【文章內(nèi)容簡(jiǎn)介】 態(tài)的方法忽視了許多業(yè)務(wù)策略的動(dòng)態(tài)本質(zhì)。想想控制銀行帳戶、費(fèi)用報(bào)告、銀行出納等策略的例子。對(duì)于銀行帳戶，每個(gè)客戶都應(yīng)當(dāng)只能訪問他自己的帳戶。對(duì)于費(fèi)用報(bào)告，經(jīng)理只能批準(zhǔn)規(guī)定額度內(nèi)的費(fèi)用，而且不能批準(zhǔn)自己的費(fèi)用。對(duì)于銀行出納來說，只有在他們當(dāng)班的時(shí)候才能履行出納的職責(zé)。甚至還有更加復(fù)雜的策略，這時(shí)授權(quán)取決于分配給用戶的角色以及請(qǐng)求的內(nèi)容的組合。中間件基礎(chǔ)架構(gòu)必須明確地支持這些種類的動(dòng)態(tài)策略，或者至少提供足夠的上下文來做這些專業(yè)安全工作。對(duì)于動(dòng)態(tài)授權(quán)的需求增加了管理問題。我們當(dāng)然不想強(qiáng)迫安全管理員成為編程語言（如 Java）專家。當(dāng)然，會(huì)有一些非常規(guī)情況需要一些定制編程，但是例行公事地更新費(fèi)用報(bào)告授權(quán)的資金額度并不需要編程。在更現(xiàn)實(shí)的層面上，我們也不想強(qiáng)迫管理員去深入 XML 格式的部署描述符，然后重新部署組件以更新角色分配。安全管理員需要設(shè)計(jì)良好的、圖形化的用戶界面，讓他們可以執(zhí)行所有例行任務(wù)，以及大多數(shù)運(yùn)行時(shí)的非例行任務(wù)。管理用戶列表以及為用戶分配的角色、修改組件的保護(hù)級(jí)別、配置動(dòng)態(tài)約束，都應(yīng)當(dāng)只需要一點(diǎn)點(diǎn)時(shí)間。10 / 69對(duì)安全管理員來說，更大的麻煩來自從一個(gè)授權(quán)服務(wù)遷移到另外一個(gè)。由于授權(quán)決策的復(fù)雜性，許多企業(yè)依賴專業(yè)化的服務(wù)，所有應(yīng)用程序都把這類決策委托給專業(yè)服務(wù)。當(dāng)需要執(zhí)行主要的版本更新或轉(zhuǎn)換到另外一個(gè)服務(wù)的時(shí)候，管理員就面臨了困境。什么時(shí)候轉(zhuǎn)換到新提供者？要關(guān)注的是新服務(wù)中的缺陷或配置問題。管理員們不想因?yàn)檗D(zhuǎn)換就造成撲天蓋地的不當(dāng)授權(quán)或錯(cuò)誤地拒絕用戶。他們實(shí)際喜歡的是同時(shí)應(yīng)用二套系統(tǒng)，關(guān)注新舊服務(wù)之間決策的差異，但是這種方法，要求中間件基礎(chǔ)架構(gòu)要具備更高的與安全生態(tài)系統(tǒng)中其他部分協(xié)作的能力。 審 計(jì) (auditing)如果一個(gè)應(yīng)用程序能夠同時(shí)使用兩種不同的授權(quán)服務(wù)，那么選項(xiàng)之間的差異會(huì)是非常值得注意的事件，而管理員可能想知道這些差異。不幸的是，多數(shù)中間件基礎(chǔ)架構(gòu)忽略了這類安全審計(jì)。恰當(dāng)?shù)膶徲?jì)不僅僅是把信息寫進(jìn)磁盤。為了支持驗(yàn)證、偵測(cè)和調(diào)查 職責(zé)，管理員需要在單一位置記錄所有安全事件，需要對(duì)特殊的重要事件提供主動(dòng)通知，還需要迅速搜索記錄的能力。安全管理員負(fù)責(zé)保證與信息訪問有關(guān)的企業(yè)策略的實(shí)施。顯然，他們首先必須指定這些策略，最好是用前面所說的那種生產(chǎn)力高的界面。然后他們必須定期檢查審計(jì)記錄，確認(rèn)這些策略實(shí)際得到了執(zhí)行。政府管制或商業(yè)合約有可能需要這類審計(jì)。管理員會(huì)抽樣具有代表意義的事務(wù)集合，并跟蹤它們通過各種不同應(yīng)用程序組件的路徑，從而確保每一步上的安全措施都得到了正確執(zhí)行。管理員需要經(jīng)過整理的審計(jì)軌跡，否則他們就不得不花費(fèi)大量精力，手工地把不同位置的日志匯集起來。他們需要詳細(xì)的記錄，否則就無法確定策略是否得到完全遵守。對(duì)于潛在的違反規(guī)則的行為作出響應(yīng)，是安全管理員的另一項(xiàng)主要職責(zé)。