配置 Manager 應(yīng)用訪問

下文的描述將使用變量名 $CATALINA_BASE 來指代工作目錄。如果你還沒有為多個(gè) Tomcat 實(shí)例設(shè)置 CATALINA_BASE 目錄，那么 $CATALINA_BASE 就將被設(shè)置為 $CATALINA_HOME（Tomcat 的安裝目錄）的值。

Tomcat 以默認(rèn)值運(yùn)行是非常危險(xiǎn)的，因?yàn)檫@能讓互聯(lián)網(wǎng)上的任何人都可以在你的服務(wù)器上執(zhí)行 Manager 應(yīng)用。因此，Manager 應(yīng)用要求任何用戶在使用前必須驗(yàn)證自己的身份，提供自己的用戶名和密碼，以及相應(yīng)配置的 manager-** 角色（角色名稱根據(jù)所需的功能而定）。

另外，默認(rèn)用戶文件（$CATALINA_BASE/conf/tomcat-users.xml）中的用戶名稱都沒有指定角色名稱，所以默認(rèn)是不能訪問 Manager 應(yīng)用的。

這些角色名稱位于 Manager 應(yīng)用的 web.xml 文件中?？捎玫慕巧ǎ?/span>

• manager-gui 能夠訪問 HTML 界面。
• manager-status 只能訪問“服務(wù)器狀態(tài)”（Server Status）頁面。
• manager-script 能夠訪問文檔中描述的適用于工具的純文本界面，以及“服務(wù)器狀態(tài)”頁面。
• manager-jmx 能夠訪問 JMX 代理界面以及“服務(wù)器狀態(tài)”（Server Status）頁面。

HTML 界面不會遭受 CSRF（Cross-Site Request Forgery，跨站請求偽造）攻擊，但純文本界面及 JMX 界面卻有可能無法幸免。

這意味著，如果用戶能夠訪問純文本界面及 JMX 界面，那么在利用 Web 瀏覽器去訪問 Manager 應(yīng)用時(shí)，必須要萬分謹(jǐn)慎。要想保持對 CSRF 免疫，則必須：

• 在使用 Web 瀏覽器訪問 Manager 應(yīng)用時(shí)，假如用戶具有 manager-script 或 manager-jmx 角色（比如為了測試純文本界面或 JMX 界面），那么必須關(guān)閉所有的瀏覽器窗口，終止會話。如果不關(guān)閉瀏覽器，訪問了其他站點(diǎn)，就可能會遭受 CSRF 攻擊。
• 建議永遠(yuǎn)不要將 manager-script 或 manager-jmx 角色授予那些擁有 manager-gui 角色的用戶。

注意 JMX 代理界面是 Tomcat 中非常高效的底層、類似于根級別的管理界面。如果用戶知道了該調(diào)用的命令，就能實(shí)現(xiàn)大量行為，所以一定不要輕易授予用戶 manager-jmx 角色。

為了能夠訪問 Manager 應(yīng)用，必須創(chuàng)建一個(gè)新的用戶名/密碼組合，并為之授予一種 manager-** 角色，或者把一種 manager-** 角色授予現(xiàn)有的用戶名/密碼組合。因?yàn)楸疚臋n的大部分內(nèi)容都在描述純文本界面的命令，所以為了將來討論實(shí)例方便起見，把角色名稱定為 manager-script。而涉及到具體如何配置用戶名及密碼，則是跟你所使用的Realm 實(shí)現(xiàn)有關(guān)：

• UserDatabaseRealm 加上 MemoryUserDatabase 或 MemoryRealm——UserDatabaseRealm 和 MemoryUserDatabase 配置在默認(rèn)的 $CATALINA_BASE/conf/server.xml 文件中。
• MemoryUserDatabase 和 MemoryRealm 都會讀取儲存在 CATALINA_BASE/conf/tomcat-users.xml 里的 XML 格式文件，它可以用任何文本編輯器進(jìn)行編輯。該文件會為每個(gè)用戶定義一個(gè) XML 格式的 <user> ，如下所示：

  <user username="craigmcc" password="secret" roles="standard,manager-script" />

   

• 它定義了用戶登錄時(shí)所用的用戶名和密碼，以及他或她采用的角色名稱。你可以把 manager-script 角色添加到由逗號分隔的 roles 屬性中，從而將該角色賦予一個(gè)或多個(gè)用戶，也可以利用指定角色來創(chuàng)建新的用戶。

• DataSourceRealm 或 JDBCRealm——用戶和角色信息都存儲在一個(gè)經(jīng)由 JDBC 訪問的數(shù)據(jù)庫中。按照當(dāng)前環(huán)境的標(biāo)準(zhǔn)流程，將 manager-script 角色賦予一個(gè)或多個(gè)用戶，或者利用該角色創(chuàng)建一個(gè)或多個(gè)新用戶。
• JNDIRealm——你的用戶和角色信息被存儲在經(jīng)由 LDAP 訪問的一個(gè)目錄服務(wù)器中。按照當(dāng)前環(huán)境的標(biāo)準(zhǔn)流程，為一個(gè)或更多的現(xiàn)有用戶添加 manager-script 角色，和（/或）利用指定角色創(chuàng)建一個(gè)或更多的新用戶。

在下一節(jié)，當(dāng)你第一次嘗試使用 Manager 的一個(gè)命令時(shí)，將會使用基本驗(yàn)證進(jìn)行登錄。用戶名和密碼的具體內(nèi)容并不重要，只要它們能夠證明，用戶數(shù)據(jù)庫中擁有 manager-script 角色的用戶是有效用戶，我們的目的就達(dá)到了。

除了密碼限制訪問之外，Manager 還可以配置 RemoteAddrValve 和 RemoteHostValve 這兩個(gè)參數(shù)，分別通過 遠(yuǎn)程 IP 地址 或遠(yuǎn)程主機(jī)名來進(jìn)行限制訪問。詳情可查看 Valve 文檔。下列范例是通過 IP 地址來限制訪問本地主機(jī)：

<Context privileged="true">
         <Valve className="org.apache.catalina.valves.RemoteAddrValve"
                allow="127\.0\.0\.1"/></Context>