0.前言
本文介紹了如何搭建Shibboleth,實現Shibboleth+Ldap的SSO解決方案
1.什么是Shibboleth
Shibboleth是一個基于標準的,實現組織內部或跨組織的網頁單點登錄的開源軟件包。它允許站點為處于私有保護方式下的受保護的在線資源做出被通知的認證決定。
Shibboleth軟件工具廣泛使用聯合的身份標準,主要是OASIS安全聲稱標記語言(SAML),來提供一個聯合單點登錄和屬性交換框架。一個用戶用他的組織的證書認證,組織(或IdP)傳送最少的必要的身份信息給SP實現認證決定。Shibboleth也提供擴展的隱私功能,允許一個用戶和他們的主站點來控制釋放給每一個應用的屬性。
Shibboleth項目作為一個Internet2中間件活動啟動于2000年,這年晚些時候該項目和OASIS SAML工作組的工作相聯系。Shibboleth1.0 于2003年發布,并快速被全世界的研究和教育機構使用。隨著2005年SAML2.0的發布,2006年Shibboleth2.0也發布,SAML標準升級到包含所有的多邊,由Shibboleth首創的元數據驅動方法。
Shibboleth作為開源軟件開發,在Apache 軟件許可證下發布。關于個別部件的更多信息可以在產品頁面看到。
2.安裝Shibboleth Identity Provider v3.2.1
- 切換成root
sudo su 2.下載Shibboleth Identity Provider v3.2.1
wget http://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.2.1.tar.gz tar -xzvf shibboleth-identity-provider-3.2.1.tar.gz cd shibboleth-identity-provider-3.2.13.安裝Shibboleth Idenentity Provider:
sh-3.2# ./install.sh Source (Distribution) Directory (press <enter> to accept default): [/Users/zhaoyu.zhaoyu/Applications/shibboleth-identity-provider-3.3.2] Installation Directory: [/opt/shibboleth-idp] Hostname: [localhost.localdomain] testdomain.com SAML EntityID: [https://testdomain.com/idp/shibboleth] Attribute Scope: [localdomain] Backchannel PKCS12 Password: Re-enter password: Cookie Encryption Key Password: Re-enter password: Warning: /opt/shibboleth-idp/bin does not exist. Warning: /opt/shibboleth-idp/dist does not exist. Warning: /opt/shibboleth-idp/doc does not exist. Warning: /opt/shibboleth-idp/system does not exist. Warning: /opt/shibboleth-idp/webapp does not exist. Generating Signing Key, CN = testdomain.com URI = https://testdomain.com/idp/shibboleth ... ...done Creating Encryption Key, CN = testdomain.com URI = https://testdomain.com/idp/shibboleth ... ...done Creating Backchannel keystore, CN = testdomain.com URI = https://testdomain.com/idp/shibboleth ... ...done Creating cookie encryption key files... ...done Rebuilding /opt/shibboleth-idp/war/idp.war ... ...done BUILD SUCCESSFUL Total time: 1 minute 14 seconds (from now "{idp.home}" == /opt/shibboleth-idp/)
4.導入 JST library (status界面會用到):
cd /opt/shibboleth-idp/edit-webapp/WEB-INF/lib wget https://build.shibboleth.net/nexus/service/local/repositories/thirdparty/content/javax/servlet/jstl/1.2/jstl-1.2.jar cd /opt/shibboleth-idp/bin ./build.sh -Didp.target.dir=/opt/shibboleth-idp3.安裝指引
3.1 安裝apache tomcat 8
1.切換成root
sudo su -2.修改tomcat的%{CATALINA_HOME}/conf/server.xml
將8080端口和8443端口的地方分別改成80和443
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />3.生成證書文件
[chengxu@local]keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "./tomcat.keystore" 輸入密鑰庫口令: 再次輸入新口令: 您的名字與姓氏是什么? [Unknown]: cheng 您的組織單位名稱是什么? [Unknown]: testdomain.com 您的組織名稱是什么? [Unknown]: testdomain.com 您所在的城市或區域名稱是什么? [Unknown]: 您所在的省/市/自治區名稱是什么? [Unknown]: 該單位的雙字母國家/地區代碼是什么? [Unknown]: CN=cheng, OU=testdomain.com, O=testdomain.com, L=Unknown, ST=Unknown, C=Unknown是否正確? [否]: 是 輸入 <tomcat> 的密鑰口令 (如果和密鑰庫口令相同, 按回車): 再次輸入新口令: [chengxu@local]4.修改tomcat的%{CATALINA_HOME}/conf/server.xml,使支持https協議
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/Users/chengxu/Shibboleth/tomcat/tomcat.keystore" keystorePass="xxx"/> 5.發布Idp Web Application到Tomcat 8 container
vim %{CATALINA_HOME}/conf/Catalina/localhost/idp.xml<Context docBase="/opt/shibboleth-idp/war/idp.war" privileged="true" antiResourceLocking="false" swallowOutput="true"/>4.配置host
vim /etc/host 127.0.0.1 testdomain.com5.重啟tomcat
