1. 配置系統管理(Admin Web Application)
大多數商業化的J2EE服務器都提供壹個功能強大的管理界面,且大都采用易於理解的Web應用界面。Tomcat按照自己的方式,同樣提供壹個成熟的管理工具,並且絲毫不遜於那些商業化的競爭對手。Tomcat的Admin Web Application最初在4.1版本時出現,當時的功能包括管理context、data source、user和group等。當然也可以管理像初始化參數,user、group、role的多種數據庫管理等。在後續的版本中,這些功能將得到很大的擴展,但現有的功能已經非常實用了。
Admin Web Application被定義在自動部署文件:CATALINA_BASE/webapps/admin.xml 。
(譯者註:CATALINA_BASE即tomcat安裝目錄下的server目錄)
妳必須編輯這個文件,以確定Context中的 docBase參數是絕對路徑。也就是說,CATALINA_BASE/webapps/admin.xml 的路徑是絕對路徑。作為另外壹種選擇,妳也可以刪除這個自動部署文件,而在server.xml文件中建立壹個Admin Web Application的context,效果是壹樣的。妳不能管理Admin Web Application這個應用,換而言之,除了刪除CATALINA_BASE/webapps/admin.xml ,妳可能什麽都做不了。
如果妳使用UserDatabaseRealm(默認),妳將需要添加壹個user以及壹個role到CATALINA_BASE/conf /tomcat-users.xml 文件中。妳編輯這個文件,添加壹個名叫“admin”的role 到該文件中,如下:
<role name="admin"/>
妳同樣需要有壹個用戶,並且這個用戶的角色是“admin”。象存在的用戶那樣,添加壹個用戶(改變密碼使其更加安全):
<user name="admin" password="deep_dark_secret" roles="admin"/>
當妳完成這些步驟後,請重新啟動Tomcat,訪問/ -->
<Host name="www.example.com" appBase="/home/example/webapp">
<Context path="" docBase="."/>
</Host>
</Engine>
</Service>
</Server>
Tomcat的server.xml文件,在初始狀態下,只包括壹個虛擬主機,但是它容易被擴充到支持多個虛擬主機。在前面的例子中展示的是壹個簡單的server.xml版本,其中粗體部分就是用於添加壹個虛擬主機。每壹個Host元素必須包括壹個或多個 context元素,所包含的context元素中必須有壹個是默認的context,這個默認的context的顯示路徑應該為空(例如,path=””)。
5.配置基礎驗證(Basic Authentication)
容器管理驗證方法控制著當用戶訪問受保護的web應用資源時,如何進行用戶的身份鑒別。當壹個web應用使用了Basic Authentication(BASIC參數在web.xml文件中auto-method元素中設置),而有用戶訪問受保護的web應用時,Tomcat將通過HTTP Basic Authentication方式,彈出壹個對話框,要求用戶輸入用戶名和密碼。在這種驗證方法中,所有密碼將被以64位的編碼方式在網絡上傳輸。
註意:使用Basic Authentication通過被認為是不安全的,因為它沒有強健的加密方法,除非在客戶端和服務器端都使用HTTPS或者其他密碼加密碼方式(比如,在壹個虛擬私人網絡中)。若沒有額外的加密方法,網絡管理員將能夠截獲(或濫用)用戶的密碼。但是,如果妳是剛開始使用Tomcat,或者妳想在妳的 web應用中測試壹下基於容器的安全管理,Basic Authentication還是非常易於設置和使用的。只需要添加<security-constraint>和<login-config>兩個元素到妳的web應用的web.xml文件中,並且在CATALINA_BASE/conf/tomcat-users.xml 文件中添加適當的<role>和<user>即可,然後重新啟動Tomcat。
下面例子中的web.xml摘自壹個俱樂部會員網站系統,該系統中只有member目錄被保護起來,並使用Basic Authentication進行身份驗證。請註意,這種方式將有效的代替Apache web服務器中的.htaccess文件。
<!--
Define the Members-only area, by defining
a "Security Constraint" on this Application, and
mapping it to the subdirectory (URL) that we want
to restrict.
