security.html

Sun Java System Application Server Enterprise Edition 8.1 管理指南

<?xml version="1.0" encoding="GB2312"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
          "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="zh-CN" lang="zh-CN">
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=GB2312" />
  <meta name="keywords"           content="electronic commerce, ecommerce, ebusiness, e-business, e-commerce, enterprise software, net economy, Sun Microsystems, Sun Open Net Environment, Sun ONE, internet software" />
  <meta name="Description"        content="Sun Microsystems, Inc. is delivering Sun ONE e-commerce software and enterprise solutions that enable companies to compete successfully in the Net Economy." />
  <meta name="TemplateVersion"    content="Sun ONE WDT 2.3.1" />
  <meta name="LASTUPDATED"        content="10/03/03 09:48:17" />
  <meta name="BookTitle"          content="Sun Java System Application Server Enterprise Edition 8.1 Administration Guide 2005Q1" />

  <title>第 14 章  配置安全性</title>

  <link href="catalog.css" tppabs="http://docs.sun.com/source/819-1553/catalog.css" rel="stylesheet" type="text/css" />

  <!-- on load bring this window to front -->
  <script laguage="javascript">
  top.window.focus();
  </script>
</head>
<body text="#000000" link="#594FBF" vlink="#9966cc" alink="#333366" bgcolor="#FFFFFF">
<a name="top"> </a>

<!-- navigation -->
  <table width="100%" border="0" cellspacing="4" summary="Header navigation table">
    <tr><td>
    <p  class="pNavigation">
    <a HREF="javascript:if(confirm('http://www.sun.com/software/  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://www.sun.com/software/'" tppabs="http://www.sun.com/software/">
    <img SRC="Logo.jpg" tppabs="http://docs.sun.com/source/819-1553/Logo.jpg" alt="Sun logo" valign="bottom" border="0" /></a>
    &#160;&#160;&#160;&#160;

    <a href="containers.html" tppabs="http://docs.sun.com/source/819-1553/containers.html">上一页</a>
    &#160;&#160;&#160;&#160;
 
    <a href="index.html" tppabs="http://docs.sun.com/source/819-1553/index.html">目录</a>
    &#160;&#160;&#160;&#160;

    <a href="ws-security.html" tppabs="http://docs.sun.com/source/819-1553/ws-security.html">下一页</a>
    &#160;&#160;&#160;&#160;
    </p>
    </td></tr>
    
    <tr><td valign="top" align="right" bgcolor="#594FBF">
    <span class="cBookTitle">Sun Java System Application Server Enterprise Edition 8.1 管理指南 2005Q1</span>
    </td></tr>
  </table>
<!-- end navigation -->

