Tomcat 配置技巧精華詳解分析
2024-09-06 19:01:09
供稿:網友
1、配置系統管理(admin web application)
大多數商業化的j2ee服務器都提供一個功能強大的管理界面,且大都采用易于理解的web應用界面。tomcat按照自己的方式,同樣提供一個成熟的管理工具,并且絲毫不遜于那些商業化的競爭對手。tomcat的admin web application最初在4.1版本時出現,當時的功能包括管理context、data source、user和group等。當然也可以管理像初始化參數,user、group、role的多種數據庫管理等。在后續的版本中,這些功能將得到很大的擴展,但現有的功能已經非常實用了。admin web application被定義在自動部署文件:catalina_base/webapps/admin.xml 。(譯者注:catalina_base即tomcat安裝目錄下的server目錄)
你必須編輯這個文件,以確定context中的docbase參數是絕對路徑。也就是說,catalina
_base/webapps/admin.xml的路徑是絕對路徑。作為另外一種選擇,你也可以刪除這個自動部署文件,而在server.xml文件中建立一個admin web application的context,效果是一樣的。你不能管理admin web application這個應用,換而言之,除了刪除catalina_base/webapps/admin.xml ,你可能什么都做不了。
如果你使用userdatabaserealm(默認),你將需要添加一個user以及一個role到catalina_base/conf/tomcat-users.xml文件中。你編輯這個文件,添加一個名叫“admin”的role 到該文件中,如下:
<role name="admin"/>
你同樣需要有一個用戶,并且這個用戶的角色是“admin”。象存在的用戶那樣,添加一個用戶(改變密碼使其更加安全):
<user name="admin"
password="deep_dark_secret"
roles="admin"/>
當你完成這些步驟后,請重新啟動tomcat,訪問http://localhost:8080/admin,你將看到一個登錄界面。admin web application采用基于容器管理的安全機制,并采用了jakarta struts框架。一旦你作為“admin”角色的用戶登錄管理界面,你將能夠使用這個管理界面配置tomcat。
2、配置應用管理(manager web application)
manager web application讓你通過一個比admin web application更為簡單的用戶界面,執行一些簡單的web應用任務。manager web application被被定義在一個自動部署文件中:
catalina_base/webapps/manager.xml
你必須編輯這個文件,以確保context的docbase參數是絕對路徑,也就是說catalina_home/server/webapps/manager的絕對路徑。(譯者注:catalina_home即tomcat安裝目錄)
如果你使用的是userdatabaserealm,那么你需要添加一個角色和一個用戶到catalina_base/conf/tomcat-users.xml文件中。接下來,編輯這個文件,添加一個名為“manager”的角色到該文件中:
<role name=”manager”>
你同樣需要有一個角色為“manager”的用戶。像已經存在的用戶那樣,添加一個新用戶(改變密碼使其更加安全):
<user name="manager"
password="deep_dark_secret"
roles="manager"/>
然后重新啟動tomcat,訪問http://localhost/manager/list,將看到一個很樸素的文本型管理界面,或者訪問http://localhost/manager/html/list,將看到一個hmtl的管理界面。不管是哪種方式都說明你的manager web application現在已經啟動了。
manager application讓你可以在沒有系統管理特權的基礎上,安裝新的web應用,以用于測試。如果我們有一個新的web應用位于/home/user/hello下在,并且想把它安裝到/hello下,為了測試這個應用,我們可以這么做,在第一個文件框中輸入“/hello”(作為訪問時的path),在第二個文本框中輸入“file:/home/user/hello”(作為config url)。
manager application還允許你停止、重新啟動、移除以及重新部署一個web應用。停止一個應用使其無法被訪問,當有用戶嘗試訪問這個被停止的應用時,將看到一個503的錯誤??“503 - this application is not currently available”。
