13.4. 在 Java 安全管理器下运行子系统
Java 服务具有安全管理器的选项,它为应用程序定义了不安全的安全操作。安装子系统后,它们会自动启用安全管理器,即每个 Tomcat 实例从运行安全管理器开始。
13.4.1. 关于安全管理器策略文件
当五个 Java 子系统(CA、OCSP、KRA、TKS 和 TPS)在 Java Security Manager 中运行时,它们使用了两组策略的组合:
- 来自
/usr/share/tomcat/conf目录中的默认 Tomcat 策略中的catalina.policy文件 ; 每当更新常规 Tomcat 文件时更新。 - 在
/var/lib/pki/instance_name/subsystem_type/conf 目录中提供的pki.policy文件,它随子系统实例提供。 - 在
/var/lib/pki/instance_name/subsystem_type/conf 目录中有一个custom.policy文件,其中包含用户定义的安全策略。
每当 Tomcat 服务开始创建修订的
catalina.policy 文件时,这三个文件也会连接在一起,该文件也位于 /var/lib/pki/instance_name/subsystem_type/conf 目录中。
默认的
pki.policy 文件包含授予 PKI 子系统使用的 Tomcat、LDAP 和 symkey 服务对不受限制的访问权限的权限。例如:
// These permissions apply to Tomcat java as utilized by PKI instances
grant codeBase "file:/usr/share/java/tomcat/-" {
permission java.security.AllPermission;
};custom.policy 文件默认为空;管理员可以在文件中写入策略,除了给定的 PKI 策略和 Tomcat 策略外,还会使用该文件。
