Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
По необходимости пришлось создать кастомный репозиторий пользователей, основанный на бд. Сделал, как написано в редбуке - отдельный jar, который выбирает юзеров, пароли и группы из базы (юзер может находится в нескольких группах). Появилась такая проблема: при добавлении юзера в новую группу, приложение, задеплоенное на вебсфере, не цепляет эту связь (юзер -> новая группа). Для того, чтобы зацепилось, надо рестартить вебсферу. Есть ли какой-нить способ обойтись без рестарта was? зы. структуру базы менять нельзя, ибо приложение полностью работает на ней. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.08.2009, 19:16 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
gabbeer Для того, чтобы зацепилось, надо рестартить вебсферу. а релогин чтоли не помогает, обязательно рестарт? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 09:06 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
хм.. сегодня проверил, новая роль добавилась, но непонятно почему так долго. Ладно, сегодня еще потестю, попробую время добавления определить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 10:02 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
gabbeer, WAS по умолчанию кеширует данные авторизации, в том числе и членство в группах. Таймаут кеша настраивается. Параметр Authentication cache timeout. . Значение по умолчанию 10 минут. Справочник: Authentication mechanisms and expiration . Еще можно через JACL принудительно почистить кеш : Описание 1: Clearing WebSphere Security Cache Описание 2: How to clear the WebSphere Application Server security cache ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 10:27 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Евгений Хабаров, спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 11:08 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Не стал создавать ещё одну тему. Подскажите возможно ли настроить авторизацию в WAS 6.1(Win2K3) по домену, но работал чтобы от одного пользователя(как в IIS) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2009, 06:18 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyПодскажите возможно ли настроить авторизацию в WAS 6.1(Win2K3) по домену, но работал чтобы от одного пользователя(как в IIS) Если машина, на которой установлен WAS, находится в этом же домене, то при настройке безопасности можно указать использование реестра операционной системы. И также указать пользователя, который будет администратором вебсферы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2009, 16:41 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyНе стал создавать ещё одну тему. Подскажите возможно ли настроить авторизацию в WAS 6.1(Win2K3) по домену, но работал чтобы от одного пользователя(как в IIS) А что именно нужно получить на выходе? Теоретически (т.к. сам не пробовал) варианты такие: 1. Как уже сказали использовать Local OS User Registry, ОС должна быть в домене. 2. Использовать LDAP User Registry для доступа к MS Active Directory по протоколу LDAP. 3. Использовать SPNEGO для"прозрачной" авторизации Creating a single sign-on for HTTP requests using the SPNEGO TAI ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2009, 17:04 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Если конкретней, дело обстоит так. Конкретный пользователь по доменной политике привязан к конкретной машине. Другими словами залогинится на серваке WAS используя реестр локальной операционной системы не получается. В IIS есть возможность фильтрации учётных записей пользователей, а также указать одного анонимного локального пользователя от которого собственно и будет всё работать на стороне сервера. С WAS работаю не давно, потому может и не смог найти. Есть соображения как такое настроить? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.09.2009, 02:22 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, Не сказал бы что стало понятнее. 1. Сам WAS запускается как сервис, сервису пользователь прописывается стандартными для Windows средствами. 2. При обращении к внешним ресурсам (JDBC, JMS и т.д.) можно указать данные авторизации именно для этого ресурса. Тогда при обращении к этому ресурсу будут использованы эти данные авторизации. 3. Для авторизации пользователей в приложениях (в том числе и в админ.консоли) как раз и используется реестр пользователей. Если использовать SPNEGO, то пользователь, который авторизовался в домене, при обращении к приложению из браузера, будет автоматически авторизован в этом приложении (т.е. ему не придется вводить логин/пароль еще раз). От браузера требуется поддержка такого метода авторизации. Подробнее читать документ по ссылке. Сам такого не настраивал, поэтому сказать насколько это работает не могу. 4. Если в приложении не указано, что для доступа к нему (или к его части) нужна авторизация, то соответственно и запрос на авторизацию выдаваться не будет (как раз анонимный доступ к приложению). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.09.2009, 10:07 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Ладно, попробую по-другому. Где в настройках WAS можно указать имя пользователя, которым будут выполнятся какие либо операции на сервере пускай он даже будет локальным? То есть при запросе WEB - приложением формы авторизации, пользователь вводит к примеру пользователь-user пароль-pass. И дальнейший вход на сервер и остальные операции на нём совершались не связкой user/pass, а заранее прописанным локальным анонимным пользователем anonymous. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2009, 04:43 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, Какие именно операции имеются в виду? Все что происходит внутри J2EE приложения описано в разделе Security в J2EE Tutorial например. В зависимости от того, о каких операциях идет речь, есть разные варианты. Если речь идет именно о веб-приложении, то если доступ к ресурсу веб-приложения (URL-маска) защищен, то будет выдано предложение авторизоваться. Дальнейший доступ к ресурсам этого-же приложения будет происходить под указанным логином. Но вот обращение к внешним (по отношению к веб-приложению) ресурсам (EJB, сервисы, файлы и т.п.) может происходить с другими данными авторизации. Смотрите что такое RunAs в разделе J2EE Security. Например здесь Propagating Security Identity или здесь Configuring a Component’s Propagated Security Identity Постановка задачи на самом деле непонятна. Если пользователя нужно авторизовать для доступа к веб-приложению, то зачем в дальнейшем анонимизировать доступ в пределах этого же сервера приложений? Смысл этого действия? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2009, 10:17 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Смысл в том, чтобы ограничить доступ к приложению только для конкретных учётных записей домена. Поскольку учётки привязаны к определённому рабочему месту, приходится вводить в работу одного локального пользователя на сервере от которого непосредственно и будет работать приложение. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.09.2009, 07:39 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
на самом деле не понятно чего вы хотите. У вас же есть ерпозиторий LDAP, в нех хранятся учетные записи. Какая разница какому пользователь на какую машину разрешено заходить, если мы говорим о защите приложения? Серверу приложений в общем случае все равно где(на какой машине) находится клиент который запрашивает у него ресурсы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.09.2009, 09:10 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyСмысл в том, чтобы ограничить доступ к приложению только для конкретных учётных записей домена. Поскольку учётки привязаны к определённому рабочему месту, приходится вводить в работу одного локального пользователя на сервере от которого непосредственно и будет работать приложение. Приложение работает внутри J2EE сервера приложений. С точки зрения ОС есть процесс сервера приложений, который запущен от определенного пользователя ОС. Если будут обращения к файловой системе например, они будут происходить от имени пользователя сервиса. А почти все операции по авторизации внутри сервера приложений не видны с точки зрения операционной системы, т.е. выполняются на уровне Java. Поэтому в общем случае ОС не будет знать от кого работает конкретное J2EE-приложение внутри сервера приложений, ибо для ОС отдельное J2EE-приложение просто не существует. ОС видит сервер приложений в целом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.09.2009, 10:20 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Да я понимаю что всё так и должно быть красиво. Однако! в журнале(Администрирование-просмотр событий), при вводе данных пользователя домена, вы водится ошибка "Logon Failure: Reason: User not allowed to logon at this computer" и далее указывается имя пользователя бла бла бла... имя пользователя выводится введённое пользователем, а не тот от которого запускается сервис. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 06:43 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Меняйте настройки домена. У вас в доменной политике наверняка прописано, что пользователь может заходить только на свой копьютер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 09:46 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Я об этом говорил чуть выше. А политику домена поменять не получится. надо как то выкручиваться по другому :( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 09:53 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, а при маппинге пользователя на приложение, выводятся юзеры домена? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 11:01 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, ну собственно и цеплять необходимых пользователей из домена к приложению. Те, кто не прицеплен, не будут иметь к нему доступа. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2009, 10:38 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Так и делал с самого начала. но политика безопасности мешает. в виндовском журнале пишет, что пользователю не разрешено логиниться на данную станцию бла бла бла ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.09.2009, 02:26 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Если авторизация по ldap(active directory) ,то проблемы с локальной проверкой пользователя не должно быть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2009, 13:29 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyТак и делал с самого начала. но политика безопасности мешает. в виндовском журнале пишет, что пользователю не разрешено логиниться на данную станцию бла бла бла Попробуйте настроить WAS для работы с MS Active Directory по протоколу LDAP. Сейчас у вас настроено через Local OS, в этом случае WAS обращается к средствам ОС для авторизации, что и приводит к этой ошибке. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2009, 10:04 |
|
||
|
|
start [/forum/topic.php?fid=43&msg=36174066&tid=1603082]: |
0ms |
get settings: |
9ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
73ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
64ms |
get tp. blocked users: |
2ms |
| others: | 278ms |
| total: | 462ms |
| 0 / 0 |