響應(yīng)包括兩步：偵測(cè)和調(diào)查。首先，他們要有這樣的能力，可以指定在什么條件下，安全系統(tǒng)會(huì)主動(dòng)通知他們。這些條件可以包括交易值（例如超過一百萬美金的資金轉(zhuǎn)移）或者事件模式（例如訪問敏感功能時(shí)使用弱加密連接的客戶11 / 69峰值）。一旦收到通知，管理員必須能夠迅速搜索日志，以便判斷是否確實(shí)發(fā)生了違規(guī)行為，并確定損害的程度。這些搜索可能包括復(fù)雜的條件，而且必須針對(duì)活動(dòng)的審計(jì)軌跡執(zhí)行，這樣他們就可以在某個(gè)具體攻擊展開的時(shí)候?qū)ζ溥M(jìn)行跟蹤。這些需求使得審計(jì)子系統(tǒng)成為軟件的重要組成部分，所以中間件提供者必須付出切實(shí)的努力來完善它。注意：在應(yīng)用程序安全性上，有許多具體的挑戰(zhàn)。然而就像應(yīng)用程序安全性自己的核心一樣，WebLoigc Portal 安全解決方案的核心也非常簡(jiǎn)潔。 1. 在安全策略和業(yè)務(wù)邏輯之間，我們擁有一個(gè)干凈、優(yōu)美的抽象。2. 我們有一個(gè)簡(jiǎn)單的、聲明性的接口，用來實(shí)時(shí)地管理安全策略。 3. 我們有一個(gè)開放、靈活的架構(gòu)用來與安全服務(wù)集成。 這些實(shí)踐避免了安全和業(yè)務(wù)邏輯混雜在一起的問題，理順了安全管理，支持與安全生態(tài)系統(tǒng)的其他部分進(jìn)行協(xié)作。BEA WebLogic 安全框架提供了這些關(guān)鍵能力。12 / 69第 3 章 WebLogic Portal 資 源 的 訪 問 控制 安 全 配 置 步 驟在 WebLogic 服務(wù)器中，安全管理主要通過配置定義安全策略的屬性來實(shí)現(xiàn)?？梢杂霉芾砜刂婆_(tái)定義安全策略。在管理控制臺(tái)中，你應(yīng)該為所分發(fā)的應(yīng)用指定設(shè)置與安全相關(guān)的屬性：? 域? 用戶與組? 角色? SSL 協(xié)議? 雙向認(rèn)證? 第三方安全服務(wù)提供者因?yàn)楦靼踩考g是緊密關(guān)聯(lián)的，因此，在進(jìn)行安全配置時(shí)，很難確定從哪開始。事實(shí)上，安全配置是一個(gè)重復(fù)的過程。盡管在進(jìn)行安全配置時(shí)，可能會(huì)有很多種流程，但我們還是建議你遵照以下步驟進(jìn)行：1. 改變 system 用戶的口令以保護(hù) WebLogic 服務(wù)器，見“修改系統(tǒng)口令” 。2. 定義一個(gè)安全域。WebLogic 服務(wù)器有一個(gè)缺省的安全域。但你可能更愿意用別的安全域或者是一個(gè)定制的安全域，見“配置安全域” 。3. 定義安全域的用戶。你可以在安全域中用組來組織用戶，見“定義用戶” 。4. 客戶端與 WebLogic 服務(wù)器之間的通信采用 SSL 協(xié)議，這樣可以保護(hù)網(wǎng)絡(luò)連接。當(dāng)使用 SSL 協(xié)議，WebLogic 服務(wù)器會(huì)使用由可靠的證書認(rèn)證機(jī)構(gòu)所發(fā)13 / 69放的數(shù)字證書對(duì)客戶進(jìn)行驗(yàn)證。這一步是可選的，但我們建議你實(shí)施這一步，見“配置 SSL 協(xié)議” 。5. 通過實(shí)施雙向認(rèn)證進(jìn)一步保護(hù)你的 WebLogic 服務(wù)器。當(dāng)使用了雙向驗(yàn)證， WebLogic 服務(wù)器在對(duì)客戶端進(jìn)行驗(yàn)證，然后客戶端會(huì)對(duì) WebLogic 服務(wù)器進(jìn)行驗(yàn)證，這個(gè)步驟也是可選的。本章將介紹上述安全配置步驟，以及如何在管理控制臺(tái)中設(shè)置那些與安全相關(guān)的屬性。注意：本章所描述的所有配置步驟都是在管理控制臺(tái)中進(jìn)行的。 系 統(tǒng) 安 全 配 置 更 新 系 統(tǒng) 口 令在安裝 WebLogic 服務(wù)器時(shí)，安裝程序會(huì)要求你指定系統(tǒng)用戶的口令。該口令是 WebLogic 服務(wù)器中 weblogic 用戶的口令，被存儲(chǔ)在%bea_home%\user_projects\domains\mydomain 目錄中的 文件中。