用户和组
为列出属于某个安全域的用户从Administration Console选择该安全域然后选择Users节点然后可以使用右侧窗格来查看所有用户或者过滤清单System用户帐号也将是清单的一部分——这是当使用Configuration Wizard(配置向导)创建域时定义的Administration用户帐号选择Configure a new User创建一个新用户需要为每个用户指定一个名称一段简短的描述和一个密码注意安全域中所有的用户名必须是独一无二的默认的提供程序使用不区分大小写的用户名用户可以属于一个或多个组
为列出和编辑属于某个安全域的所有组需要从Administration Console选择该安全域然后选择Groups节点还可以在这里创建一个新组组的Membership选项卡可能会误导人因为它并不允许查看组的成员要查看一个用户是不是组的成员必须选择该用户然后查看它的Groups选项卡WebLogic允许向其他现有的组添加组而Membership选项卡列出了所选中的组中包含的所有子组还可以使用这个选项卡给当前组添加另一个组
对于安全配置组成员资格具有两点重要的含义假定用户在域中定义了两个组A和B而组B是组A的一个成员这意味着
属于组B的每个用户同时也属于组A
如果指派一个角色或策略给组A就是同时向组A的所有成员和组B的所有成员指定了相同的角色或策略
当查看用户的Groups选项卡时Administration Console仅列出该用户直属的组所以如果一个用户属于组BAdministration Console在Groups选项卡下只会列出组B即使该用户实际上既属于组A也属于组B
当使用Configuration Wizard创建一个新域时以下组将会自动创建并随时可用AdministratorsDeployersOperators和Monitors一开始System用户是惟一被创建的用户它也是域中Administrators组的惟一成员
记住组只不过简化了管理的任务如果一个用户是某个组的成员它不会自动获得任何特殊的权限只有当组(直接地或通过一个角色)参与策略语句时它才会继承访问权限例如最初的System用户帐号获得了Administrative访问权限仅仅是因为它是Administrators组的成员而这个组又是(全局的)Admin角色的一个成员同时有一条可用的策略语句把访问域中各个区域(area)的权限授予Admin角色
有两个组在Groups页面上没有列出但是它们自动对于安全域可用
users
该组代表所有通过身份验证的用户的集合任何成功通过身份验证的用户都是users组的成员
everyone
这个组代表所有WebLogic用户的集合包括匿名用户任何用户无论是已验证的还是匿名的都是everyone组的一个成员
这些组为建立默认的访问控制提供了一种便捷的方式例如通过策略语句用户是everyone组的成员资源可以被所有用户访问另外通过对某项资源定义如下策略用户是users组的成员可以把访问权限定为仅针对已验证的用户还可以编程式地检查服务器端的组成员资格下面的例子用于检查当前用户是users组还是everyone组的成员
/** returns false if executed without any security context */
weblogicsecuritySubjectUtilsisUserInGroup(
weblogicsecuritySecuritygetCurrentSubject( )users);/** returns true regardless of whether the user authenticates */
weblogicsecuritySubjectUtilsisUserInGroup(
weblogicsecuritySecuritygetCurrentSubject( )everyone);
保护用户帐号
WebLogic提供一种用户封锁功能以防止用户帐号的滥用当一个用户尝试登录失败的次数达到一个阙值时该用户就会被封锁当这种情况发生时该用户将被封锁一段时间(时间长短可以配置)或者直到管理员解锁该用户为止在这期间该用户被禁止使用这些证书访问服务器为配置用户封锁需要选择Administration Console左侧窗格中的Security/Realms节点下的安全域然后可以使用User Lockout选项卡来调整封锁功能并查看封锁统计信息
表列出了User Lockout选项卡下可用的各种配置选项默认情况下这些设置被配置为最高安全性
表 配置用户封锁