%{CATALINA_HOME}/bin/catalina.sh stop
%{CATALINA_HOME}/bin/catalina.sh start
6.檢測是否服務啟動正常
訪問https://testdomain/idp/status
或者/opt/shibboleth-idp/bin; ./status.sh
3.2 配置shibboleth連接ldap
編輯修改ldap.properties
vim /opt/shibboleth/conf/ldap.properties idp.authn.LDAP.authenticator = bindSearchAuthenticator idp.authn.LDAP.ldapURL = ldap://ldap.example.it:389 idp.authn.LDAP.useStartTLS = false idp.authn.LDAP.useSSL = false idp.authn.LDAP.baseDN = cn=Users,dc=example,dc=org idp.authn.LDAP.userFilter = (uid={user}) idp.authn.LDAP.bindDN = cn=admin,cn=Users,dc=example,dc=org idp.authn.LDAP.bindDNCredential = ###LDAP ADMIN PASSWORD###6.修改shibboleth ldap配置
vim /opt/shibboleth/conf/services.xml 把 <value>%{idp.home}/conf/attribute-resolver.xml</value> 改為 <value>%{idp.home}/conf/attribute-resolver-full.xml</value>vim /opt/shibboleth-idp/conf/attribute-resolver-full.xml 注釋掉下列代碼,如果已經注釋掉了就不動了(有些版本已經注釋了) <!-- <dc:StartTLSTrustCredential id="LDAPtoIdPCredential" xsi:type="sec:X509ResourceBacked"> <sec:Certificate>% {idp.attribute.resolver.LDAP.trustCertificates}</sec:Certificate> </dc:StartTLSTrustCredential> -->重啟tomcat
7.獲取idp metadata.xml
https://testdomain.com/idp/shibboleth
注意metadata.xml文件中的validUntil屬性,如果過期了則修改為未來的某個時間點
4.小結
至此我們完成了Shibboleth與LDAP集成的安裝過程
下篇: 實現Shibboleth+Ldap到阿里云的單點登錄
來自:https://yq.aliyun.com/articles/350531?tdsourcetag=s_pcqq_aiomsg&do=login&accounttraceid=87b0f203-5d81-4cb7-a986-49615e3962e2&do=login&do=login
]]>
https://www.iteye.com/blog/lhy5201314-1171267
]]>
<listener>
<listener-class>SessionCount.SessionCounter</listener-class>
</listener>
注冊listener即可統計在線人數
]]>
進入管理界面的登陸頁面,這時候請輸入原來安裝時要求輸入的用戶名和密碼,登陸到管理界面,
2)選擇Resources-Data sources進入配置數據源界面,選擇
Data Source Actions ->選擇Create New Data Source,進入配置詳細信息界面
主要內容例如下:
JNDI Name: ->jdbc/mysql
Data Source URL ->jdbc:mysql://localhost:3306/db
JDBC Driver Class-> com.mysql.jdbc.Driver
3)修改"conf"context.xml,全部內容如下:
<Resource name="jdbc/mysql"
type="javax.sql.DataSource"
driverClassName="com.mysql.jdbc.Driver"
url="jdbc:mysql://172.16.0.25/db"
username="root"
password="root"
maxActive="100"
maxIdle="30"
maxWait="10000" />
</Context>
4)修改web.xml
打開%TOMCAT_HOME%"conf"web.xml,在的前面添加以下內容:
<resource-ref>
<description>
<res-ref-name>
<res-type>
<res-auth>
</resource-ref>
注意res-ref-name填寫的內容要與在上文提到的JNDI Name名稱一致。
到這里,配置工作就基本完成了!
5)引用JNDI時用"java:comp/env/jdbc/mysql";
有的時候直接應用JNDI名就可以,比如WEBLOGIC8。而TOMCAT就是這么做。
6)JDBC驅動程序mysql-connector-java-5.0.0-beta-bin.jar
一定要放置到%TOMCAT_HOME%"common"lib下。
重啟你的Tomcat服務。
來自: http://zf2000.bokee.com/5421704.html (有刪減)
]]>
在tomcat配置文件server.xml中的<Connector ... />配置中,和連接數相關的參數有:
minProcessors:最小空閑連接線程數,用于提高系統處理性能,默認值為10
maxProcessors:最大連接線程數,即:并發處理的最大請求數,默認值為75
acceptCount:允許的最大連接數,應大于等于maxProcessors,默認值為100
enableLookups:是否反查域名,取值為:true或false。為了提高處理能力,應設置為false
connectionTimeout:網絡連接超時,單位:毫秒。設置為0表示永不超時,這樣設置有隱患的。通常可設置為30000毫秒。
其中和最大連接數相關的參數為maxProcessors和acceptCount。如果要加大并發連接數,應同時加大這兩個參數。
web server允許的最大連接數還受制于操作系統的內核參數設置,通常Windows是2000個左右,Linux是1000個左右。Unix中如何設置這些參數,請參閱Unix常用監控和管理命令
tomcat4中的配置示例:<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"
port="8080" minProcessors="10" maxProcessors="1024"
enableLookups="false" redirectPort="8443"
acceptCount="1024" debug="0" connectionTimeout="30000" />
對于其他端口的偵聽配置,以此類推。
2. tomcat中如何禁止列目錄下的文件
在{tomcat_home}/conf/web.xml中,把listings參數設置成false即可,如下:
<servlet>
...
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
...
