Spec-Zone .ru
спецификации, руководства, описания, API
|
Содержание | Предыдущий | Затем | Расширения управления Java (JMX) Технологическое Учебное руководство |
Эта глава дает примеры того, как установить технологические средства защиты JMX, как описано в следующих разделах:
Предостережение: Приложения должны запросить пользователя вводить пароли вместо того, чтобы ожидать, что пользователь обеспечит их на командной строке. Используйте безопасные механизмы аутентификации в производственных системах.
Самый простой тип безопасности, которую можно использовать с технологией JMX, основан на шифровании, имени пользователя и аутентификации по паролю, и управлении доступом к файлу.
Можно найти пример соединителя RMI с простой безопасностью в каталоге work_dir/jmx_examples/Security/simple
.
/jmx_examples
/Security/simple
каталог.
В этом каталоге Вы найдете следующие каталоги:
/server
, содержа файлServer.java
/config
, содержа конфигурационные файлы безопасности:/mbeans
, содержа следующие файлы:/client
, содержа следующие файлы:*.java
и *.properties
файлы в текстовом редакторе
Эти файлы будут проанализированы в следующих разделах.
Server.java
класс показывают в ПРИМЕРЕ КОДА 5-1.
public class Server { public static void main(String[] args) { try { MBeanServer mbs = MBeanServerFactory.createMBeanServer(); HashMap env = new HashMap(); SslRMIClientSocketFactory csf = new SslRMIClientSocketFactory(); SslRMIServerSocketFactory ssf = new SslRMIServerSocketFactory(); env.put(RMIConnectorServer. RMI_CLIENT_SOCKET_FACTORY_ATTRIBUTE,csf); env.put(RMIConnectorServer. RMI_SERVER_SOCKET_FACTORY_ATTRIBUTE,ssf); env.put("jmx.remote.x.password.file", "config" + File.separator + "password.properties"); env.put("jmx.remote.x.access.file", "config" + File.separator + "access.properties"); JMXServiceURL url = new JMXServiceURL( "service:jmx:rmi:///jndi/rmi://localhost:9999/server"); JMXConnectorServer cs = JMXConnectorServerFactory.newJMXConnectorServer(url, env, mbs); cs.start(); } catch (Exception e) { e.printStackTrace(); } } }
Server
класс, показанный в ПРИМЕРЕ КОДА 5-1, создает сервер MBean mbs
, и заполняет карту среды env
с безопасным RMI клиент снабжают фабрику сокетом csf
, безопасный сервер RMI снабжает фабрику сокетом ssf
, и файлы свойств password.properties
и access.properties
.
Файл свойств password.properties
содержит имя пользователя и пароль и получается доступ, используя JMX Удаленный API-интерфейс JMXAuthenticator
. Используя свойство jmx.remote.x.
password.file
то же самое как создание основанного на пароле JMXAuthenticator
и передача этого в среду отображается через jmx.remote.authenticator
свойство.
Файл свойств access.properties
содержит имя пользователя и уровень права доступа, которое может быть также readwrite
или readonly
. Это представляет уровень доступа, который этот пользователь может иметь к операциям сервера MBean. Это основанное на файле управление доступом реализуется, используя технологический интерфейс JMX MBeanServerForwarder
, который обертывает реальный сервер MBean в контроллере доступа сервер MBean. Контроллер доступа сервер MBean только передает запросы к реальному серверу MBean после выполнения соответствующих проверок.
Server
создает службу JMX URL, названный url
, для соединителя RMI, который будет работать по транспорту JRMP по умолчанию, и регистрировать тупик соединителя RMI в реестре RMI на порту 9999
из локального узла.
Сервер MBean mbs
, конверт карты среды и служба URL url
ко все передают JMXConnectorServer
чтобы создать новое, защитите названный сервер соединителя JMX cs
.
SimpleStandardMBean
класс определяет тот же самый прямой интерфейс MBean, как использовался в Главе 3, "Соединители JMX".
SimpleStandard
класс определяет тот же самый прямой MBean, как использовался в Главе 3, "Соединители JMX".
ClientListener
класс определяет того же самого прямого слушателя уведомления, как использовался в Главе 3, "Соединители JMX".
