时间戳

首页 > 技术文章 > web服务器专题:tomcat(三)tomcat-users.xml 配置文件

web服务器专题:tomcat(三)tomcat-users.xml 配置文件

TheGCC 2020-12-18 14:19 原文

回顾:web服务器专题:tomcat(二)模块组件与server.xml 配置文件

Tomcat管理模块

安装Tomcat后,访问127.0.0.1/8080可以看到这个首页,上图中的三个按钮即为Tomcat的管理功能,该模块是为了方便用户管理Tomcat的web应用,以及查看tomcat的状态而设。该模块的相关控制文件主要为  /conf/tomcat-users.xml

 Server Status

该部分为整个tomcat服务的状态监听,页面内提供基本的tomcat运行状态及内存运行情况,便于运维人员查看。

Manager App 

  当前tomcat部署的web应用管理平台,提供对web应用的部署及卸载功能,可以在线部署应用,以及控制应用的启停、会话。

 

Host Manager

查看 Tomcat 虚拟机管理器,本质即是对<host>标签的管理

 

Tomcat-user内置角色及权限

Tomcat的角色管理通过tomcat-users.xml文件控制,一下为一个tomcat-users.xml实例

    <tomcat-users>

     <role rolename="manager-gui"/>

     <role rolename="manager-script"/>

     <user username="tomcat" password="tomcat" roles="manager-gui"/>

     <user username="admin" password="admin" roles="manager-script"/>

  </tomcat-users>

  <role>标签为角色,rolename属性为角色名称,这里的rolename不是自定义的,而是tomcat内置的。配置好角色后,<user>标签则为我们自定义的标签,即我们定义一个用户,username为账号名称,password为密码,roles属性则为以上定义好的<role>标签的rolename,可以通过 “,” 隔开配置一个用户拥有多个角色权限。  

Tomcat针对manager内置了6个角色,分别为 admin-gui , admin-script , manager-gui , manager-script , manager-status , manager-jmx

  • 负责Server StatusManager App 功能的角色

manager-gui:访问 HTML 页面

manager-status:仅访问 “服务器状态” 页面

manager-script:访问脚本页面,以及 “服务器状态” 页面

manager-jmx:访问 JMX 代理接口和 “服务器状态” 页面

  • 负责 Host Manager 功能的角色

admin-gui:访问HTML页面

admin-script 访问脚本页面

一个栗子

这里基于新部署安装的tomcat(实际tomcat 9)进行一次全部权限的放开,作为一个实际操作的例子流程。(声明:实际生产不建议以下操作,会造成极高的安全问题

对 管理功能 的全部放开,即tomat首页中的 Server Status,Manager App,Host Manager 功能全部开放,首先进入tomcat的/conf目录下,打开tomcat-users.xml文件,复制以下内容到配置文件中。

<role rolename="admin-gui"/>

<role rolename="admin-script"/>

<role rolename="manager-gui"/>

<role rolename="manager-script"/>

<role rolename="manager-jmx"/>

<role rolename="manager-status"/>

<user username="admin" password="admin" roles="admin-gui,admin-script,manager-gui,manager-script,manager-jmx,manager-status"/>

  这里将所有的角色role进行了声明,然后定义了一个admin的账户,将所有的角色都赋予它,使他用于全部权限。

然后将/webapps/manager/META-INF/和webapps/host-manager/META-INF/下的context.xml进行修改(manager和host-manager目录下的context.xml两个都要改)

将context.xml的只针对本地请求放行这一设置注释掉即可,如下:

<Context antiResourceLocking="false" privileged="true" >
<!--  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" /> -->
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

至此,tomcat首页即可使用设置的admin账号访问管理页面了(tomcat配置修改后无需重新启动也可加载)。

 

推荐阅读