红帽全球峰会安装指南
安装和配置红帽 JBoss Web 服务器 5.8
摘要
提供有关 Red Hat JBoss Web Server 文档的反馈
要报告错误或改进文档,请登录到 Red Hat JIRA 帐户并提交问题。如果您没有 Red Hat Jira 帐户,则会提示您创建一个帐户。
流程
- 单击以下链接 以创建 ticket。
- 在 Summary 中输入问题的简短描述。
- 在 Description 中提供问题或功能增强的详细描述。包括一个指向文档中问题的 URL。
- 单击“创建”将创建问题并将其发送给适当的文档团队。
使开源包含更多
红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。
第 1 章 Red Hat JBoss Web Server 安装简介
红帽 JBoss Web 服务器是用于托管 Java Web 应用程序的完整集成和经认证的组件。Red Hat JBoss Web Server 提供了 Apache Tomcat Servlet 容器和 Tomcat 原生库的完全支持的实现。
如果您需要对 Java 应用程序进行集群或会话复制支持,请使用 Red Hat JBoss Enterprise Application Platform (JBoss EAP)。
1.1. JBoss Web 服务器组件
JBoss Web 服务器包括诸如 Apache Tomcat Servlet 容器、Tomcat 原生库、Tomcat 库、mod_cluster 库、Apache Portable Runtime (APR)和 OpenSSL 等组件。
- Apache Tomcat
- Apache Tomcat 是一个 servlet 容器,它遵循 Java Servlet 规范。JBoss Web 服务器包含 Apache Tomcat 9。
- Tomcat 原生库
- Tomcat 原生库提高了 Tomcat 可扩展性、性能和与原生服务器技术的集成。
- Tomcat vault
- Tomcat 库是 JBoss Web 服务器的扩展,用于安全存储密码以及 JBoss Web 服务器使用的其他敏感信息。
- mod_cluster
-
mod_cluster库启用 Apache Tomcat 和 Apache HTTP 服务器的mod_proxy_cluster模块之间的通信。mod_cluster库允许您将 Apache HTTP 服务器用作 JBoss Web 服务器的负载均衡器。有关配置mod_cluster的更多信息,或有关安装和配置其他负载均衡器的信息,如mod_jk和mod_proxy,请参阅 HTTP Connectors 和 Load Balancing 指南。 - Apache Portable Runtime
- Apache Portable Runtime (APR)提供卓越的可扩展性、性能和改进与原生服务器技术的集成。APR 是一个高度可移植的库,它是 Apache HTTP 服务器 2.x 的核心。它可以访问:高级 IO 功能,如 sendfile、epoll 和 OpenSSL;操作系统级别的功能,如随机数字生成和系统状态;以及本地进程处理,如共享内存、NT 管道和 UNIX 套接字。
- OpenSSL
- OpenSSL 是一个实现安全套接字层(SSL)和传输层安全(TLS)协议的软件库。OpenSSL 包含基本的加密库。
有关 Red Hat JBoss Web Server 支持的组件的完整列表,请查看 JBoss Web Server 组件详情页。
1.2. 红帽提供的 Apache Tomcat 发行版本之间的区别
Red Hat JBoss Web Server 和 Red Hat Enterprise Linux (RHEL)都提供单独的 Apache Tomcat 发行版本。但是,与 Apache Tomcat 的 RHEL 发行版相比,JBoss Web 服务器通过包括集成和认证的其他组件和功能集提供不同的优势。JBoss Web 服务器还提供更频繁的软件和安全更新。
RHEL 在 RHEL 7 上提供了 Apache Tomcat 发行版,RHEL 8.8 或更高版本仅提供 RHEL 9.2 或更高版本。
对于 RHEL 8.0 到 8.7 和 RHEL 9.0 到 9.1,RHEL 平台订阅不提供 Apache Tomcat 的发布。在这些操作系统版本中,JBoss Web 服务器是唯一红帽提供的 Apache Tomcat 发行版,可作为 Middleware Runtimes 订阅的一部分提供。
Apache Tomcat 版本
考虑 JBoss Web Server 和 RHEL 提供的 Apache Tomcat 发行版本的以下版本信息:
- RHEL 提供的 Apache Tomcat 版本
-
RHEL 7
tomcat软件包基于 Apache Tomcat 7 的社区版本。 -