-->
<security- constraint>
<web-resource-collection>
<web-resource-name>
Entire Application
</web-resource-name>
<url-pattern>/members/*</url- pattern>
</web-resource-collection>
<auth-constraint>
<role- name>member</role-name>
</auth-constraint>
</security- constraint>
<!-- Define the Login Configuration for this Application -->
<login-config>
<auth-method>BASIC</auth-method>
<realm- name>My Club Members-only Area</realm-name>
</login-config>
6.配置單點登錄(Single Sign-On)
壹旦妳設置了realm和驗證的方法,妳就需要進行實際的用戶登錄處理。壹般說來,對用戶而言登錄系統是壹件很麻煩的事情,妳必須盡量減少用戶登錄驗證的次數。作為缺省的情況,當用戶第壹次請求受保護的資源時,每壹個web應用都會要求用戶登錄。如果妳運行了多個web應用,並且每個應用都需要進行單獨的用戶驗證,那這看起來就有點像妳在與妳的用戶搏鬥。用戶們不知道怎樣才能把多個分離的應用整合成壹個單獨的系統,所有他們也就不知道他們需要訪問多少個不同的應用,只是很迷惑,為什麽總要不停的登錄。
Tomcat 4的“single sign-on”特性允許用戶在訪問同壹虛擬主機下所有web應用時,只需登錄壹次。為了使用這個功能,妳只需要在Host上添加壹個 SingleSignOn Valve元素即可,如下所示:
<Valve className="org.apache.catalina.authenticator.SingleSignOn"
debug="0"/>
在Tomcat初始安裝後,server.xml的註釋裏面包括SingleSignOn Valve配置的例子,妳只需要去掉註釋,即可使用。那麽,任何用戶只要登錄過壹個應用,則對於同壹虛擬主機下的所有應用同樣有效。
使用single sign-on valve有壹些重要的限制:
1> value必須被配置和嵌套在相同的Host元素裏,並且所有需要進行單點驗證的web應用(必須通過context元素定義)都位於該Host下。
2> 包括***享用戶信息的realm必須被設置在同壹級Host中或者嵌套之外。
3> 不能被context中的realm覆蓋。
4> 使用單點登錄的web應用最好使用壹個Tomcat的內置的驗證方式(被定義在web.xml中的<auth-method>中),這比自定義的驗證方式強,Tomcat內置的的驗證方式包括basic、digest、form和client-cert。
5> 如果妳使用單點登錄,還希望集成壹個第三方的web應用到妳的網站中來,並且這個新的web應用使用它自己的驗證方式,而不使用容器管理安全,那妳基本上就沒招了。妳的用戶每次登錄原來所有應用時需要登錄壹次,並且在請求新的第三方應用時還得再登錄壹次。當然,如果妳擁有這個第三方web應用的源碼,而妳又是壹個程序員,妳可以修改它,但那恐怕也不容易做。
6> 單點登錄需要使用cookies。
7.配置用戶定制目錄(Customized User Directores)
壹些站點允許個別用戶在服務器上發布網頁。例如,壹所大學的學院可能想給每壹位學生壹個公***區域,或者是壹個ISP希望給壹些web空間給他的客戶,但這又不是虛擬主機。在這種情況下,壹個典型的方法就是在用戶名前面加壹個特殊字符(~),作為每位用戶的網站,比如:
/~username
Tomcat提供兩種方法在主機上映射這些個人網站,主要使用壹對特殊的Listener元素。Listener的 className屬性應該是org.apache.catalina.startup.UserConfig,userClass屬性應該是幾個映射類之壹。如果妳的系統是Unix,它將有壹個標準的/etc/passwd文件,該文件中的帳號能夠被運行中的Tomcat很容易的讀取,該文件指定了用戶的主目錄,使用PasswdUserDatabase 映射類。
<Listener className="org.apache.catalina.startup.UserConfig"
directoryName="public_html"
userClass="org.apache.catalina.startup.PasswdUserDatabase"/>
web文件需要放置在像/home/users/ian/public_html 或者 /users/jbrittain/public_html壹樣的目錄下面。當然妳也可以改變public_html 到其他任何子目錄下。
實際上,這個用戶目錄根本不壹定需要位於用戶主目錄下裏面。如果妳沒有壹個密碼文件,但妳又想把壹個用戶名映射到公***的像/home壹樣目錄的子目錄裏面,則可以使用HomesUserDatabase類。
<Listener className="org.apache.catalina.startup.UserConfig"
directoryName="public_html" homeBase="/home"
userClass="org.apache.catalina.startup.HomesUserDatabase"/>
這樣壹來,web文件就可以位於像/home/ian/public_html 或者 /home/jasonb/public_html壹樣的目錄下。這種形式對Windows而言更加有利,妳可以使用壹個像c:\home這樣的目錄。