Client.java
класс показывают в ПРИМЕРЕ КОДА 5-1.
public class Client { public static void main(String[] args) { try { HashMap env = new HashMap(); String[] credentials = new String[] { "username" , "password" }; env.put("jmx.remote.credentials", credentials); JMXServiceURL url = new JMXServiceURL( "service:jmx:rmi:///jndi/rmi://localhost:9999/server"); JMXConnector jmxc = JMXConnectorFactory.connect(url, env); MBeanServerConnection mbsc = jmxc.getMBeanServerConnection(); String domains[] = mbsc.getDomains(); for (int i = 0; i < domains.length; i++) { System.out.println("Domain[" + i + "] = " + domains[i]); } ObjectName mbeanName = new ObjectName("MBeans:type=SimpleStandard"); mbsc.createMBean("SimpleStandard", mbeanName, null, null); // Perform MBean operations [...] mbsc.removeNotificationListener(mbeanName, listener); mbsc.unregisterMBean(mbeanName); jmxc.close(); } catch (Exception e) { e.printStackTrace(); } } }
Client
класс, показанный в ПРИМЕРЕ КОДА 5-1, заполняет карту среды env
с рядом учетных данных, а именно, username
и password
ожидаемый Server
. Эти учетные данные тогда даются экземпляру JMXConnector
именованный jmxc
когда к службе URL тупика соединителя и карты среды передают JMXConnectorFactory.connect()
. Через jmxc
, Client
подключения к серверу MBean, запущенному Server
, и выполняет операции MBean.
Когда соединение устанавливается, учетные данные, предоставленные в карте среды env
отправляются серверу. Сервер тогда вызывает authenticate()
метод JMXAuthenticator
интерфейс, передавая удостоверения клиента как параметры. authenticate()
метод аутентифицирует клиент и возвращает предмет, который содержит набор принципалов, на которые будут выполняться проверки управления доступом.
Чтобы выполнить пример соединителя RMI с простой безопасностью, выполните следующие шаги:
$ javac mbeans/SimpleStandard.java \ mbeans/SimpleStandardMBean.java \ server/Server.java \ client/Client.java \ client/ClientListener.java
Server
.
$
java -classpath server:mbeans \
-Djavax.net.ssl.keyStore=config/keystore \
-Djavax.net.ssl.keyStorePassword=password \
Server &
Вы будете видеть подтверждение создания сервера MBean и соединителя RMI.
Client
.
$
java -classpath client:server:mbeans \
-Djavax.net.ssl.trustStore=config/truststore \
-Djavax.net.ssl.trustStorePassword=trustword \
Client
Вы будете видеть подтверждение создания клиента соединителя, различные операции MBean, сопровождаемые закрытием соединения.
Как можно видеть, все вышеупомянутое, кажется, продолжается точно тем же самым способом как основной пример соединителя RMI, показанный в Главе 3, "Соединители JMX". Однако, если Вы должны были открыться password.properties
и измените пароль, Вы видели бы a java.lang.SecurityException
когда Вы запускались Client
, и связь прервалась бы.
Если Ваша реализация требует, чтобы клиентский конец соединения выполнил различные операции от имени многочисленных пользователей или приложений, используя механизмы безопасности, демонстрируемые в Разделе "Простая Безопасность", каждый различный пользователь потребовал бы одного безопасного соединения для каждой работы, которую это выполняет. Если Вы ожидаете, что Ваши клиенты соединителя будут взаимодействовать с многочисленными пользователями, можно уменьшить загрузку на своей системе, реализовывая подчиненную делегацию. Подчиненная делегация устанавливает единственное безопасное соединение для пользователя, и это соединение может использоваться, чтобы выполнить связанные операции от имени любого числа пользователей. Само соединение делается аутентифицируемым пользователем. Если аутентифицируемому пользователю предоставили a SubjectDelegationPermission
это позволяет этому действовать от имени другого пользователя, тогда операции могут быть выполнены по соединению от имени того пользователя.
Можно найти пример безопасного соединителя RMI, который реализует подчиненную делегацию в каталоге work_dir/jmx_examples/Security/subject_delegation
.