<blockquote>



<!-- chapter content -->

<a name="wp526235"> </a><h2 class="pChapNumber">
<span class="cGray">
第 14 章
</span>
<br />
<a name="wp526239"> </a>
配置安全性
</h2>
<a name="wp526241"> </a><p class="pParagraph">
本章介绍了一些核心应用程序服务器的安全性概念，并介绍了如何为 Sun Java System Application Server 8.1 2005Q1 配置安全性。本章包括以下主题：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526247"> </a><div class="pSmartList1"><li><a  href="security.html#wp526309" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526309">关于 Application Server 安全性</a> </li></div>
<a name="wp526253"> </a><div class="pSmartList1"><li><a  href="security.html#wp527535" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527535">用于安全性的管理控制台任务</a></li></div>
<a name="wp526259"> </a><div class="pSmartList1"><li><a  href="security.html#wp527702" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527702">有关区域的管理控制台任务</a></li></div>
<a name="wp526265"> </a><div class="pSmartList1"><li><a  href="security.html#wp528457" tppabs="http://docs.sun.com/source/819-1553/security.html#wp528457">有关 JACC 提供者的管理控制台任务</a></li></div>
<a name="wp526271"> </a><div class="pSmartList1"><li><a  href="security.html#wp528707" tppabs="http://docs.sun.com/source/819-1553/security.html#wp528707">有关审计模块的管理控制台任务</a></li></div>
<a name="wp526277"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929913" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929913">有关消息安全性的管理控制台任务</a></li></div>
<a name="wp526283"> </a><div class="pSmartList1"><li><a  href="security.html#wp529121" tppabs="http://docs.sun.com/source/819-1553/security.html#wp529121">有关侦听器和 JMX 连接器的管理控制台任务</a></li></div>
<a name="wp526289"> </a><div class="pSmartList1"><li><a  href="security.html#wp529526" tppabs="http://docs.sun.com/source/819-1553/security.html#wp529526">有关连接器连接池的管理控制台任务</a></li></div>
<a name="wp526295"> </a><div class="pSmartList1"><li><a  href="security.html#wp529814" tppabs="http://docs.sun.com/source/819-1553/security.html#wp529814">使用证书和 SSL</a></li></div>
<a name="wp526301"> </a><div class="pSmartList1"><li><a  href="security.html#wp530280" tppabs="http://docs.sun.com/source/819-1553/security.html#wp530280">详细信息</a></li></div>
</ul></div>
<a name="wp526309"> </a><h2 class="pHeading1">
<hr />
关于 Application Server 安全性
</h2>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526315"> </a><div class="pSmartList1"><li><a  href="security.html#wp526353" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526353">安全性概述</a></li></div>
<a name="wp526321"> </a><div class="pSmartList1"><li><a  href="security.html#wp526631" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526631">关于验证和授权</a></li></div>
<a name="wp526327"> </a><div class="pSmartList1"><li><a  href="security.html#wp526844" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526844">了解用户、组、角色和区域</a></li></div>
<a name="wp526333"> </a><div class="pSmartList1"><li><a  href="security.html#wp526971" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526971">证书和 SSL 简介</a></li></div>
<a name="wp526339"> </a><div class="pSmartList1"><li><a  href="security.html#wp527081" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527081">关于防火墙</a></li></div>
<a name="wp526345"> </a><div class="pSmartList1"><li><a  href="security.html#wp527103" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527103">使用管理控制台管理安全性</a></li></div>
</ul></div>
<a name="wp526353"> </a><h3 class="pHeading2">
安全性概述
</h3>
<a name="wp526363"> </a><p class="pParagraph">
安全性是有关数据保护的功能：在存储和传输数据时如何防止对数据进行未经授权的访问或破坏。Application Server 具有基于 J2EE 标准的动态可扩展安全体系结构，内置了多种安全功能，包括密码学、验证和授权以及公共密钥基本结构。Application Server 是基于 Java 安全模型构建的，该安全模型使用沙盒，应用程序可以在沙盒中安全地运行，而不会给系统或用户带来潜在的危险。本节介绍了以下主题：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526369"> </a><div class="pSmartList1"><li><a  href="security.html#wp526391" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526391">了解应用程序和系统安全性</a></li></div>
<a name="wp526375"> </a><div class="pSmartList1"><li><a  href="security.html#wp526413" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526413">管理安全性的工具</a></li></div>
<a name="wp526381"> </a><div class="pSmartList1"><li><a  href="security.html#wp526469" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526469">管理密码安全性</a></li></div>
<a name="wp526387"> </a><div class="pSmartList1"><li><a  href="security.html#wp526555" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526555">指定安全职责</a></li></div>
</ul></div>
<a name="wp526391"> </a><h4 class="pHeading3">
了解应用程序和系统安全性
</h4>
<a name="wp526393"> </a><p class="pParagraph">
从宽泛意义上讲，应用程序安全性有两种： 
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526395"> </a><div class="pSmartList1"><li>在<em class="cEmphasis">程序安全性</em>中，开发者编写的应用程序代码负责处理安全事务。作为管理员，您对这一安全机制没有任何控制权。由于程序安全性将安全配置硬编码到应用程序中而不是通过 J2EE 容器对其进行管理，因此这种程序安全性的功能常常受到限制。</li></div>
<a name="wp526401"> </a><div class="pSmartList1"><li>在<em class="cEmphasis">声明安全性</em>中，容器 (Application Server) 通过应用程序的部署描述符处理安全性事务。您可以通过直接编辑部署描述符或使用 <code class="cCode">deploytool</code> 等工具来控制声明安全性。由于可以在完成应用程序开发之后更改部署描述符，因此声明安全性具有更大的灵活性。</li></div>
</ul></div>
<a name="wp526407"> </a><p class="pParagraph">
除了应用程序安全性以外，还有影响 Application Server 系统中所有应用程序的<em class="cEmphasis">系统安全性</em>。 
</p>
<a name="wp526409"> </a><p class="pParagraph">
程序安全性受应用程序开发者的控制，因此本文档不对其进行讨论；声明安全性受应用程序开发者的控制要少一些，本文档中只偶尔涉及到声明安全性。本文档主要针对系统管理员，因此主要讲述了系统安全性。
</p>
<a name="wp526413"> </a><h4 class="pHeading3">
管理安全性的工具
</h4>
<a name="wp526419"> </a><p class="pParagraph">
Application Server 提供了以下用于管理安全性的工具：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526429"> </a><div class="pSmartList1"><li>管理控制台，它是一种基于浏览器的工具，用于配置整个服务器的安全性，管理用户、组和区域以及执行系统范围内的其他安全性任务。有关管理控制台的一般介绍，请参见“<a  href="gstart.html#wp395923" tppabs="http://docs.sun.com/source/819-1553/gstart.html#wp395923">管理工具</a>”。有关使用管理控制台可以执行的安全性任务的概述，请参见“<a  href="security.html#wp527103" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527103">使用管理控制台管理安全性</a>”。</li></div>
<a name="wp526435"> </a><div class="pSmartList1"><li><code class="cCode">asadmin</code>，一个命令行工具，它可以执行管理控制台能够执行的许多任务。您还可以使用 <code class="cCode">asadmin</code> 执行某些使用管理控制台无法执行的任务。您可以从命令提示符或在脚本中执行 <code class="cCode">asadmin</code> 命令，以自动执行重复任务。有关 <code class="cCode">asadmin</code> 的一般介绍，请参见“<a  href="gstart.html#wp395923" tppabs="http://docs.sun.com/source/819-1553/gstart.html#wp395923">管理工具</a>”。</li></div>
<a name="wp526441"> </a><div class="pSmartList1"><li><code class="cCode">deploytool</code>，一个图形形式的封装和部署工具，用于编辑应用程序部署描述符，从而控制各个应用程序的安全性。由于 <code class="cCode">deploytool</code> 主要针对应用程序开发者，因此本文档未对该工具的使用作详细说明。有关使用 <code class="cCode">deploytool</code> 的说明，请参见此工具的联机帮助以及位于 <a href="javascript:if(confirm('http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html'" tppabs="http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html">http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html</a> 上的 《J2EE 1.4 Tutorial》。</li></div>
</ul></div>
<a name="wp526443"> </a><p class="pParagraph">
Java 2 Platform, Standard Edition (J2SE) 提供了两个用于管理安全性的工具：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526445"> </a><div class="pSmartList1"><li><code class="cCode">keytool</code>，一个命令行实用程序，用于管理数字证书和密钥对。使用 <code class="cCode">keytool</code> 可以管理 <code class="cCode">certificate</code> 区域内的用户。 </li></div>
<a name="wp526447"> </a><div class="pSmartList1"><li><code class="cCode">policytool</code>，一个图形实用程序，用于管理系统范围的 Java 安全策略。作为管理员，您很少会用到 <code class="cCode">policytool</code>。 </li></div>
</ul></div>
<a name="wp526453"> </a><p class="pParagraph">
有关使用 <code class="cCode">keytool</code>、<code class="cCode">policytool</code> 和其他 Java 安全性工具的更多信息，请参见位于 <a href="javascript:if(confirm('http://java.sun.com/j2se/1.4.2/docs/tooldocs/tools.html  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://java.sun.com/j2se/1.4.2/docs/tooldocs/tools.html#security'" tppabs="http://java.sun.com/j2se/1.4.2/docs/tooldocs/tools.html#security">http://java.sun.com/j2se/1.4.2/docs/tooldocs/tools.html#security</a> 上的 Java 2 SDK Tools and Utilities。
</p>
<a name="wp526457"> </a><p class="pParagraph">
在 Enterprise Edition 中，还可以使用两个实现网络安全服务 (NSS) 的工具来管理安全性。有关 NSS 的更多信息，请访问 <a  href="javascript:if(confirm('http://www.mozilla.org/projects/security/pki/nss/  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://www.mozilla.org/projects/security/pki/nss/'" tppabs="http://www.mozilla.org/projects/security/pki/nss/">http://www.mozilla.org/projects/security/pki/nss/</a>。管理安全性的工具包括：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526459"> </a><div class="pSmartList1"><li><code class="cCode">certutil</code>，一个命令行实用程序，用于管理证书和密钥数据库。</li></div>