web服务器专题:tomcat(三)tomcat-users.xml 配置文件
回顾:web服务器专题:tomcat(二)模块组件与server.xml 配置文件
Tomcat管理模块
安装Tomcat后,访问127.0.0.1/8080可以看到这个首页,上图中的三个按钮即为Tomcat的管理功能,该模块是为了方便用户管理Tomcat的web应用,以及查看tomcat的状态而设。该模块的相关控制文件主要为 /conf/tomcat-users.xml
Server Status
该部分为整个tomcat服务的状态监听,页面内提供基本的tomcat运行状态及内存运行情况,便于运维人员查看。
Manager App
当前tomcat部署的web应用管理平台,提供对web应用的部署及卸载功能,可以在线部署应用,以及控制应用的启停、会话。
Host Manager
查看 Tomcat 虚拟机管理器,本质即是对<host>标签的管理
Tomcat-user内置角色及权限
Tomcat的角色管理通过tomcat-users.xml文件控制,一下为一个tomcat-users.xml实例
<tomcat-users> <role rolename="manager-gui"/> <role rolename="manager-script"/> <user username="tomcat" password="tomcat" roles="manager-gui"/> <user username="admin" password="admin" roles="manager-script"/> </tomcat-users>
<role>标签为角色,rolename属性为角色名称,这里的rolename不是自定义的,而是tomcat内置的。配置好角色后,<user>标签则为我们自定义的标签,即我们定义一个用户,username为账号名称,password为密码,roles属性则为以上定义好的<role>标签的rolename,可以通过 “,” 隔开配置一个用户拥有多个角色权限。
Tomcat针对manager内置了6个角色,分别为 admin-gui , admin-script , manager-gui , manager-script , manager-status , manager-jmx
- 负责Server Status、Manager App 功能的角色
manager-gui:访问 HTML 页面
manager-status:仅访问 “服务器状态” 页面
manager-script:访问脚本页面,以及 “服务器状态” 页面
manager-jmx:访问 JMX 代理接口和 “服务器状态” 页面
- 负责 Host Manager 功能的角色
admin-gui:访问HTML页面
admin-script: 访问脚本页面
一个栗子
这里基于新部署安装的tomcat(实际tomcat 9)进行一次全部权限的放开,作为一个实际操作的例子流程。(声明:实际生产不建议以下操作,会造成极高的安全问题)
对 管理功能 的全部放开,即tomat首页中的 Server Status,Manager App,Host Manager 功能全部开放,首先进入tomcat的/conf目录下,打开tomcat-users.xml文件,复制以下内容到配置文件中。
<role rolename="admin-gui"/> <role rolename="admin-script"/> <role rolename="manager-gui"/> <role rolename="manager-script"/> <role rolename="manager-jmx"/> <role rolename="manager-status"/> <user username="admin" password="admin" roles="admin-gui,admin-script,manager-gui,manager-script,manager-jmx,manager-status"/>
这里将所有的角色role进行了声明,然后定义了一个admin的账户,将所有的角色都赋予它,使他用于全部权限。
然后将/webapps/manager/META-INF/和webapps/host-manager/META-INF/下的context.xml进行修改(manager和host-manager目录下的context.xml两个都要改)
将context.xml的只针对本地请求放行这一设置注释掉即可,如下:
<Context antiResourceLocking="false" privileged="true" > <!-- <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" /> --> <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/> </Context>
至此,tomcat首页即可使用设置的admin账号访问管理页面了(tomcat配置修改后无需重新启动也可加载)。