移除一個web應用,只是指從tomcat的運行拷貝中刪除了該應用,如果你重新啟動tomcat,被刪除的應用將再次出現(也就是說,移除并不是指從硬盤上刪除)。
3、部署一個web應用
有兩個辦法可以在系統中部署web服務。
1. 拷貝你的war文件或者你的web應用文件夾(包括該web的所有內容)到$catalina_base/webapps目錄下。
2. 為你的web服務建立一個只包括context內容的xml片斷文件,并把該文件放到$catalina_base/webapps目錄下。這個web應用本身可以存儲在硬盤上的任何地方。
如果你有一個war文件,你若想部署它,則只需要把該文件簡單的拷貝到catalina_base/webapps目錄下即可,文件必須以“.war”作為擴展名。一旦tomcat監聽到這個文件,它將(缺省的)解開該文件包作為一個子目錄,并以war文件的文件名作為子目錄的名字。
接下來,tomcat將在內存中建立一個context,就好象你在server.xml文件里建立一樣。當然,其他必需的內容,將從server.xml中的defaultcontext獲得。
部署web應用的另一種方式是寫一個context xml片斷文件,然后把該文件拷貝到catalina_base/webapps目錄下。一個context片斷并非一個完整的xml文件,而只是一個context元素,以及對該應用的相應描述。
這種片斷文件就像是從server.xml中切取出來的context元素一樣,所以這種片斷被命名為“context片斷”。
舉個例子,如果我們想部署一個名叫mywebapp.war的應用,該應用使用realm作為訪問控制方式,我們可以使用下面這個片斷:
<!--
context fragment for deploying mywebapp.war
-->
<context path="/demo"
docbase="webapps/mywebapp.war"
debug="0" privileged="true">
<realm classname=
"org.apache.catalina.realm.userdatabaserealm"
resourcename="userdatabase"/>
</context>
把該片斷命名為“mywebapp.xml”,然后拷貝到catalina_base/webapps目錄下。
這種context片斷提供了一種便利的方法來部署web應用,你不需要編輯server.xml,除非你想改變缺省的部署特性,安裝一個新的web應用時不需要重啟動tomcat。
4、配置虛擬主機(virtual hosts)
關于server.xml中“host”這個元素,只有在你設置虛擬主機的才需要修改。虛擬主機是一種在一個web服務器上服務多個域名的機制,對每個域名而言,都好象獨享了整個主機。實際上,大多數的小型商務網站都是采用虛擬主機實現的,這主要是因為虛擬主機能直接連接到internet并提供相應的帶寬,以保障合理的訪問響應速度,另外虛擬主機還能提供一個穩定的固定ip。
基于名字的虛擬主機可以被建立在任何web服務器上,建立的方法就是通過在域名服務器(dns)上建立ip地址的別名,并且告訴web服務器把去往不同域名的請求分發到相應的網頁目錄。因為這篇文章主要是講tomcat,我們不準備介紹在各種操作系統上設置dns的方法,如果你在這方面需要幫助,請參考《dns and bind》一書,作者是paul albitz and cricket liu (o'reilly)。為了示范方便,我將使用一個靜態的主機文件,因為這是測試別名最簡單的方法。
在tomcat中使用虛擬主機,你需要設置dns或主機數據。為了測試,為本地ip設置一個ip別名就足夠了,接下來,你需要在server.xml中添加幾行內容,如下:
<server port="8005"
shutdown="shutdown" debug="0">
<service name="tomcat-standalone">
<connector classname=
"org.apache.coyote.tomcat4.coyoteconnector"
port="8080"
minprocessors="5" maxprocessors="75"
enablelookups="true"
redirectport="8443"/>
<connector classname=
"org.apache.coyote.tomcat4.coyoteconnector"
port="8443" minprocessors="5"
maxprocessors="75"
acceptcount="10" debug="0"
scheme="https" secure="true"/>
<factory classname="org.apache.coyote.