/jmx_examples
/Security/subject_delegation
каталог
В этом каталоге Вы найдете следующие каталоги:
/server
, содержа файл Server.java
:/config
, содержа конфигурационные файлы безопасности:/mbeans
, содержа следующие файлы:/client
, содержа следующие файлы:*.java
и *.properties
файлы в текстовом редакторе
Эти файлы будут проанализированы в следующих разделах.
Server.java
класс показывают в ПРИМЕРЕ КОДА 5-1:
public class Server { public static void main(String[] args) { try { MBeanServer mbs = MBeanServerFactory.createMBeanServer(); HashMap env = new HashMap(); env.put("jmx.remote.x.password.file", "config" + File.separator + "password.properties"); env.put("jmx.remote.x.access.file", "config" + File.separator + "access.properties"); JMXServiceURL url = new JMXServiceURL( "service:jmx:rmi:///jndi/rmi://localhost:9999/server"); JMXConnectorServer cs = JMXConnectorServerFactory.newJMXConnectorServer(url, env, mbs); cs.start(); } catch (Exception e) { e.printStackTrace(); } } }
ПРИМЕР КОДА 5-1 начинается с создания сервера MBean mbs
, и совокупность карты среды env
с файлом пароля и файлом доступа, вызванным password.properties
и access.properties
соответственно:
Server
тогда создает названный сервер соединителя cs
, и запускает это точно таким же образом как в предыдущих примерах соединителя RMI.
java.policy
файл предоставляет username
a SubjectDelegationPermission
таким образом, это может выполнить операции от имени пользователя delegate
, экземпляр JMXPrincipal
создаваемый Client
класс. java.policy
файл требуется, запускаясь Server
класс.
SimpleStandardMBean
класс определяет тот же самый прямой интерфейс MBean, как использовался в предыдущих примерах.
SimpleStandard
класс определяет тот же самый прямой MBean, как использовался в предыдущих примерах.
ClientListener
класс определяет того же самого прямого слушателя уведомления, как использовался в предыдущих примерах.
Client.java
класс показывают в ПРИМЕРЕ КОДА 5-1:
public class Client { public static void main(String[] args) { try { HashMap env = new HashMap(); String[] credentials = new String[] { "username" , "password" }; env.put("jmx.remote.credentials", credentials); JMXServiceURL url = new JMXServiceURL( "service:jmx:rmi:///jndi/rmi://localhost:9999/server"); JMXConnector jmxc = JMXConnectorFactory.connect(url, env); Subject delegationSubject = new Subject(true, Collections.singleton(new JMXPrincipal("delegate")), Collections.EMPTY_SET, Collections.EMPTY_SET); MBeanServerConnection mbsc = jmxc.getMBeanServerConnection(delegationSubject); String domains[] = mbsc.getDomains(); ObjectName mbeanName = new ObjectName("MBeans:type=SimpleStandard"); mbsc.createMBean("SimpleStandard", mbeanName, null, null); // Perform MBean operations // [...] mbsc.removeNotificationListener(mbeanName, listener); mbsc.unregisterMBean(mbeanName); jmxc.close(); } catch (Exception e) { e.printStackTrace(); } } }
ПРИМЕР КОДА 5-1 начинается с создания карты среды env
это заполняется с именем пользователя username
и пароль password
. Эти строки соответствуют имя пользователя и пароль, сохраненный в password.properties
файл, который сохранен Server
аутентифицировать пользователей, получающих доступ к серверу соединителя.
Технологический клиент соединителя JMX jmxc
создается таким же образом как в предыдущих примерах соединителя RMI, с именем пользователя и паролем, который передают в карту среды env
.
Client
тогда создает экземпляр Subject
, вызванный delegationSubject
, с a Principal
это - экземпляр JMXPrincipal
, именованный delegate
.
Соединение сервера MBean, названное mbsc
, создается, вызывая getMBeanServerConnection()
метод JMXConnector
, с delegationSubject
переданный в в качестве параметра. Это соединение сервера MBean поэтому позволяет операциям выполняться на удаленном сервере MBean от имени принципалов, сохраненных в delegationSubject
, который в этом примере является JMXPrincipal
именованный delegate
.