</servlet>
3. 如何加大tomcat可以使用的內存
tomcat默認可以使用的內存為128MB,在較大型的應用項目中,這點內存是不夠的,需要調大。
Unix下,在文件{tomcat_home}/bin/catalina.sh的前面,增加如下設置:
JAVA_OPTS='-Xms【初始化內存大小】 -Xmx【可以使用的最大內存】'
需要把這個兩個參數值調大。例如:
JAVA_OPTS='-Xms256m -Xmx512m'
表示初始化內存為256MB,可以使用的最大內存為512MB
4. 設置主頁根目錄
<Context path="" docBase="C:\myApp" debug="0" reloadable="true"></Context>
來自:http://www.cnblogs.com/midnight/archive/2004/11/04/60398.html
]]>
把filter\SetCharacterEncodingFilter.class放在web-inf\classes目錄
在web.xml中添加
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.htm</welcome-file>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
<filter>
<filter-name>Set Character Encoding</filter-name>
<filter-class>filters.SetCharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>GBK</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Set Character Encoding</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
后,啟動tomcat5.0.28,出現
2007-3-13 17:43:46 org.apache.catalina.core.StandardContext start
嚴重: Error filterStart
2007-3-13 17:43:46 org.apache.catalina.core.StandardContext start
嚴重: Context startup failed due to previous errors
解決辦法:
c:\> cd 主頁目錄\web-inf\classes
c:\> jar cvf filters.jar filters
形成filters.jar文件,把它放在 tomcat\common\lib下,重新啟動tomcat,問題解決!
]]>
1)保持這2句的字符編碼一致:
<%@ page contentType="text/html;charset=UTF-8" language="java"%>
<%@ page language="java" import="java.util.*,hy.*" pageEncoding="UTF-8"%>
2)數據庫
在寫JSP時,里面面有涉及到數據庫操作,當保存時就會彈出
save could not be completed
原因是some characters could not be mapped using iso8859-1
<%@ page language="java" pageEncoding="GBK"%>
設成GBK或UTF-8就可以了,只要他里面的支持中文就ok了
3)eclipse設置
|
|
找到protected void parseParameters()方法,把
if (encoding == null) encoding = "ISO-8859-1";
改為
if (encoding == null) encoding = "GBK";
然后編譯
javac HttpRequestBase.java生成兩個class文件.再然后用jar命令把它打包成原來的catalina.jar,覆蓋原來的,最后重新啟動tomcat就可以。
]]>
安裝JAVA環境
打開終端,執行以下命令,或使用《新立得軟件管理器》,在其中分別搜索“sun-java5-jre“和“sun-java5-jdk”并標記安裝。
sudo apt-get install sun-java5-jre
# 如果空間富裕,建議安裝一個JDK。呵呵
sudo apt-get install sun-java5-jdk
設置當前默認的java解釋器
sudo update-alternatives –config java
執行后會出現類似如下的畫面:
There are 4 alternatives which provide `java’.
Selection Alternative
———————————————–
1 /usr/lib/jvm/java-gcj/jre/bin/java
2 /usr/bin/gij-wrapper-4.1
3 /usr/bin/gij-wrapper-4.0
4 /usr/lib/jvm/java-1.5.0-sun/jre/bin/java
Press enter to keep the default
or type selection number:
輸入 有包含 “sun” 的行的前面的數字。如上面顯示,則輸入 4,然后回車確定。
2、下載tomcat
$wget http://apache.freelamp.com/jakarta/tomcat-5/v5.5.9/bin/jakarta-tomcat-5.5.9.tar.gz
我的tomcat是從 http://tomcat.apache.org/download-55.cgi這里下載的core.當然下面的文件名也要做相應的修改.
3、解壓tomcat
$sudo tar zxvf jakarta-tomcat-5.5.9.tar.gz -C /opt
$sudo mv /opt/jakarta-tomcat-5.5.9 /opt/tomcat
4、確保在/etc/environment文件中有:(這一步不是很確定是否需要)
>CLASSPATH=/usr/lib/j2sdk1.5-sun/lib
>JAVA_HOME=/usr/lib/j2sdk1.5-sun
5、啟動tomcat
$sudo /opt/tomcat/bin/startup.sh
如果能看到下列提示,就表明啟動成功了!
>Using CATALINA_BASE: /opt/tomcat
>Using CATALINA_HOME: /opt/tomcat
>Using CATALINA_TMPDIR: /opt/tomcat/temp
>Using JRE_HOME: /usr/lib/j2sdk1.5-sun
6、測試:打開Firefox,在地址欄中輸入http://localhost:8080,如果出來Tomcat的缺省界面,說明測試通過!
