Weblogic中间件域信任配置

作者简介:冶晓伟,北京海天起点技术服务股份有限公司中间件维护员,获得中间件维护证书,从中间件的安装、配置到后期维护,到对应用厂家进行技术支持,都有相对比较丰富经验。较为擅长快速定位问题及快速恢复业务运行。

启用 WebLogic Server 域之间的信任

建立域之间的信任关系,是为了使一个 WebLogic Server 域的主题中的委托人作为另一个域的委托人被接受。启用此功能后,将通过 RMI 连接在WebLogic Server 域之间传递标识,而无需在第二个域中进行身份验证(例如,以 Joe 的身份登录到域 1 中,当对域 2 进行 RMI 调用时,仍会对Joe 进行身份验证)。启用内部域信任后,事务可跨越域提交。当一个域的域凭据与另一个域的域凭据相匹配时,就会建立信任关系。

默认情况下,域凭据是在首次启动 WebLogic Server 域时随机创建的。此过程可以确保,在默认情况下不会存在使用同一凭据的两个 WebLogic Server 域。要启用两个 WebLogic Server 域之间的信任,必须为这两个 WebLogic Server 域中的凭据显式指定相同的值。在管理控制台中,使用”域”节点下的”安全: 高级”页上的配置选项可以设置域凭据。在”凭据”和”确认凭据”字段中,请使用为每个域指定的相同凭据替换随机凭据。

在创建委托人时,WebLogic Server 将使用域凭据对委托人进行签名。当从远程源收到主题时,将对其委托人进行验证(将重新创建签名,如果签名匹配,则表明远程域具有相同的域凭据)。如果验证失败,将生成错误。如果验证成功,将信任这些委托人,就如同他们是本地创建的一样。

如果要在受管服务器环境中启用域之间的信任,必须停止两个域中的管理服务器和所有受管服务器,然后重新启动它们。如果不执行此步骤,未重新引导的服务器将不会信任已重新引导的服务器。

在启用 WebLogic Server 域之间的信任时,请记住以下几点:

  • 由于域将信任远程委托人而不会要求进行身份验证,因此,域中可以具有未在域的身份验证数据库中定义的已通过身份验证的用户。此情况可导致出现授权问题。
  • 域中任何已通过身份验证的用户均可以访问与原始域之间启用信任的任何其他域,而无需重新进行身份验证。进行此类登录时,将不会进行审核,也不会对组成员资格进行验证。
  • 如果域 2 信任域 1 和域 3,则现在域 1 和域 3 将隐式信任对方。因此,域 1 中的 Administrators 组成员也是域 3 中的 Administrators 组成员。这可能不是所需的信任关系。
  • 如果扩展WLSUser和WLSGroup委托人类,则必须在共享信任的所有域的服务器类路径中安装自定义委托人类。

注意:在启用 WebLogic Server 域之间的信任后,会将服务器暴露于中间人攻击之下。因此,在启用生产环境中的信任时应十分谨慎。BEA建议使用强网络安全,例如使用专用通信通道或由强防火墙提供保护。

也可以使用 WebLogic 脚本工具或 Java 管理扩展(Java Management Extensions,简称 JMX)API 来修改安全配置。

操作步骤示例

本文以中文版weblogic10.3为例,解决两个domain之间互相访问队列的问题,以下操用在进入控制台后进行:

修改domain安全身份证明:

  • 进入控制台主页,先锁定编辑,在左边【域结构】中点击域名,如aidm_domain;


  • 在页面的Tab中选择【安全】,可看到【一般信息】页面;
  • 把 【□已启用跨域安全】选项选上;


  • 点击下方的【高级】,弹出隐藏选项;


  • 修改身份证明,两个域中的证明必须一致,例如改为:aidm_weblogic10;
  • 在确认中输入上面同样的证明;


  • 点击保存,必激活修改;

建立跨域用户:

  • 点击【域结构】中的【安全领域】,可看到默认安全领域myrealm,点击查看详细;


  • 在页面的Tab中选择【用户和组】,弹出用户列表,点击【新建】;


  • 填写名称密码,须记下在另一域中使用相同的内容,其中密码要求字母+数字;


  • 创建成功,点击该用户,在页面的Tab中选择【组】;


  • 把【CrossDomainConnectors】选项选上,点击保存;


建立身份证明映射:

  • 点击【域结构】中的【安全领域】,可看到默认安全领域myrealm,点击查看详细;
  • 在页面Tab中选择【身份证明映射】,点击【新建】;


  • 在新页面中选择【□使用跨域协议】;


  • 输入另一个需连接的域名,如aidm_domain,下一步;


  • 输入另一个域中创建的跨域用户名及密码;


  • 点击保存。

重启该domain服务

指使用weblogic/user_projects/domains/aidm_domain/bin目录下的startWeblogic重新启动管理server,用。

在另一个需连接的域中重复以上步骤。

在另一个需要连接的域中重复以上步骤之后,需要将两个域的服务全部重启一遍,然后配置才能全部生效。

未经允许不得转载:Oracle一体机用户组 » Weblogic中间件域信任配置

相关推荐