启用 WebLogic Server 域之间的信任
|
注意:
|
在启用 WebLogic Server 域之间的信任后,会将服务器暴露于中间人攻击之下。因此,在启用生产环境中的信任时应十分谨慎。BEA 建议使用强网络安全,例如使用专用通信通道或由强防火墙提供保护。
|
建立域之间的信任关系,是为了使一个 WebLogic Server 域的主题中的委托人作为另一个域的委托人被接受。启用此功能后,将通过 RMI 连接在 WebLogic Server 域之间传递标识,而无需在第二个域中进行身份验证(例如,以 Joe 的身份登录到域 1 中,当对域 2 进行 RMI 调用时,仍会对 Joe 进行身份验证)。启用内部域信任后,事务可跨越域提交。当一个域的域凭据与另一个域的域凭据相匹配时,就会建立信任关系。
默认情况下,域凭据是在首次启动 WebLogic Server 域时随机创建的。此过程可以确保,在默认情况下不会存在使用同一凭据的两个 WebLogic Server 域。要启用两个 WebLogic Server 域之间的信任,必须为这两个 WebLogic Server 域中的凭据显式指定相同的值。在管理控制台中,使用“域”节点下的“安全: 高级”页上的配置选项可以设置域凭据。在“凭据”和“确认凭据”字段中,请使用为每个域指定的相同凭据替换随机凭据。
在创建委托人时,WebLogic Server 将使用域凭据对委托人进行签名。当从远程源收到主题时,将对其委托人进行验证(将重新创建签名,如果签名匹配,则表明远程域具有相同的域凭据)。如果验证失败,将生成错误。如果验证成功,将信任这些委托人,就如同他们是本地创建的一样。
|
注意:
|
下次将config.xml文件持久保存到磁盘时,任何采用明文形式的凭据都将被加密。
|
如果需要 WebLogic Server 6.x 域与其他 WebLogic Server 域进行互操作,请将 WebLogic Server 域中的域凭据更改为 WebLogic Server 6.x 域中的system用户的密码。
如果要在受管服务器环境中启用域之间的信任,必须停止两个域中的管理服务器和所有受管服务器,然后重新启动它们。如果不执行此步骤,未重新引导的服务器将不会信任已重新引导的服务器。
在启用 WebLogic Server 域之间的信任时,请记住以下几点:
§ 由于域将信任远程委托人而不会要求进行身份验证,因此,域中可以具有未在域的身份验证数据库中定义的已通过身份验证的用户。此情况可导致出现授权问题。
§ 域中任何已通过身份验证的用户均可以访问与原始域之间启用信任的任何其他域,而无需重新进行身份验证。进行此类登录时,将不会进行审核,也不会对组成员资格进行验证。因此,如果 Joe 是对其进行身份验证的原始域中的管理员组成员,则当他对所有可信域进行 RMI 调用时,他将自动成为这些域的管理员组成员。
§ 如果域 2 信任域 1 和域 3,则现在域 1 和域 3 将隐式信任对方。因此,域 1 中的 Administrators 组成员也是域 3 中的 Administrators 组成员。这可能不是所需的信任关系。
§ 如果扩展 WLSUser 和 WLSGroup 委托人类,则必须在共享信任的所有域的服务器类路径中安装自定义委托人类。
|
注意:
|
也可以使用 WebLogic 脚本工具或 Java 管理扩展(Java Management Extensions,简称 JMX)API 来修改安全配置。
|
跨域安全通过使用凭据映射器配置两个 WebLogic Server 域对之间的通信,来建立这些 WebLogic Server 域之间的信任关系。
2. 在左侧窗格中,单击域名。
3. 选择“安全”>“常规”。
4. 选择“已启用跨域安全”。
5. 单击“保存”。在域的安全领域为跨域安全创建某个用户,并将此用户分配到 CrossDomainConnectors 组中。请参阅和。为跨域安全用户配置跨域安全凭据映射。请参阅。
在要启用跨域安全的每个域中执行相同的过程。