這個(gè)口令可以用于這個(gè)域的管理服務(wù)器以及所有與這個(gè)管理服務(wù)器關(guān)聯(lián)的受管服務(wù)器。注意：WebLogic 服務(wù)器只能用 weblogic 用戶來啟動(dòng)。保存在 文件中的口令是經(jīng)過加密的。WebLogic 服務(wù)器對(duì)被加密的口令進(jìn)行散列化處理，從而進(jìn)一步保護(hù)了口令。為了提高安全性，我們建議你經(jīng)常更新系統(tǒng)口令。每個(gè)部署的 WebLogic 服務(wù)器必需有唯一的口令。以下是更改系統(tǒng)口令的步驟：1．在管理控制臺(tái)中打開 Users 窗口2．在 User 屬性中輸入 webloigc3．在 Password 屬性中輸入一個(gè)新的口令14 / 694．確認(rèn)你輸入的口令在一個(gè)域中，所有受管服務(wù)器的口令與管理服務(wù)器的口令相同。你應(yīng)該用管理控制臺(tái)經(jīng)常地改變管理服務(wù)器的口令，新口令會(huì)傳播到同一域中的所有受管服務(wù)器上。記住，一個(gè)域中的所有服務(wù)器成員的系統(tǒng)口令必須相同。注意：Petstore 以及 ExampleServer 域仍然把系統(tǒng)口令保存在 文件中。當(dāng)使用這些域時(shí)，你可以通過修改 文件中的口令信息來修改 examples 服務(wù)器的系統(tǒng)口令。 文件中的口令是以明文形式保存的。保 持 WebLogic 服 務(wù) 器 的 口 令 不 公 開 ， 是 你 部 署 WebLogic 服 務(wù) 器 和 數(shù)據(jù) 安 全 的 關(guān) 鍵 。 為 了 保 護(hù) 你 應(yīng) 用 的 安 全 ， BEA 建 議 你 不 要 公 開 WebLogic 服務(wù) 器 的 口 令 。15 / 69 配 置 安 全 域本節(jié)描述配置 WebLogic 應(yīng)用部署的安全域，安全域在 WebLogic Server81后的版本不在提供 file、catch、windows NT、UNIX 等安全域的配置功能，只保留了 LDAP 安全域的配置，下面介紹 LDAP 安全域配置內(nèi)容。配置安全域一節(jié)包括：? 創(chuàng)建安全域? 配置用戶登錄鎖此外，安全域中還包含各個(gè)實(shí)體的管理如：用戶、組、角色、安全服務(wù)提供者等等管理，具體的管理配置功能見“用戶和組”與“安全服務(wù)提供者” 。 創(chuàng) 建 LDAP 安 全 域LDAP 安全域通過輕量級(jí)目錄訪問協(xié)議（LDAP）服務(wù)器對(duì)客戶端請(qǐng)求進(jìn)行驗(yàn)證。該服務(wù)器把組織中的所有用戶都放在 LDAP 目錄中以進(jìn)行集中管理。LDAP安全域支持 Open LDAP，Netscape iPla, Microsoft Site Server 與Novell NDS 等主流 LDAP Server。以前 WebLogic 服務(wù)器支持以下兩個(gè)版本的 LDAP 安全域。? LDAP realm V1 — 打包在以前 WebLogic 服務(wù)器版本中的 LDAP 安全域。LDAP security realm V1 可以與所有所支持的 LDAP 服務(wù)器一同工作，該版本主要是為那些仍然使用老版本 WebLogic 服務(wù)器的 BEA 用戶提供的。但是這一版本已經(jīng)不推薦使用 LDAP realm V1，所以 BEA 建議用戶升級(jí)到LDAP realm V2。? LDAP realm V2 － 最新的 LDAP 安全域在性能與可配置性方面都得到了提高。與 WebLogic Server 中提供的 LDAP 安全域是一樣的。注意：在使用 LDAP 安全域 v1 時(shí)，可以通過管理控制臺(tái)查看存儲(chǔ)于 LDAP 目錄服務(wù)器中的用戶與用戶組，但使用 LDAP 安全域 v2 時(shí)，只能通過管理控制臺(tái)16 / 69查看存于 LDAP 服務(wù)器中的用戶組信息。目前，在 WebLogic Server 版本中只用 LDAP realm V2 方式的 LDAP 安全域。