7、停止Tomcat服務
$sudo /opt/tomcat/bin/shutdown.sh
8、獲得MySQL的JDBC,在Firefox瀏覽器的地址欄中輸入http: //dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-3.1.10.tar.gz/from/http: //mysql.cbn.net.id/以得到該軟件。
9、安裝JDBC
$tar -zxvf mysql-connector-java-3.1.10.tar.gz
$sudo cp mysql-connector-java-3.1.10/mysql-connector-java-3.1.10-bin*.jar /usr/lib/j2sdk1.5-sun/lib
配置Tomcat的端口
Ubuntu自帶的Tomcat打開的是8180端口,既不符合常規,也不利于使用。我們可以做一些簡單的修改,讓Tomcat使用其他的端口進行服務。在Terminal中,輸入
sudo gedit /usr/share/tomcat5/conf/server.xml
在配置文件中查找
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8180"
并把其中的8180替換成需要的端口。一般情況下,可以替換成80或者是8080。如果設置成80,那么在瀏覽器中直接輸入http://localhost就可以訪問到Tomcat的頁面。 重新啟動Tomcat生效。
設置Tomcat管理員帳號
Tomcat的用戶帳號信息都保存在tomcat-users.xml的文件中,運行
sudo gedit /usr/share/tomcat5/conf/tomcat-users.xml
在</tomcat-users>的標簽前添加一行
<user username="用戶名" password="密碼" roles="admin,manager"/>
保存并關閉。重新運行tomcat即可輸入該用戶名和密碼,登錄Tomcat的管理頁面。
安裝最新版本的Tomcat
我們接下來介紹直接從Apache Tomcat的主頁上下載并使用最新版本5.5.17的Tomcat軟件,該方法方便快捷而且并不影響系統的穩定性。
從tomcat的官方下載頁面http://tomcat.apache.org/download-55.cgi
下載Binary->Core分類中的zip或者tar.gz包后,本地解壓縮并將新生成的目錄重命名為tomcat,以方便使用。將這個文件夾移動至某路徑PATH/。 參考以上設置環境變量和端口設置等步驟,大功告成! 直接運行
PS,開始的時候用apt-get安裝tomcat5.5,總是出現無法安裝成功,在shutdown時,出來java異常,最后實在沒有辦法了,用
sudo apt-get remove tomcat5.5
把它給卸載了.重新下載安裝,不用apt-get
traceback:http://blog.csdn.net/aqua_aqua/archive/2007/05/18/1614485.aspx
]]>
大多數商業化的J2EE服務器都提供一個功能強大的管理界面,且大都采用易于理解的Web應用界面。Tomcat按照自己的方式,同樣提供一個成熟的管理工具,并且絲毫不遜于那些商業化的競爭對手。Tomcat的Admin Web Application最初在4.1版本時出現,當時的功能包括管理context、data source、user和group等。當然也可以管理像初始化參數,user、group、role的多種數據庫管理等。在后續的版本中,這些功能將得到很大的擴展,但現有的功能已經非常實用了。Admin Web Application被定義在自動部署文件:CATALINA_BASE/webapps/admin.xml 。(譯者注:CATALINA_BASE即tomcat安裝目錄下的server目錄)
你必須編輯這個文件,以確定Context中的docBase參數是絕對路徑。也就是說,CATALINA
_BASE/webapps/admin.xml的路徑是絕對路徑。作為另外一種選擇,你也可以刪除這個自動部署文件,而在server.xml文件中建立一個Admin Web Application的context,效果是一樣的。你不能管理Admin Web Application這個應用,換而言之,除了刪除CATALINA_BASE/webapps/admin.xml ,你可能什么都做不了。
如果你使用UserDatabaseRealm(默認),你將需要添加一個user以及一個role到CATALINA_BASE/conf/tomcat-users.xml文件中。你編輯這個文件,添加一個名叫“admin”的role 到該文件中,如下:
<role name="admin"/>
同樣需要有一個用戶,并且這個用戶的角色是“admin”。象存在的用戶那樣,添加一個用戶(改變密碼使其更加安全):
<ser name="admin"
password="deep_dark_secret"
roles="admin"/>
你完成這些步驟后,請重新啟動Tomcat,訪問http://localhost:8080/admin,你將看到一個登錄界面。Admin Web Application采用基于容器管理的安全機制,并采用了Jakarta Struts框架。一旦你作為“admin”角色的用戶登錄管理界面,你將能夠使用這個管理界面配置Tomcat。
2、配置應用管理(Manager Web Application)
Manager Web Application讓你通過一個比Admin Web Application更為簡單的用戶界面,執行一些簡單的Web應用任務。Manager Web Application被被定義在一個自動部署文件中:
CATALINA_BASE/webapps/manager.xml
你必須編輯這個文件,以確保context的docBase參數是絕對路徑,也就是說CATALINA_HOME/server/webapps/manager的絕對路徑。(譯者注:CATALINA_HOME即tomcat安裝目錄)
如果你使用的是UserDatabaseRealm,那么你需要添加一個角色和一個用戶到CATALINA_BASE/conf/tomcat-users.xml文件中。接下來,編輯這個文件,添加一個名為“manager”的角色到該文件中:
<role name=”manager”>
同樣需要有一個角色為“manager”的用戶。像已經存在的用戶那樣,添加一個新用戶(改變密碼使其更加安全):
<user name="manager"
password="deep_dark_secret"
roles="manager"/>
然后重新啟動Tomcat,訪問http://localhost/manager/list,將看到一個很樸素的文本型管理界面,或者訪問http://localhost/manager/html/list,將看到一個HMTL的管理界面。不管是哪種方式都說明你的Manager Web Application現在已經啟動了。
Manager application讓你可以在沒有系統管理特權的基礎上,安裝新的Web應用,以用于測試。如果我們有一個新的web應用位于/home/user/hello下在,并且想把它安裝到/hello下,為了測試這個應用,我們可以這么做,在第一個文件框中輸入“/hello”(作為訪問時的path),在第二個文本框中輸入“file:/home/user/hello”(作為Config URL)。
Manager application還允許你停止、重新啟動、移除以及重新部署一個web應用。停止一個應用使其無法被訪問,當有用戶嘗試訪問這個被停止的應用時,將看到一個503的錯誤??“503 - This application is not currently available”。
移除一個web應用,只是指從Tomcat的運行拷貝中刪除了該應用,如果你重新啟動Tomcat,被刪除的應用將再次出現(也就是說,移除并不是指從硬盤上刪除)。
3、部署一個web應用
有兩個辦法可以在系統中部署web服務。
1. 拷貝你的WAR文件或者你的web應用文件夾(包括該web的所有內容)到$CATALINA_BASE/webapps目錄下。
2. 為你的web服務建立一個只包括context內容的XML片斷文件,并把該文件放到$CATALINA_BASE/webapps目錄下。這個web應用本身可以存儲在硬盤上的任何地方。
如果你有一個WAR文件,你若想部署它,則只需要把該文件簡單的拷貝到CATALINA_BASE/webapps目錄下即可,文件必須以“.war”作為擴展名。一旦Tomcat監聽到這個文件,它將(缺省的)解開該文件包作為一個子目錄,并以WAR文件的文件名作為子目錄的名字。
接下來,Tomcat將在內存中建立一個context,就好象你在server.xml文件里建立一樣。當然,其他必需的內容,將從server.xml中的DefaultContext獲得。
部署web應用的另一種方式是寫一個Context XML片斷文件,然后把該文件拷貝到CATALINA_BASE/webapps目錄下。一個Context片斷并非一個完整的XML文件,而只是一個context元素,以及對該應用的相應描述。
這種片斷文件就像是從server.xml中切取出來的context元素一樣,所以這種片斷被命名為“context片斷”。
舉個例子,如果我們想部署一個名叫MyWebApp.war的應用,該應用使用realm作為訪問控制方式,我們可以使用下面這個片斷:
<!--
Context fragment for deploying MyWebApp.war
-->
<Context path="/demo"
docBase="webapps/MyWebApp.war"
debug="0" privileged="true">
<Realm className=
"org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
</Context>
把該片斷命名為“MyWebApp.xml”,然后拷貝到CATALINA_BASE/webapps目錄下。
這種context片斷提供了一種便利的方法來部署web應用,你不需要編輯server.xml,除非你想改變缺省的部署特性,安裝一個新的web應用時不需要重啟動Tomcat。
4、配置虛擬主機(Virtual Hosts)
關于server.xml中“Host”這個元素,只有在你設置虛擬主機的才需要修改。虛擬主機是一種在一個web服務器上服務多個域名的機制,對每個域名而言,都好象獨享了整個主機。實際上,大多數的小型商務網站都是采用虛擬主機實現的,這主要是因為虛擬主機能直接連接到Internet并提供相應的帶寬,以保障合理的訪問響應速度,另外虛擬主機還能提供一個穩定的固定IP。
基于名字的虛擬主機可以被建立在任何web服務器上,建立的方法就是通過在域名服務器(DNS)上建立IP地址的別名,并且告訴web服務器把去往不同域名的請求分發到相應的網頁目錄。因為這篇文章主要是講Tomcat,我們不準備介紹在各種操作系統上設置DNS的方法,如果你在這方面需要幫助,請參考《DNS and Bind》一書,作者是Paul Albitz and Cricket Liu (O'Reilly)。為了示范方便,我將使用一個靜態的主機文件,因為這是測試別名最簡單的方法。
在Tomcat中使用虛擬主機,你需要設置DNS或主機數據。為了測試,為本地IP設置一個IP別名就足夠了,接下來,你需要在server.xml中添加幾行內容,如下:
<Server port="8005"
shutdown="SHUTDOWN" debug="0">
<Service name="Tomcat-Standalone">
<Connector className=
"org.apache.coyote.tomcat4.CoyoteConnector"
port="8080"
minProcessors="5" maxProcessors="75"
enableLookups="true"
redirectPort="8443"/>
<Connector className=
"org.apache.coyote.tomcat4.CoyoteConnector"
port="8443" minProcessors="5"
maxProcessors="75"
acceptCount="10" debug="0"
scheme="https" secure="true"/>
<Factory className="org.apache.coyote.
