- Tomcat Manager概述
- 配置 Manager 應用訪問
- Managet易用的HTML 界面
- Manager 支持的命令
- 常見參數
- 部署應用
- 部署目錄或 WAR 文件
- 配置 .xml 文件進行部署
- 部署注意事項
- 部署響應
- 已部署的應用
- 重新加載現有應用
- 列出 OS 及 JVM 屬性
- 列出可能的全局 JNDI 資源
- 會話統計
- 過期會話
- 開啟現有應用
- 停止已有應用
- 取消對現有應用的部署
- 尋找內存泄露
- 連接器 SSL/TLS 診斷
- 線程轉儲
- 虛擬機(VM)相關信息
- 保存配置信息
- 服務器狀態
- 使用 JMX 代理 Servlet
- 利用 Ant 執行 Manager 的命令
- 任務輸出捕獲
- Realm 配置
- 標準 Realm 實現
- DataSourceRealm
- JNDIRealm
- UserDatabaseRealm
- MemoryRealm
- JAASRealm
- CombinedRealm
- LockOutRealm
- Tomcat監控與管理
- JMXAccessorOpenTask - JMX 打開連接任務
- JMXAccessorGetTask: 獲取屬性值的 Ant 任務
- JMXAccessorSetTask:設定屬性值的 Ant 任務
- JMXAccessorInvokeTask: 調用 MBean 操作的 Ant 任務
- JMXAccessorQueryTask: 查詢 MBean 的 Ant 任務
- JMXAccessorCreateTask: 遠程創建 MBean 的 Ant 任務
- JMXAccessorUnregisterTask: 遠程注銷 MBean Ant 任務
- JMXAccessorCondition: 表達條件
- JMXAccessorEqualsCondition: MBean Ant 條件對等
- 使用 JMXProxyServlet
配置 Manager 應用訪問
下文的描述將使用變量名 $CATALINA_BASE 來指代工作目錄。如果你還沒有為多個 Tomcat 實例設置 CATALINA_BASE 目錄,那么 $CATALINA_BASE 就將被設置為 $CATALINA_HOME(Tomcat 的安裝目錄)的值。
Tomcat 以默認值運行是非常危險的,因為這能讓互聯網上的任何人都可以在你的服務器上執行 Manager 應用。因此,Manager 應用要求任何用戶在使用前必須驗證自己的身份,提供自己的用戶名和密碼,以及相應配置的 manager-** 角色(角色名稱根據所需的功能而定)。
另外,默認用戶文件($CATALINA_BASE/conf/tomcat-users.xml)中的用戶名稱都沒有指定角色名稱,所以默認是不能訪問 Manager 應用的。
這些角色名稱位于 Manager 應用的 web.xml 文件中。可用的角色包括:
- manager-gui 能夠訪問 HTML 界面。
- manager-status 只能訪問“服務器狀態”(Server Status)頁面。
- manager-script 能夠訪問文檔中描述的適用于工具的純文本界面,以及“服務器狀態”頁面。
- manager-jmx 能夠訪問 JMX 代理界面以及“服務器狀態”(Server Status)頁面。
HTML 界面不會遭受 CSRF(Cross-Site Request Forgery,跨站請求偽造)攻擊,但純文本界面及 JMX 界面卻有可能無法幸免。
這意味著,如果用戶能夠訪問純文本界面及 JMX 界面,那么在利用 Web 瀏覽器去訪問 Manager 應用時,必須要萬分謹慎。要想保持對 CSRF 免疫,則必須:
- 在使用 Web 瀏覽器訪問 Manager 應用時,假如用戶具有 manager-script 或 manager-jmx 角色(比如為了測試純文本界面或 JMX 界面),那么必須關閉所有的瀏覽器窗口,終止會話。如果不關閉瀏覽器,訪問了其他站點,就可能會遭受 CSRF 攻擊。
- 建議永遠不要將 manager-script 或 manager-jmx 角色授予那些擁有 manager-gui 角色的用戶。
注意 JMX 代理界面是 Tomcat 中非常高效的底層、類似于根級別的管理界面。如果用戶知道了該調用的命令,就能實現大量行為,所以一定不要輕易授予用戶 manager-jmx 角色。
為了能夠訪問 Manager 應用,必須創建一個新的用戶名/密碼組合,并為之授予一種 manager-** 角色,或者把一種 manager-** 角色授予現有的用戶名/密碼組合。因為本文檔的大部分內容都在描述純文本界面的命令,所以為了將來討論實例方便起見,把角色名稱定為 manager-script。而涉及到具體如何配置用戶名及密碼,則是跟你所使用的Realm 實現有關:
- UserDatabaseRealm 加上 MemoryUserDatabase 或 MemoryRealm——UserDatabaseRealm 和 MemoryUserDatabase 配置在默認的 $CATALINA_BASE/conf/server.xml 文件中。
- MemoryUserDatabase 和 MemoryRealm 都會讀取儲存在 CATALINA_BASE/conf/tomcat-users.xml 里的 XML 格式文件,它可以用任何文本編輯器進行編輯。該文件會為每個用戶定義一個 XML 格式的 <user> ,如下所示:
<user username="craigmcc" password="secret" roles="standard,manager-script" /> -
它定義了用戶登錄時所用的用戶名和密碼,以及他或她采用的角色名稱。你可以把 manager-script 角色添加到由逗號分隔的 roles 屬性中,從而將該角色賦予一個或多個用戶,也可以利用指定角色來創建新的用戶。
- DataSourceRealm 或 JDBCRealm——用戶和角色信息都存儲在一個經由 JDBC 訪問的數據庫中。按照當前環境的標準流程,將 manager-script 角色賦予一個或多個用戶,或者利用該角色創建一個或多個新用戶。
- JNDIRealm——你的用戶和角色信息被存儲在經由 LDAP 訪問的一個目錄服務器中。按照當前環境的標準流程,為一個或更多的現有用戶添加 manager-script 角色,和(/或)利用指定角色創建一個或更多的新用戶。
在下一節,當你第一次嘗試使用 Manager 的一個命令時,將會使用基本驗證進行登錄。用戶名和密碼的具體內容并不重要,只要它們能夠證明,用戶數據庫中擁有 manager-script 角色的用戶是有效用戶,我們的目的就達到了。
除了密碼限制訪問之外,Manager 還可以配置 RemoteAddrValve 和 RemoteHostValve 這兩個參數,分別通過 遠程 IP 地址 或遠程主機名來進行限制訪問。詳情可查看 Valve 文檔。下列范例是通過 IP 地址來限制訪問本地主機:
<Context privileged="true">
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127\.0\.0\.1"/></Context>