Пример продолжается, создавая и регистрируясь SimpleStandard
MBean в сервере MBean, и операции выполнения на этом, точно таким же образом как в предыдущих примерах.
Чтобы выполнить безопасный пример соединителя RMI с подчиненной делегацией, выполните следующие шаги:
$ javac mbeans/SimpleStandard.java \ mbeans/SimpleStandardMBean.java \ server/Server.java \ client/Client.java \ client/ClientListener.java
$
экспорт CLASSPATH=server; rmiregistry 9999 &
Server
.Вы будете видеть подтверждение создания сервера MBean, инициализации карты среды, создания соединителя RMI, и регистрации соединителя в сервере MBean.
Client
.$
java - путь к классу client:server:mbeans Клиент
Вы будете видеть подтверждение создания клиента соединителя, создания предмета делегации, соединения с сервером MBean и различными операциями MBean, сопровождаемыми закрытием соединения.
Можно реализовать более мелкомодульный уровень безопасности в Ваших соединителях, управляя пользовательским доступом через Службу Аутентификации и авторизации Java (JAAS) и платформу Java Standard Edition (Java SE) Архитектура безопасности. JAAS и Java безопасность SE основаны на использовании менеджеров безопасности и файлов политики, чтобы выделить разные уровни доступа к различным пользователям. Следовательно, можно решить более точно, который пользователям разрешают выполнить который операции.
Эти два примера в этом разделе очень подобны показанным в Разделе "Простая Безопасность" с различием, являющимся, что простое, основанное на файле управление доступом было заменено основанным на политике управлением доступом.
Можно найти пример соединителя RMI с мелкомодульной безопасностью в каталоге work_dir/jmx_examples/Security/fine_grained
.
/jmx_examples
/Security/fine_grained.
В этом каталоге Вы найдете следующие каталоги:
/server
, содержа файлServer.java
/config
, содержа конфигурационные файлы безопасности:/mbeans
, содержа следующие файлы:/client
, содержа следующие файлы:*.java
и *.properties
файлы в текстовом редакторе.
Server.java
класс, используемый в этом примере, очень подобен тому, используемому в примере соединителя RMI с простой безопасностью. Единственная разница - то, что есть нет access.properties
файл, чтобы отобразиться в среду отображается в мелкомодульном примере. Иначе, эти два класса идентичны.
java.policy
файл предоставляет следующие полномочия:
server
кодовая база, так, чтобы сервер соединителя мог создать соединители, и затем выполнить операции, которые требуют удаленные пользовательские вызовыMBeanTrustPermission
к mbeans
кодовая база, позволяя доверяла MBeans, чтобы зарегистрироваться в сервере MBeanJMXPrincipal
именованный username.
SimpleStandardMBean
класс определяет тот же самый прямой интерфейс MBean, как использовался в предыдущих примерах.
SimpleStandard
класс определяет тот же самый прямой MBean, как использовался в предыдущих примерах.
ClientListener
класс определяет того же самого прямого слушателя уведомления как, как использовался в предыдущих примерах.
Client.java
класс является точно тем же самым как тем, используемым в примере соединителя RMI с простой безопасностью.
Чтобы выполнить пример соединителя RMI с мелкомодульной безопасностью, выполните следующие шаги:
$ javac mbeans/SimpleStandard.java \ mbeans/SimpleStandardMBean.java \ server/Server.java \ client/Client.java \ client/ClientListener.java
$
экспорт CLASSPATH=server; rmiregistry 9999 &
Server
.
$
java -classpath server:mbeans \
-Djavax.net.ssl.keyStore=config/keystore \
-Djavax.net.ssl.keyStorePassword=password \
-Djava.security.manager \
-Djava.security.policy=config/java.policy \
Server &
Вы будете видеть подтверждение инициализации карты среды, создание сервера MBean и соединителя RMI.
Client
. $ java -classpath client:server:mbeans \ -Djavax.net.ssl.trustStore=config/truststore \ -Djavax.net.ssl.trustStorePassword=trustword \ Client
Вы будете видеть подтверждение создания клиента соединителя, соединения с сервером RMI и различными операциями MBean, сопровождаемыми закрытием соединения.
Содержание | Предыдущий | Затем