tomcat4.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" />
</Connector>
<Engine name="Standalone"
defaultHost="localhost" debug="0">
<!-- This Host is the default Host -->
<Host name="localhost"
debug="0" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<Context path="" docBase="ROOT" debug="0"/>
<Context path="/orders"
docBase="/home/ian/orders" debug="0"
reloadable="true" crossContext="true">
</Context>
</Host>
<!-- This Host is the first
"Virtual Host": http://www.example.com/ -->
<Host name="www.example.com"
appBase="/home/example/webapp">
<Context path="" docBase="."/>
</Host>
</Engine>
</Service>
</Server>
Tomcat的server.xml文件,在初始狀態下,只包括一個虛擬主機,但是它容易被擴充到支持多個虛擬主機。在前面的例子中展示的是一個簡單的server.xml版本,其中粗體部分就是用于添加一個虛擬主機。每一個Host元素必須包括一個或多個context元素,所包含的context元素中必須有一個是默認的context,這個默認的context的顯示路徑應該為空(例如,path=””)。
5、配置基礎驗證(Basic Authentication)
容器管理驗證方法控制著當用戶訪問受保護的web應用資源時,如何進行用戶的身份鑒別。當一個web應用使用了Basic Authentication(BASIC參數在web.xml文件中auto-method元素中設置),而有用戶訪問受保護的web應用時,Tomcat將通過HTTP Basic Authentication方式,彈出一個對話框,要求用戶輸入用戶名和密碼。在這種驗證方法中,所有密碼將被以64位的編碼方式在網絡上傳輸。
注意:使用Basic Authentication通過被認為是不安全的,因為它沒有強健的加密方法,除非在客戶端和服務器端都使用HTTPS或者其他密碼加密碼方式(比如,在一個虛擬私人網絡中)。若沒有額外的加密方法,網絡管理員將能夠截獲(或濫用)用戶的密碼。
但是,如果你是剛開始使用Tomcat,或者你想在你的web應用中測試一下基于容器的安全管理,Basic Authentication還是非常易于設置和使用的。只需要添加
下面例子中的web.xml摘自一個俱樂部會員網站系統,該系統中只有member目錄被保護起來,并使用Basic Authentication進行身份驗證。請注意,這種方式將有效的代替Apache web服務器中的.htaccess文件。
<!--
Define the
Members-only area,
by defining
a "Security Constraint"
on this Application, and
mapping it to the
subdirectory (URL) that we want
to restrict.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>
Entire Application
</web-resource-name>
<url-pattern>/members/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<!-- Define the Login
Configuration for
this Application -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>My Club
Members-only Area</realm-name>
</login-config>
6、配置單點登錄(Single Sign-On)
一旦你設置了realm和驗證的方法,你就需要進行實際的用戶登錄處理。一般說來,對用戶而言登錄系統是一件很麻煩的事情,你必須盡量減少用戶登錄驗證的次數。作為缺省的情況,當用戶第一次請求受保護的資源時,每一個web應用都會要求用戶登錄。
如果你運行了多個web應用,并且每個應用都需要進行單獨的用戶驗證,那這看起來就有點像你在與你的用戶搏斗。用戶們不知道怎樣才能把多個分離的應用整合成一個單獨的系統,所有他們也就不知道他們需要訪問多少個不同的應用,只是很迷惑,為什么總要不停的登錄。
Tomcat 4的“single sign-on”特性允許用戶在訪問同一虛擬主機下所有web應用時,只需登錄一次。為了使用這個功能,你只需要在Host上添加一個SingleSignOn Valve元素即可,如下所示:
<Valve className=
"org.apache.catalina.
authenticator.SingleSignOn"
debug="0"/>
在Tomcat初始安裝后,server.xml的注釋里面包括SingleSignOn Valve配置的例子,你只需要去掉注釋,即可使用。那么,任何用戶只要登錄過一個應用,則對于同一虛擬主機下的所有應用同樣有效。使用single sign-on valve有一些重要的限制:
1> value必須被配置和嵌套在相同的Host元素里,并且所有需要進行單點驗證的web應用(必須通過context元素定義)都位于該Host下。
2> 包括共享用戶信息的realm必須被設置在同一級Host中或者嵌套之外。
3> 不能被context中的realm覆蓋。
4> 使用單點登錄的web應用最好使用一個Tomcat的內置的驗證方式(被定義在web.xml中的
5> 如果你使用單點登錄,還希望集成一個第三方的web應用到你的網站中來,并且這個新的web應用使用它自己的驗證方式,而不使用容器管理安全,那你基本上就沒招了。你的用戶每次登錄原來所有應用時需要登錄一次,并且在請求新的第三方應用時還得再登錄一次。
當然,如果你擁有這個第三方web應用的源碼,而你又是一個程序員,你可以修改它,但那恐怕也不容易做。
6> 單點登錄需要使用cookies。
7、配置用戶定制目錄(Customized User Directores)
一些站點允許個別用戶在服務器上發布網頁。例如,一所大學的學院可能想給每一位學生一個公共區域,或者是一個ISP希望給一些web空間給他的客戶,但這又不是虛擬主機。在這種情況下,一個典型的方法就是在用戶名前面加一個特殊字符(~),作為每位用戶的網站,比如:
http://www.cs.myuniversity.edu/~username
http://members.mybigisp.com/~username
Tomcat提供兩種方法在主機上映射這些個人網站,主要使用一對特殊的Listener元素。Listener的className屬性應該是org.apache.catalina.startup.UserConfig,userClass屬性應該是幾個映射類之一。
如果你的系統是Unix,它將有一個標準的/etc/passwd文件,該文件中的帳號能夠被運行中的Tomcat很容易的讀取,該文件指定了用戶的主目錄,使用PasswdUserDatabase 映射類。
<Listener className=
"org.apache.catalina.startup.UserConfig"
directoryName="public_html"
userClass="org.apache.catalina.