当一个用户被封锁时用户列表(位于Users节点下)中的Locked栏下就会出现一个Details链接如果选择列表中某个用户的这个链接就可以查看该用户登录尝试失败的次数以及最后一次失败的登录尝试的时间还可以选择Unlock选项手动重新激活用户的帐户
角色
和组不同角色代表一个动态的用户集合角色成员资格可以通过以下规则进行定义
用户名
可以指定多个用户名如果通过身份验证的用户与列表中的一个名称相匹配而且它满足其他所有规则它将自动成为该角色的成员
组名
可以指定多个组名如果通过身份验证的用户是列表中某个组的成员而且它满足其他所有规则它将自动成为该角色的成员
访问时间
可以定义多个允许用户进行访问的时间段如果用户试图在一个指定的时间段之内访问资源而且满足其他所有规则它将自动成为该角色的成员
通过使用逻辑AND(与)和OR(或)关系可以以各种方式组合这些规则例如可以基于如下规则创建RoleA用户属于组UKSeller而且访问时间在上午:到下午:之间那么任何试图在这段时间内访问资源同时又是UKSeller组成员的用户就会成为RoleA的成员或者可以基于如下规则创建RoleB用户属于组UKSeller或者访问时间在上午:到下午:之间在这种情况下组UKSeller的每个成员都将始终属于这个角色同时每个在上午:到下午:之间访问资源的用户也将成为该角色的一个成员而不管它属于哪个组当用户尝试访问受(根据该角色定义的)策略语句保护的资源时要在运行时对该角色的成员资格条件进行评估因此成员资格条件有助于评估在某个时刻用户是否属于该角色
通常WebLogic默认的Role Mapping Provider负责管理与在某个安全域中定义的所有角色相关的信息事实上可以定义两类角色全局的(scoped)和局部的(scoped)角色
全局角色
全局角色可用于安全域中的所有资源当创建一个新域时就会自动创建一组默认的全局角色它用于授权对各种操作的访问这些预定义的全局角色与默认的安全策略(对WebLogic域执行factoryset安全配置)相关联
Admin
属于该角色的用户对域的各个区域具有完全访问权这包括以下能力查看和编辑域配置启动和停止服务器部署应用程序(EJBJMS factoryweb应用程序)等等任何属于Administrators组的用户将自动继承Admin角色也就是说Admin角色的成员资格条件是用户必须属于Administrators组
Deployer
属于该角色的用户可以查看域配置查看和编辑部署描述符部署应用程序和EJB以及启动和关闭类JEE连接器和web服务组件Deployer角色的成员资格条件是用户必须属于Deployers组
Operator
属于该角色的用户可以查看服务器配置还可以启动停止和重新开始服务器实例Operator角色的成员资格条件是用户必须属于Operators组
Monitor
属于该角色的用户只可以查看服务器的配置Monitor角色的成员资格条件是用户必须属于Monitors组
为创建或修改现有的全局角色需要从Administration Console左侧窗格中选择安全域然后选择Global Roles节点
WebLogic还提供一个称为anonymous的全局角色它的成员资格被定义为包括everyone组中的所有用户即使anonymous角色没有出现在Administration Console中所列出的角色之中仍然可以使用它来定义针对资源的策略
局部角色
大多数角色是局部的这是指它们适用于特定的资源或JNDI树的分支全局角色和局部角色的差别在于前者独立于任何资源并且可以通过Administration Console进行集中管理而后者是跨各种资源分布的用户必须选择一种特定的资源以便查看相关的局部角色不管实际资源是什么用于创建局部角色的底层principle是相同的从Administration Console的左侧窗格中定位资源然后右击并选择Define Scoped Role在某些情况下在更详细的方面中可以定义局部角色及其兄弟局部策略例如在web应用程序中可以为EJB(基于每个方法)web服务(基于每项操作)和web资源(基于某种HTTP方法类型(POSTGETHEAD等等))都定义一个局部角色和策略现在让我们看一看如何为特定的资源创建局部角色以及在此配置中需要采取的一些预防措施
连接池和多池
JDBC资源位于Services/JDBC子树下可以右击选定的资源(如连接池)然后选择Define Scoped Role来为资源定义一个角色还可以删除或修改以前指派的角色
JDBC角色是分级的如果右击JDBC/Connection Pools节点可以按照同样的过程创建一个适用于所有连接池的局部角色
JNDI分支
可以为服务器的JNDI树的特定的节点或分支指派一个角色从Administ