這些Listener元素,如果出現,則必須在Host元素裏面,而不能在context元素裏面,因為它們都用應用於Host本身。
8.在Tomcat中使用CGI腳本
Tomcat主要是作為Servlet/JSP容器,但它也有許多傳統web服務器的性能。支持通用網關接口(Common Gateway Interface,即CGI)就是其中之壹,CGI提供壹組方法在響應瀏覽器請求時運行壹些擴展程序。CGI之所以被稱為通用,是因為它能在大多數程序或腳本中被調用,包括:Perl,Python,awk,Unix shell scripting等,甚至包括Java。當然,妳大概不會把壹個Java應用程序當作CGI來運行,畢竟這樣太過原始。壹般而言,開發Servlet總要比CGI具有更好的效率,因為當用戶點擊壹個鏈接或壹個按鈕時,妳不需要從操作系統層開始進行處理。
Tomcat包括壹個可選的 CGI Servlet,允許妳運行遺留下來的CGI腳本。
為了使Tomcat能夠運行CGI,妳必須做如下幾件事:
1. 把servlets-cgi.renametojar (在CATALINA_HOME/server/lib/目錄下)改名為servlets-cgi.jar。處理CGI的servlet應該位於 Tomcat的CLASSPATH下。
2. 在Tomcat的CATALINA_BASE/conf/web.xml 文件中,把關於<servlet-name> CGI的那段的註釋去掉(默認情況下,該段位於第241行)。
3. 同樣,在Tomcat的CATALINA_BASE/conf/web.xml文件中,把關於對CGI進行映射的那段的註釋去掉(默認情況下,該段位於第 299行)。註意,這段內容指定了HTML鏈接到CGI腳本的訪問方式。
4. 妳可以把CGI腳本放置在WEB-INF/cgi 目錄下(註意,WEB-INF是壹個安全的地方,妳可以把壹些不想被用戶看見或基於安全考慮不想暴露的文件放在此處),或者妳也可以把CGI腳本放置在 context下的其他目錄下,並為CGI Servlet調整cgiPathPrefix初始化參數。這就指定的CGI Servlet的實際位置,且不能與上壹步指定的URL重名。
5. 重新啟動Tomcat,妳的CGI就可以運行了。
在Tomcat中,CGI程序缺省放置在WEB-INF/cgi目錄下,正如前面所提示的那樣,WEB-INF目錄受保護的,通過客戶端的瀏覽器無法窺探到其中內容,所以對於放置含有密碼或其他敏感信息的CGI腳本而言,這是壹個非常好的地方。為了兼容其他服務器,盡管妳也可以把CGI腳本保存在傳統的 /cgi-bin目錄,但要知道,在這些目錄中的文件有可能被網上好奇的沖浪者看到。另外,在Unix中,請確定運行Tomcat的用戶有執行CGI腳本的權限。
9.改變Tomcat中的JSP編譯器(JSP Compiler)
在Tomcat 4.1(或更高版本,大概),JSP的編譯由包含在Tomcat裏面的Ant程序控制器直接執行。這聽起來有壹點點奇怪,但這正是Ant有意為之的壹部分,有壹個API文檔指導開發者在沒有啟動壹個新的JVM的情況下,使用Ant。這是使用Ant進行Java開發的壹大優勢。另外,這也意味著妳現在能夠在Ant中使用任何javac支持的編譯方式,這裏有壹個關於Apache Ant使用手冊的javac page列表。使用起來是容易的,因為妳只需要在<init-param> 元素中定義壹個名字叫“compiler”,並且在value中有壹個支持編譯的編譯器名字,示例如下:
<servlet>
<servlet-name>jsp</servlet- name>
<servlet-class>
org.apache.jasper.servlet.JspServlet
</servlet- class>
<init-param>
<param-name>logVerbosityLevel</param-name>
<param- value>WARNING</param-value>
</init-param>
<init-param>
<param- name>compiler</param-name>
<param-value>jikes</param-value>
</init- param>
<load-on-startup>3</load-on-startup>
</servlet>
當然,給出的編譯器必須已經安裝在妳的系統中,並且CLASSPATH可能需要設置,那處決於妳選擇的是何種編譯器。
10.限制特定主機訪問(Restricting Access to Specific Hosts)
有時,妳可能想限制對Tomcat web應用的訪問,比如,妳希望只有妳指定的主機或IP地址可以訪問妳的應用。這樣壹來,就只有那些指定的的客戶端可以訪問服務的內容了。為了實現這種效果,Tomcat提供了兩個參數供妳配置:RemoteHostValve 和RemoteAddrValve。
通過配置這兩個參數,可以讓妳過濾來自請求的主機或IP地址,並允許或拒絕哪些主機/IP。與之類似的,在Apache的httpd文件裏有對每個目錄的允許/拒絕指定。
例如妳可以把Admin Web application設置成只允許本地訪問,設置如下:
<Context path="/path/to/secret_files" ...>
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127.0.0.1" deny=""/>
</Context>
如果沒有給出允許主機的指定,那麽與拒絕主機匹配的主機就會被拒絕,除此之外的都是允許的。與之類似,如果沒有給出拒絕主機的指定,那麽與允許主機匹配的主機就會被允許,除此之外的都是拒絕的。