startup.PasswdUserDatabase"/>
web文件需要放置在像/home/users/ian/public_html或者/users/jbrittain/public_html一樣的目錄下面。當然你也可以改變public_html 到其他任何子目錄下。
實際上,這個用戶目錄根本不一定需要位于用戶主目錄下里面。如果你沒有一個密碼文件,但你又想把一個用戶名映射到公共的像/home一樣目錄的子目錄里面,則可以使用HomesUserDatabase類。
<Listener className=
"org.apache.catalina.startup.UserConfig"
directoryName="public_html"
homeBase="/home"
userClass="org.apache.catalina.
startup.HomesUserDatabase"/>
這樣一來,web文件就可以位于像/home/ian/public_html或者/home/jasonb/public_html一樣的目錄下。這種形式對Windows而言更加有利,你可以使用一個像c:\home這樣的目錄。
這些Listener元素,如果出現,則必須在Host元素里面,而不能在context元素里面,因為它們都用應用于Host本身。
8、在Tomcat中使用CGI腳本
Tomcat主要是作為Servlet/JSP容器,但它也有許多傳統web服務器的性能。支持通用網關接口(Common Gateway Interface,即CGI)就是其中之一,CGI提供一組方法在響應瀏覽器請求時運行一些擴展程序。
CGI之所以被稱為通用,是因為它能在大多數程序或腳本中被調用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。
當然,你大概不會把一個Java應用程序當作CGI來運行,畢竟這樣太過原始。一般而言,開發Servlet總要比CGI具有更好的效率,因為當用戶點擊一個鏈接或一個按鈕時,你不需要從操作系統層開始進行處理。
Tomcat包括一個可選的CGI Servlet,允許你運行遺留下來的CGI腳本。
為了使Tomcat能夠運行CGI,你必須做如下幾件事:
1. 把servlets-cgi.renametojar (在CATALINA_HOME/server/lib/目錄下)改名為servlets-cgi.jar。處理CGI的servlet應該位于Tomcat的CLASSPATH下。
2. 在Tomcat的CATALINA_BASE/conf/web.xml 文件中,把關于
3. 同樣,在Tomcat的CATALINA_BASE/conf/web.xml文件中,把關于對CGI進行映射的那段的注釋去掉(默認情況下,該段位于第299行)。注意,這段內容指定了HTML鏈接到CGI腳本的訪問方式。
4. 你可以把CGI腳本放置在WEB-INF/cgi 目錄下(注意,WEB-INF是一個安全的地方,你可以把一些不想被用戶看見或基于安全考慮不想暴露的文件放在此處),或者你也可以把CGI腳本放置在context下的其他目錄下,并為CGI Servlet調整cgiPathPrefix初始化參數。這就指定的CGI Servlet的實際位置,且不能與上一步指定的URL重名。
5. 重新啟動Tomcat,你的CGI就可以運行了。
在Tomcat中,CGI程序缺省放置在WEB-INF/cgi目錄下,正如前面所提示的那樣,WEB-INF目錄受保護的,通過客戶端的瀏覽器無法窺探到其中內容,所以對于放置含有密碼或其他敏感信息的CGI腳本而言,這是一個非常好的地方。
為了兼容其他服務器,盡管你也可以把CGI腳本保存在傳統的/cgi-bin目錄,但要知道,在這些目錄中的文件有可能被網上好奇的沖浪者看到。另外,在Unix中,請確定運行Tomcat的用戶有執行CGI腳本的權限。
9、改變Tomcat中的JSP編譯器(JSP Compiler)
在Tomcat 4.1(或更高版本,大概),JSP的編譯由包含在Tomcat里面的Ant程序控制器直接執行。這聽起來有一點點奇怪,但這正是Ant有意為之的一部分,有一個API文檔指導開發者在沒有啟動一個新的JVM的情況下,使用Ant。
這是使用Ant進行Java開發的一大優勢。另外,這也意味著你現在能夠在Ant中使用任何javac支持的編譯方式,這里有一個關于Apache Ant使用手冊的javac page列表。
使用起來是容易的,因為你只需要在
<servlet>
<servlet-name>jsp</servlet-name>
<servlet-class>
org.apache.jasper.servlet.JspServlet
</servlet-class>
<init-param>
<param-name>logVerbosityLevel
</param-name>
<param-value>WARNING</param-value>
</init-param>
<init-param>
<param-name>compiler</param-name>
<param-value>jikes</param-value>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>
當然,給出的編譯器必須已經安裝在你的系統中,并且CLASSPATH可能需要設置,那處決于你選擇的是何種編譯器。
10、限制特定主機訪問(Restricting Access to Specific Hosts)
有時,你可能想限制對Tomcat web應用的訪問,比如,你希望只有你指定的主機或IP地址可以訪問你的應用。這樣一來,就只有那些指定的的客戶端可以訪問服務的內容了。為了實現這種效果,Tomcat提供了兩個參數供你配置:RemoteHostValve 和RemoteAddrValve。
通過配置這兩個參數,可以讓你過濾來自請求的主機或IP地址,并允許或拒絕哪些主機/IP。與之類似的,在Apache的httpd文件里有對每個目錄的允許/拒絕指定。例如你可以把Admin Web application設置成只允許本地訪問,設置如下:
<Context path=
"/path/to/secret_files" ...>
<Valve className="org.apache.