tomcat4.coyoteserversocketfactory"
clientauth="false" protocol="tls" />
</connector>
<engine name="standalone"
defaulthost="localhost" debug="0">
<!-- this host is the default host -->
<host name="localhost"
debug="0" appbase="webapps"
unpackwars="true" autodeploy="true">
<context path="" docbase="root" debug="0"/>
<context path="/orders"
docbase="/home/ian/orders" debug="0"
reloadable="true" crosscontext="true">
</context>
</host>
<!-- this host is the first
"virtual host": http://www.example.com/ -->
<host name="www.example.com"
appbase="/home/example/webapp">
<context path="" docbase="."/>
</host>
</engine>
</service>
</server>
tomcat的server.xml文件,在初始狀態下,只包括一個虛擬主機,但是它容易被擴充到支持多個虛擬主機。在前面的例子中展示的是一個簡單的server.xml版本,其中粗體部分就是用于添加一個虛擬主機。每一個host元素必須包括一個或多個context元素,所包含的context元素中必須有一個是默認的context,這個默認的context的顯示路徑應該為空(例如,path=””)。
5、配置基礎驗證(basic authentication)
容器管理驗證方法控制著當用戶訪問受保護的web應用資源時,如何進行用戶的身份鑒別。當一個web應用使用了basic authentication(basic參數在web.xml文件中auto-method元素中設置),而有用戶訪問受保護的web應用時,tomcat將通過http basic authentication方式,彈出一個對話框,要求用戶輸入用戶名和密碼。在這種驗證方法中,所有密碼將被以64位的編碼方式在網絡上傳輸。
注意:使用basic authentication通過被認為是不安全的,因為它沒有強健的加密方法,除非在客戶端和服務器端都使用https或者其他密碼加密碼方式(比如,在一個虛擬私人網絡中)。若沒有額外的加密方法,網絡管理員將能夠截獲(或濫用)用戶的密碼。
但是,如果你是剛開始使用tomcat,或者你想在你的web應用中測試一下基于容器的安全管理,basic authentication還是非常易于設置和使用的。只需要添加<security-constraint>和<login-config>兩個元素到你的web應用的web.xml文件中,并且在catalina_base/conf/tomcat-users.xml文件中添加適當的<role>和<user>即可,然后重新啟動tomcat。
下面例子中的web.xml摘自一個俱樂部會員網站系統,該系統中只有member目錄被保護起來,并使用basic authentication進行身份驗證。請注意,這種方式將有效的代替apache web服務器中的.htaccess文件。
<!--
define the
members-only area,
by defining
a "security constraint"
on this application, and
mapping it to the
subdirectory (url) that we want
to restrict.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>
entire application
</web-resource-name>
<url-pattern>/members/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<!-- define the login
configuration for
this application -->
<login-config>
<auth-method>basic</auth-method>
<realm-name>my club
members-only area</realm-name>
</login-config>
6、配置單點登錄(single sign-on)
一旦你設置了realm和驗證的方法,你就需要進行實際的用戶登錄處理。一般說來,對用戶而言登錄系統是一件很麻煩的事情,你必須盡量減少用戶登錄驗證的次數。作為缺省的情況,當用戶第一次請求受保護的資源時,每一個web應用都會要求用戶登錄。
如果你運行了多個web應用,并且每個應用都需要進行單獨的用戶驗證,那這看起來就有點像你在與你的用戶搏斗。用戶們不知道怎樣才能把多個分離的應用整合成一個單獨的系統,所有他們也就不知道他們需要訪問多少個不同的應用,只是很迷惑,為什么總要不停的登錄。
tomcat 4的“single sign-on”特性允許用戶在訪問同一虛擬主機下所有web應用時,只需登錄一次。為了使用這個功能,你只需要在host上添加一個singlesignon valve元素即可,如下所示:
<valve classname=
"org.apache.catalina.