對(duì)用戶以及用戶組的管理（例如，增加與刪除用戶或用戶組，或者是在組中增加成員） ，你需要使用 LDAP 服務(wù)器所提供的管理工具。如果你修改了 LDAP存儲(chǔ)中的內(nèi)容，重置用戶和組的信息以便查看改動(dòng)情況。LDAP 安全域的配置主要是確定 WebLogic 服務(wù)器中的 LDAP 安全域如何與LDAP 服務(wù)器進(jìn)行通信以及描述用戶與用戶組如何保存在 LDAP 目錄中。如果使用 LDAP realm V2，那么可以使用 WebLogic 服務(wù)器所提供的模板來配置 LDAP安全域。? 對(duì)使用 LDAP 安全域的限制在使用 LDAP 安全域時(shí)，應(yīng)該注意以下限制：? 在安裝 Microsoft Site Server 中的 LDAP 服務(wù)器并創(chuàng)建了 LDAP 目錄的根時(shí)，將缺省地創(chuàng)建若干個(gè)組織單元。在 Groups 下面有一個(gè)缺省的組織單元（名字為 NTGroups）以及一個(gè)名字為 Administrators 的缺省空用戶組。缺省情況下，WebLogic 服務(wù)器也提供一個(gè)名字為Administrators 的用戶組，這個(gè)組中包含了一個(gè)啟動(dòng) WebLogic 服務(wù)器的成員：weblogic。如果你使用了 Microsoft Site Server 的缺省設(shè)置，并在缺省的組織單元中創(chuàng)建自己的用戶組，那么 WebLogic 服務(wù)器將不能被啟動(dòng)。因此你應(yīng)該在 LDAP 目錄服中創(chuàng)建自己的組織單元并在這個(gè)組織單元中創(chuàng)建自己的用戶組。? 如果 LDAP 目錄中存在兩個(gè)同名的用戶組，那么 WebLogic 服務(wù)器將不能正確地對(duì)用戶組中的用戶進(jìn)行驗(yàn)證。LDAP 安全域使用用戶組的 DN來定位 LDAP 目錄中的用戶組。如果你創(chuàng)建了多個(gè)同名的用戶組，WebLogic 服務(wù)器只對(duì)它所找到的第一個(gè)組中的用戶進(jìn)行驗(yàn)證。因此在使用 LDAP 安全域時(shí)，每個(gè)用戶組的名字應(yīng)該是唯一的。? 創(chuàng)建 LDAP Realm 17 / 69WebLogic 服務(wù)器為所支持的 LDAP 服務(wù)器提供了模板。這些模板定義了代表所支持的 LDAP 服務(wù)器中的用戶與用戶組信息的缺省屬性。使用 LDAP Security realm ：1. 進(jìn)入管理控制臺(tái)左窗格中的 SecurityRealms 節(jié)點(diǎn)。2. 點(diǎn)擊 Configure a new Realm3. 配置安全域的屬性包括域名、角色檢查策略、后期重部署、是否忽視部署機(jī)密配圖等。表 21 安全域的配置屬性屬性 描述name 為新的安全域定義的名字：如 myrealmCheck Roles and Policies for 定義的安全域針對(duì)什么應(yīng)用進(jìn)行角色檢查的，提供兩種可選值：對(duì)所有 web 應(yīng)用和 EJB；只對(duì)部署描述文件中描述的 web 應(yīng)用和 EJB；On Future Redeploys 如果是角色檢查策略配置的是只對(duì)所有 web 應(yīng)用和 EJB時(shí)該配置生效，有兩個(gè)可選值：按照初始的部署描述文件中的角色和策略部署；忽略部署描述文件中的角色和策略部署；Ignore Deploy Credential Mapping選擇是否在該安全域中選擇忽視部署機(jī)密配圖4. 配置完數(shù)據(jù)項(xiàng)后，點(diǎn)擊 create 按鈕。18 / 69 口 令 保 護(hù)WebLogic Server 對(duì) 用 戶 登 錄 多 次 輸 入 用 戶 名 或 口 令 錯(cuò) 誤 時(shí) ， 可 以 配 置是 否 禁 止 其 再 次 登 錄 。1. 進(jìn) 入 管 理 控 制 臺(tái) ， 選 擇 SecurityRealms2. 選 擇 要 配 置 的 安 全 域 ， 右 面 的 服 務(wù) 窗 口 顯 示 該 域 的 配 置 信 息 。3. 選 擇 User Lockout 標(biāo) 簽 ， 修 改 相 應(yīng) 的 配 置 項(xiàng) 。表 22 安全域口