catalina.valves.RemoteAddrValve"
allow="127.0.0.1" deny=""/>
</Context>
如果沒有給出允許主機的指定,那么與拒絕主機匹配的主機就會被拒絕,除此之外的都是允許的。與之類似,如果沒有給出拒絕主機的指定,那么與允許主機匹配的主機就會被允許,除此之外的都是拒絕的。
來自:http://www.uml.org.cn/j2ee/200602132.htm]]>
------- dreamsky15(阿賢) 原創
準備工作:
分別到www.sun.com 和 www.apache.org 下載
JDK1.4 : j2sdk-1_4_2_04-windows-i586-p.exe
Tomcat5 : jakarta-tomcat-5.0.14.exe
apache2:apache_2.0.48-win32-x86-no_ssl.exe
jk2 : jakarta-tomcat-connectors-jk2.0.4-win32-apache2.0.49.zip
版本可能有所更新。
1.安裝JDK1.4,指定安裝在 C:\JDK1.4目錄下;
2.確認80和8080端口不被占用,特別是IIS是否占用80端口,否則要修改端口設置;
3.安裝Tomcat5.0,指定安裝在C:\Tomcat5.0目錄下,
指定JAVA虛擬機目錄為剛才安裝的 C:\JDK1.4;
4.安裝apache2,指定安裝在 C:\ 根目錄下,那么它自己會自動創建Apache2目錄,
得到 C:\Apache2 最終目錄;
5.設置windows系統環境變量中的系統變量:
path:
C:\JDK1.4\bin;C:\JDK1.4\jre\bin;
classpath:
C:\JDK1.4;C:\JDK1.4\lib;C:\JDK1.4\lib\dt.jar;C:\JDK1.4\lib\tools.jar;C:\Tomcat5.0\common\lib\servlet-api.jar;C:\Tomcat5.0\common\lib\tools.jar;
6.重啟電腦
7.用瀏覽器訪問
http://localhost/ 和 http://localhost:8080/
兩個網站,它們分別是apache和Tomcat的默認首頁;
如果不成功則要重新檢查設置;
8.解壓 jakarta-tomcat-connectors-jk2.0.4-win32-apache2.0.49.zip
9.在解壓文件的 doc\mod_jk2 目錄下有 INSTALL.txt 英文文檔教你安裝,你可以作為參照。
10.在解壓文件的 modules 目錄下有 mod_jk2.so 文件,將其復制到 C:\Apache2\modules;
11.在解壓文件的 conf 目錄下有 workers2.properties.sample文件,將其復制到 C:\Apache2\conf 目錄下,將文件名改為workers2.properties,增加兩行:
[uri:/*.jsp]
group=lb
這表明要Tomcat解釋所有以 jsp 為后綴的文件。
增加
[uri:/servlet/*]
group=lb
這表明要Tomcat解釋/servlet/目錄下的所有文件,
所以所有servlet最好映射到 /servlet/ 路徑下,其他的文件不要放到這個目錄下。
(注:tomcat中所有沒有在 web.xml 中注冊的 servlet默認映射到 /servlet/ 路徑下。
但前提條件是你要修改tomcat的 web.xml ,去掉兩處 <servlet-name>invoker</servlet-name>的注釋,來激活這個功能。)
這樣做,是為了令到Tomcat專職解釋所有 jsp 和 servlet ,而將 html,txt等類型的文件交給強大的Web服務器——apache解釋,各司其職,分擔Tomcat的壓力。
12.備份好C:\Apache2\conf\httpd.conf防止不測,修改 C:\Apache2\conf\httpd.conf 文件,原文件有很多行LoadModule,
在其后增加一行:
LoadModule jk2_module modules/mod_jk2.so
這個在 INSTALL.txt 英文文檔里有說;
找到 DocumentRoot "C:/Apache2/htdocs" ,修改為你指定的根目錄
DocumentRoot "C:/Tomcat5.0/webapps"
正反斜杠無所謂,最好用 / ;
同樣找到<Directory "C:/Apache2/htdocs">
修改為<Directory "C:/Tomcat5.0/webapps">
找到 DirectoryIndex index.html index.html.var
在后面增加 index.jsp 使得apache將index.jsp也作為默認首頁。
13.將原來 <VirtualHost *:80> 相關的設置注釋去掉,自定義你的實際參數;
其中
DocumentRoot /www/docs/dummy-host.example.com
改為DocumentRoot "C:/Tomcat5.0/webapps"
將 AddDefaultCharset ISO-8859-1 改為
AddDefaultCharset gb2312
使得apache默認是簡體中文。
14.
啟動Tomcat5.0,apache2
你會看到apache service monitor 控制臺窗口下的狀態欄文字由原來的
Apache/2.0.48 (Win32)
變為
Apache/2.0.48 (Win32) mod_jk2/2.0.4
分別訪問 http://localhost/jsp-examples/ 和
http://localhost:8080/jsp-examples/
測試其中的jsp例子,如果都能正確運行,證明配置成功!!!
恭喜你! :)
有錯誤或疑問,請多多交流。
來自:
http://blog.csdn.net/dreamsky15/archive/2004/10/11/132261.aspx
]]>