authenticator.singlesignon"
debug="0"/>
在tomcat初始安裝后,server.xml的注釋里面包括singlesignon valve配置的例子,你只需要去掉注釋,即可使用。那么,任何用戶只要登錄過一個應用,則對于同一虛擬主機下的所有應用同樣有效。使用single sign-on valve有一些重要的限制:
1> value必須被配置和嵌套在相同的host元素里,并且所有需要進行單點驗證的web應用(必須通過context元素定義)都位于該host下。
2> 包括共享用戶信息的realm必須被設置在同一級host中或者嵌套之外。
3> 不能被context中的realm覆蓋。
4> 使用單點登錄的web應用最好使用一個tomcat的內置的驗證方式(被定義在web.xml中的<auth-method>中),這比自定義的驗證方式強,tomcat內置的的驗證方式包括basic、digest、form和client-cert。
5> 如果你使用單點登錄,還希望集成一個第三方的web應用到你的網站中來,并且這個新的web應用使用它自己的驗證方式,而不使用容器管理安全,那你基本上就沒招了。你的用戶每次登錄原來所有應用時需要登錄一次,并且在請求新的第三方應用時還得再登錄一次。
當然,如果你擁有這個第三方web應用的源碼,而你又是一個程序員,你可以修改它,但那恐怕也不容易做。
6> 單點登錄需要使用cookies。
7、配置用戶定制目錄(customized user directores)
一些站點允許個別用戶在服務器上發布網頁。例如,一所大學的學院可能想給每一位學生一個公共區域,或者是一個isp希望給一些web空間給他的客戶,但這又不是虛擬主機。在這種情況下,一個典型的方法就是在用戶名前面加一個特殊字符(~),作為每位用戶的網站,比如:
http://www.cs.myuniversity.edu/~username
http://members.mybigisp.com/~username
tomcat提供兩種方法在主機上映射這些個人網站,主要使用一對特殊的listener元素。listener的classname屬性應該是org.apache.catalina.startup.userconfig,userclass屬性應該是幾個映射類之一。
如果你的系統是unix,它將有一個標準的/etc/passwd文件,該文件中的帳號能夠被運行中的tomcat很容易的讀取,該文件指定了用戶的主目錄,使用passwduserdatabase 映射類。
<listener classname=
"org.apache.catalina.startup.userconfig"
directoryname="public_html"
userclass="org.apache.catalina.
startup.passwduserdatabase"/>
web文件需要放置在像/home/users/ian/public_html或者/users/jbrittain/public_html一樣的目錄下面。當然你也可以改變public_html 到其他任何子目錄下。
實際上,這個用戶目錄根本不一定需要位于用戶主目錄下里面。如果你沒有一個密碼文件,但你又想把一個用戶名映射到公共的像/home一樣目錄的子目錄里面,則可以使用homesuserdatabase類。
<listener classname=
"org.apache.catalina.startup.userconfig"
directoryname="public_html"
homebase="/home"
userclass="org.apache.catalina.
startup.homesuserdatabase"/>
這樣一來,web文件就可以位于像/home/ian/public_html或者/home/jasonb/public_html一樣的目錄下。這種形式對windows而言更加有利,你可以使用一個像c:/home這樣的目錄。
這些listener元素,如果出現,則必須在host元素里面,而不能在context元素里面,因為它們都用應用于host本身。
8、在tomcat中使用cgi腳本
tomcat主要是作為servlet/jsp容器,但它也有許多傳統web服務器的性能。支持通用網關接口(common gateway interface,即cgi)就是其中之一,cgi提供一組方法在響應瀏覽器請求時運行一些擴展程序。
cgi之所以被稱為通用,是因為它能在大多數程序或腳本中被調用,包括:perl,python,awk,unix shell scripting等,甚至包括java。
當然,你大概不會把一個java應用程序當作cgi來運行,畢竟這樣太過原始。一般而言,開發servlet總要比cgi具有更好的效率,因為當用戶點擊一個鏈接或一個按鈕時,你不需要從操作系統層開始進行處理。
