转载

谈Weblogic域安全性(5.22)

在前面技术文章分析JMS订阅服务,在JMS-Server上面的Log日志发现了 BEA-110412错误,发现了JMS订阅端出现事务回滚,但是根据110412错误没有搜索到关键的有价值的信息,而对于订阅端我们发现了BEA-010026错误,提升事务处理超时,而根据这个错误,一篇文章专门指出了和Weblogic域安全有关系。

在网上一篇文章给出了具体的跨越安全性设置的三种方法的文章,其中提到了三种方法,一种是在所有的Domain域启用全局Domain信任机制,一种是启用跨越安全信任机制,还有一种就是将安全互操作性修改为性能模式,因为对于性能模式下是允许进行匿名访问的。

在前面的技术分析中,一直没有去关注全局信任和跨域信任的关系,以为这两个是同样一回事,但是昨天又上网搜索了下,发现两种的区别。不仅仅是两种方法的设置不同,其次是两种方法本身的含义也有差别。核心的差别点可以描述为:

全局信任: 如果A和B进行设置,B和C进行设置,那么A,B,C三者之间是完全相互信任的。

跨越信任: 如果A和B进行了设置,而B和C进行了设置,那么A和C之间仍然不通,即信任关系不传递。

You have three options and your should decide which one is best depending on your non-functional requirements (e.g. security etc):

  • Enable global domain trust between all domains - basically you set the domain credential on all domains to the same value
  • Enable cross-domain security - you create users on both sides, add them to the cross-domain-connectors group, define cross-domain credential mapping and enable the cross-domain security in your domain configuration
  • Change the domain interoperability mode to performance on all domains - this will cause the transaction coordinators to use an anonymous login

对于这三种方法重新进行说明如下。

基于全局信任模式的设置:

注意对于这种全局模式,只需要在所有域里面,进入到域-》安全选项卡,打开隐藏的高级部分的内容。在安全互操作模式下有一个身份证明和确认身份证明。

这个在所有的域设置一个统一的类似Token的密码值,即可,只要不同的域设置为相同的值。

基于跨越安全信任的设置:

对于这种设置相对来说比较,复杂。在百度文库里面可以下载到《weblogic域信任设置.doc》文档,里面有详细的操作方法说明,具体核心的步骤包括了:

1. 在域-安全里面,首先选择启用跨越安全checkbox选项。

2. 进入域结构-安全领域,列表中有一个myrealm默认安全领域,点击进入

2.1 进入到用户和组,新建立一个用户Cross,设置密码

2.2 将该用户加入到 CrossDomainConnectors组里面

3. 建立身份证明映射,进入到身份证明映射Tab页,点击新建

3.2 选择使用跨越协议CheckBox选项

3.1 点击新建,选择远程域的名字,同时选择在远程域创建的用户名和密码

重启该Domain服务,并且在另外一个域做完全相同的设置。可以在两个域都设置相同的用户名和密码,以免设置的和配置的时候发生不一致。

基于安全互操作性的设置

按搜索到的网页设置方法,这种设置完全不需要启用跨越安全信任,也不需要去设置身份证明密码信息,而只需要将安全互操作性下拉列表处修改为性能模式。对于性能模式Weblogic解释为:

事务处理协调器以内核身份通过不安全通道进行调用。这是一个较高的安全风险,因为成功的中间人攻击会使攻击者获取对两个域的管理控制。此设置应该仅在强网络安全就位时使用。

下面再摘录下往上关于全局信任和跨越信任的一个对比:

Global Trust VS Cross Domain Security

1. Global Trust is transitive and symmetric i.e. If there is global trust between WebLogic Domain A & B, and there is Global Trust between webLogic Domain B & C then there will be trust between Domain A & C. In cross domain security, if there is trust between A & B and B & C then there will not trust configured between A & C automatically.

2. The domain name involved in Cross Domain Security must be unique

3. Global Trust can be used for all type of sub systems like RMI, EJB, JMS, JTA, MDB, and WAN where as Cross Domain Security can’t be used for RMI or EJBs (you can use cross domain security or global trust for JMS, JTA, MDB or WAN)

4. Global Trust between WebLogic domains has the potential to open the servers up to man-in-the-middle attacks. You must use firewalls or dedicated network channels to restrict access in WebLogic Domains (with Global Trust configured)
原文  http://blog.sina.com.cn/s/blog_493a84550102xfdm.html
正文到此结束
所属分类: Java 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS Apache基础教程 springboot-demo php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成zipkin快速入门Demo
  2. 2 能用365块大洋去解决的事,千万不要用时间
  3. 3 Spring Boot集成atomikos快速入门Demo
  4. 4 Spring Boot集成fastdfs快速入门Demo
  5. 5 Spring Boot集成Https快速入门Demo
  6. 6 Spring Boot集成easypoi快速入门Demo
  7. 7 Spring Boot集成webflux快速入门Demo
  8. 8 Spring Boot集成Graphql快速入门Demo
  9. 9 Spring Boot API 多版本快速入门Demo
  10. 10 Spring Boot内容协商快速入门Demo
网站信息
  • 文章总数:155,459 篇
  • 文件总数:468,740 个
  • 标签总数:2,264 个
  • 分类总数:90 个
  • 留言数量:2,540 条
  • 在线人数:673 人
  • 运行天数:4,193天
  • 最后更新:2024年04月20日20点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG