security.html

Sun Java System Application Server Enterprise Edition 8.1 管理指南

<a name="wp526607"> </a><p class="pParaIndent1">
<a  href="javascript:if(confirm('http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html'" tppabs="http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html">http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html</a>
</p>
</ul></div>
<a name="wp526611"> </a><h5 class="pHeading4">
系统管理员
</h5>
<a name="wp526613"> </a><p class="pParagraph">
系统管理员负责：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526615"> </a><div class="pSmartList1"><li>配置安全区域。</li></div>
<a name="wp526617"> </a><div class="pSmartList1"><li>管理用户帐户和组。 </li></div>
<a name="wp526619"> </a><div class="pSmartList1"><li>管理审计日志。</li></div>
<a name="wp526621"> </a><div class="pSmartList1"><li><b style="font-weight: normal" class="cStrong">管理服务器证书，并配置服务器对安全套接字层 (SSL) 的使用。</b></li></div>
<a name="wp526623"> </a><div class="pSmartList1"><li>处理系统范围内的其他安全性功能，例如<b style="font-weight: normal" class="cStrong">连接器连接池的安全映射</b><b class="cStrong">、</b>其他 JACC 提供者等等。</li></div>
</ul></div>
<a name="wp526625"> </a><p class="pParagraph">
系统管理员使用管理控制台管理服务器安全性设置，使用 <code class="cCode">certutil</code> 管理证书。本文档主要针对系统管理员。
</p>
<a name="wp526631"> </a><h3 class="pHeading2">
关于验证和授权 
</h3>
<a name="wp526633"> </a><p class="pParagraph">
验证和授权是应用程序服务器安全性的核心概念。以下主题讨论了与验证和授权相关的内容：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp526639"> </a><div class="pSmartList1"><li><a  href="security.html#wp526667" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526667">验证实体</a></li></div>
<a name="wp526645"> </a><div class="pSmartList1"><li><a  href="security.html#wp526718" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526718">对用户进行授权</a></li></div>
<a name="wp526651"> </a><div class="pSmartList1"><li><a  href="security.html#wp526728" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526728">指定 JACC 提供者</a></li></div>
<a name="wp526657"> </a><div class="pSmartList1"><li><a  href="security.html#wp526742" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526742">审计验证和授权决策</a></li></div>
<a name="wp526663"> </a><div class="pSmartList1"><li><a  href="security.html#wp526764" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526764">配置消息安全性</a></li></div>
</ul></div>
<a name="wp526667"> </a><h4 class="pHeading3">
验证实体
</h4>
<a name="wp526669"> </a><p class="pParagraph">
<em class="cEmphasis">验证</em>是一个实体（用户、应用程序或组件）用来确定另一个实体是否是其声明的实体的方法。实体使用<em class="cEmphasis">安全凭证</em>对其自身进行验证。凭证可以是一个用户名和密码、一个数字证书或其他凭证。 
</p>
<a name="wp526671"> </a><p class="pParagraph">
通常，验证表示用户使用用户名和密码登录到某个应用程序；也可以指 EJB 从服务器请求资源时，提供安全凭证。通常，服务器或应用程序要求客户机进行验证；另外，客户机也可以要求服务器对其自身进行验证。如果验证是双向的，则称为<span style="font-style: oblique">双向验证</span>。
</p>
<a name="wp526677"> </a><p class="pParagraph">
当实体尝试对受保护的资源进行访问时，Application Server 将使用为该资源配置的验证机制来决定是否授予访问权。例如，用户可以在 Web 浏览器中输入用户名和密码，如果应用程序顺利完成了对那些凭证的检验，则表示该用户已通过验证。在此会话余下的时间内，该用户将始终与这个经过验证的安全身份相关联。
</p>
<a name="wp526687"> </a><p class="pParagraph">
Application Server 支持四种类型的验证，如<a  href="security.html#wp525325" tppabs="http://docs.sun.com/source/819-1553/security.html#wp525325">表 14-1</a> 所示。应用程序在其部署描述符中指定所使用的验证类型。有关使用 <code class="cCode">deploytool</code> 来配置应用程序的验证方法的更多信息，请参见位于以下 URL 的《The J2EE 1.4 Tutorial》：
</p>
<div class="pParaIndent1"><ul class="pParaIndent1">
<a name="wp526696"> </a><p class="pParaIndent1">
<a href="javascript:if(confirm('http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html'" tppabs="http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html">http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html</a><div align="left">
<table border="1" cellpadding="5" cellspacing="0" id="wp525325">
  <caption><a name="wp525325"> </a><p class="pCaption">
表 14-1 Application Server 验证方法
</p>
</caption>
  <tr align="left" valign="top">    <td><a name="wp525335"> </a><p class="pTableHead">
验证方法
</p>
</td>
    <td><a name="wp525337"> </a><p class="pTableHead">
通信协议
</p>
</td>
    <td><a name="wp525339"> </a><p class="pTableHead">
说明
</p>
</td>
    <td><a name="wp525341"> </a><p class="pTableHead">
用户凭证加密
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp525351"> </a><p class="pTableText">
基本
</p>
</td>
    <td><a name="wp525353"> </a><p class="pTableText">
HTTP（SSL 可选）
</p>
</td>
    <td><a name="wp525355"> </a><p class="pTableText">
使用服务器的内置弹出式登录对话框。 
</p>
</td>
    <td><a name="wp525357"> </a><p class="pTableText">
无，除非使用 SSL。 
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp525367"> </a><p class="pTableText">
基于表单
</p>
</td>
    <td><a name="wp525369"> </a><p class="pTableText">
HTTP（SSL 可选）
</p>
</td>
    <td><a name="wp525371"> </a><p class="pTableText">
应用程序提供它自己的自定义登录页面和错误页面。 
</p>
</td>
    <td><a name="wp525373"> </a><p class="pTableText">
无，除非使用 SSL。 
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp525383"> </a><p class="pTableText">
客户机证书
</p>
</td>
    <td><a name="wp525385"> </a><p class="pTableText">
HTTPS（基于 SSL 的 HTTP）
</p>
</td>
    <td><a name="wp525387"> </a><p class="pTableText">
服务器使用公共密钥证书来验证客户机。 
</p>
</td>
    <td><a name="wp525389"> </a><p class="pTableText">
SSL
</p>
</td>
</tr>
</table>
</div>
 
</p>
</ul></div>
<a name="wp526700"> </a><h5 class="pHeading4">
检验单点登录
</h5>
<a name="wp526702"> </a><p class="pParagraph">
单点登录允许一个虚拟服务器实例中的多个应用程序共享用户验证状态。使用单点登录，登录到一个应用程序的用户也会隐式登录到需要相同验证信息的其他应用程序。
</p>
<a name="wp526704"> </a><p class="pParagraph">
单点登录以组为基础。其部署描述符定义了相同的<em class="cEmphasis">组</em>并使用相同的验证方法（基本、表单、摘要或证书）的所有 Web 应用程序均共享单点登录。
</p>
<a name="wp526714"> </a><p class="pParagraph">
对于为 Application Server 定义的虚拟服务器，默认情况下已启用单点登录。有关禁用单点登录的信息，请参见“<a  href="security.html#wp529463" tppabs="http://docs.sun.com/source/819-1553/security.html#wp529463">配置单点登录 (SSO)</a>”。
</p>
<a name="wp526718"> </a><h4 class="pHeading3">
对用户进行授权
</h4>