tomcat包括一個可選的cgi servlet,允許你運行遺留下來的cgi腳本。
為了使tomcat能夠運行cgi,你必須做如下幾件事:
1. 把servlets-cgi.renametojar (在catalina_home/server/lib/目錄下)改名為servlets-cgi.jar。處理cgi的servlet應該位于tomcat的classpath下。
2. 在tomcat的catalina_base/conf/web.xml 文件中,把關于<servlet-name> cgi的那段的注釋去掉(默認情況下,該段位于第241行)。
3. 同樣,在tomcat的catalina_base/conf/web.xml文件中,把關于對cgi進行映射的那段的注釋去掉(默認情況下,該段位于第299行)。注意,這段內容指定了html鏈接到cgi腳本的訪問方式。
4. 你可以把cgi腳本放置在web-inf/cgi 目錄下(注意,web-inf是一個安全的地方,你可以把一些不想被用戶看見或基于安全考慮不想暴露的文件放在此處),或者你也可以把cgi腳本放置在context下的其他目錄下,并為cgi servlet調整cgipathprefix初始化參數。這就指定的cgi servlet的實際位置,且不能與上一步指定的url重名。
5. 重新啟動tomcat,你的cgi就可以運行了。
在tomcat中,cgi程序缺省放置在web-inf/cgi目錄下,正如前面所提示的那樣,web-inf目錄受保護的,通過客戶端的瀏覽器無法窺探到其中內容,所以對于放置含有密碼或其他敏感信息的cgi腳本而言,這是一個非常好的地方。
為了兼容其他服務器,盡管你也可以把cgi腳本保存在傳統的/cgi-bin目錄,但要知道,在這些目錄中的文件有可能被網上好奇的沖浪者看到。另外,在unix中,請確定運行tomcat的用戶有執行cgi腳本的權限。
9、改變tomcat中的jsp編譯器(jsp compiler)
在tomcat 4.1(或更高版本,大概),jsp的編譯由包含在tomcat里面的ant程序控制器直接執行。這聽起來有一點點奇怪,但這正是ant有意為之的一部分,有一個api文檔指導開發者在沒有啟動一個新的jvm的情況下,使用ant。
這是使用ant進行java開發的一大優勢。另外,這也意味著你現在能夠在ant中使用任何javac支持的編譯方式,這里有一個關于apache ant使用手冊的javac page列表。
使用起來是容易的,因為你只需要在<init-param> 元素中定義一個名字叫“compiler”,并且在value中有一個支持編譯的編譯器名字,示例如下:
<servlet>
<servlet-name>jsp</servlet-name>
<servlet-class>
org.apache.jasper.servlet.jspservlet
</servlet-class>
<init-param>
<param-name>logverbositylevel
</param-name>
<param-value>warning</param-value>
</init-param>
<init-param>
<param-name>compiler</param-name>
<param-value>jikes</param-value>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>
當然,給出的編譯器必須已經安裝在你的系統中,并且classpath可能需要設置,那處決于你選擇的是何種編譯器。
10、限制特定主機訪問(restricting access to specific hosts)
有時,你可能想限制對tomcat web應用的訪問,比如,你希望只有你指定的主機或ip地址可以訪問你的應用。這樣一來,就只有那些指定的的客戶端可以訪問服務的內容了。為了實現這種效果,tomcat提供了兩個參數供你配置:remotehostvalve 和remoteaddrvalve。
通過配置這兩個參數,可以讓你過濾來自請求的主機或ip地址,并允許或拒絕哪些主機/ip。與之類似的,在apache的httpd文件里有對每個目錄的允許/拒絕指定。例如你可以把admin web application設置成只允許本地訪問,設置如下:
<context path=
"/path/to/secret_files" ...>
<valve classname="org.apache.
catalina.valves.remoteaddrvalve"
allow="127.0.0.1" deny=""/>
</context>
如果沒有給出允許主機的指定,那么與拒絕主機匹配的主機就會被拒絕,除此之外的都是允許的。與之類似,如果沒有給出拒絕主機的指定,那么與允許主機匹配的主機就會被允許,除此之外的都是拒絕的。
