服务器的可信 CA 列表完成证书链。在生成该链后,CertPath 提供程序将对该链进行验证:检查链中的签名;确保链尚未过期;检查链的基本约束;验证链的结束证书是否是由服务器的可信 CA 之一颁发的。
WebLogic CertPath 提供程序除了其“当前生成器”特性外,不再需要任何其他配置,该特性指示是否应将 CertPath 提供程序用作活动证书链生成器。
证书注册表是一个安全提供程序,通过它可以显式注册允许访问 WebLogic Server 的可信证书列表。如果将证书注册表配置为安全领域的一部分,则只有在证书注册表中注册的证书才会被视为有效证书。证书注册表为执行撤销检查提供了一个廉价的机制。通过从证书注册表中删除证书,可以使证书立即失效。该注册表存储在嵌入式 LDAP 服务器中。
证书注册表既是一个 CertPath 生成器,也是一个 CertPath 验证器。无论在哪种情况下,证书注册表都可以确保链的结束证书存储在注册表中,但不执行其他验证。如果使用证书注册表作为安全领域的 CertPath 生成器,并且还需要使用 WebLogic CertPath 提供程序或其他安全提供程序来执行完整的链验证,则应确保在每个服务器的信任密钥库中注册中间和根 CA,并在证书注册表中注册结束证书。
WebLogic Server 中的默认安全领域不包含证书注册表。在配置了证书注册表后,即可使用 WebLogic 管理控制台在注册表中添加、删除和查看证书。可以使用 Java keytool 实用工具将密钥库中的证书导出到一个文件中。可以使用控制台将文件系统中以 PEM 或 DER 文件表示的证书导入证书注册表。也可以使用控制台查看证书的内容,包括其主题 DN、发行方 DN、序列号、有效日期、指纹等。
请参阅“管理控制台联机帮助”中的配置证书路径提供程序。
| 注意: | 不赞成使用 WebLogic 密钥库提供程序。它仅用于支持向后兼容性。应改用 Java 密钥库 (JKS)。WebLogic 密钥库提供程序支持的所有功能都可以通过使用 Java 密钥库获得。 |
有关配置 WebLogic 密钥库提供程序的信息,请参阅“管理控制台联机帮助”中的配置密钥库。
| 最新热点 | 最新推荐 | 相关文章 | ||
| · 面向对象设计与编程核心技术 · Tomcat系统安全管理与权限管理 · 雅虎公司C#笔试题 · 利用Java事件处理机制实现录制、回放功能 · apache+tomcat+mysql负载均衡和集群 · Linux 指令大全 · 应用服务器内存泄露问题诊断一例 · 追求代码质量: 软件架构的代码质量 · 对话 UNIX · 关于一些算法问题与朋友的讨论 |
· 对话 UNIX · nmon 性能:分析 AIX 和 Linux 性能的免费 · 追求代码质量: 谨防紧密耦合! · 应用服务器内存泄露问题诊断一例 · Linux 指令大全 · C 编程最佳实践 · LPI 证书 101 考试准备,第2部分 [正则表 · LPI 证书 101 考试准备,第1 部分 [使用L · Linux 究竟是什么? · 利用Java事件处理机制实现录制、回放功能 |
[确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 [确保 WebLogic Server 安全 |