RHEL 8.x 和 RHEL 9.x
tomcat软件包基于 Apache Tomcat 9 的社区版本。tomcat软件包只可用于 RHEL 8.8 或更高版本,RHEL 9.2 或更高版本只提供。
-
RHEL 7
- JBoss Web 服务器提供的 Apache Tomcat 版本
- JBoss Web Server 3.1 提供 Apache Tomcat 7 和 Apache Tomcat 8 发行版,以及一组集成和认证的其他组件和功能。但是,红帽不再完全支持或维护 JBoss Web Server 3.1,当前处于延长生命周期支持(ELS)阶段 2,计划于 12 月 2 日结束其生命周期。
- JBoss Web Server 5.x 提供了 Apache Tomcat 9 发布,红帽会完全测试并支持集成和认证的其他组件和功能。红帽计划于 2024 年 7 月 31 日结束对 JBoss Web Server 5.x 的完全支持。红帽将提供维护支持,直到 2025 年 7 月 31 日之后,延长的生命周期支持(ELS)阶段 1,计划于 2027 年 7 月结束其生命周期。
- JBoss Web Server 6.x 提供了 Apache Tomcat 10.1 发布,红帽会完全测试并支持集成和认证的其他组件和功能。有关迁移到 JBoss Web Server 6.x 的详情,请查看 最新的产品文档。
有关产品生命周期和可用支持级别的更多信息,请参阅 生命周期阶段。有关 Apache Tomcat 版本的更多信息,请参阅 红帽支持的 Apache Tomcat 版本。
红帽不支持 Apache Tomcat 的社区版本。
JBoss Web 服务器和 Apache Tomcat 的 RHEL 发行版之间的区别
考虑 JBoss Web 服务器和 Apache Tomcat 的 RHEL 发行版之间的以下区别:
- 您可以从存档文件或 RPM 软件包安装 RHEL 版本 7、8 和 9 上的 JBoss Web 服务器。您只能从 RHEL 7、RHEL 8.8 和 RHEL 9.2 或更高版本的 RPM 软件包安装 Apache Tomcat 的 RHEL 发行版。
- 您还可以从存档文件在受支持的 Windows Server 平台上安装 JBoss Web Server。
- Apache Tomcat 的 RHEL 发行版为管理员提供了在 RHEL 系统上部署和运行 Apache Tomcat 实例的管理员支持。JBoss Web 服务器为开发人员提供支持,以创建和部署后端 Web 应用和大型网站,这些网站可在安全稳定的环境中服务来自 Apache HTTP 服务器代理的客户端请求。
RHEL 只提供基于社区版本的 Apache Tomcat 标准发行版的不经常软件更新。JBoss Web 服务器提供经过全面测试且受支持的 Apache Tomcat 发行版本,包括以下集成和认证的额外功能集:
-
使用 mod_proxy、
mod_jk或mod_连接器,完全测试并认证与 Apache HTTP 服务器集成,用于向后端 Web 客户端请求进行转发和负载平衡proxy_cluster - Tomcat 原生库,用于改进 Apache Tomcat 可扩展性、性能和与原生服务器技术的集成
- 用于屏蔽密码和其他敏感字符串的 Tomcat Vault 扩展,并在加密的 Java 密钥存储中安全地存储敏感信息
-
mod
_cluster库,用于启用 Apache HTTP 服务器和后端 JBoss Web 服务器 worker 节点的mod_proxy_cluster模块之间的通信和智能负载平衡 - Apache Portable Runtime (APR)库,提供卓越的可扩展性、性能和改进与原生服务器技术集成
- Federal Information Processing Standards (FIPS)合规性
- 在 Red Hat OpenShift 环境中支持 JBoss Web Server
- JBoss Web Server Operator 用于管理 OpenShift 容器镜像,并在 Red Hat OpenShift 环境中创建、配置、管理和无缝升级 Web 服务器应用程序实例
- 使用红帽 Ansible 认证内容集合自动安装 JBoss Web 服务器
-
使用 mod_proxy、
-
JBoss Web 服务器在
jws-5.X.x-maven-repository.zip文件中提供一组 Maven 存储库工件,您可以从红帽客户门户网站下载。您可以在 web 应用存档(WAR)文件中为应用部署项目使用这些工件。Apache Tomcat 的 RHEL 发行版不提供一组 Maven 存储库工件。 -
JBoss Web 服务器还在
jws-5.X.x-maven-repository.zip文件中包括用于嵌入式 Tomcat 的库,它可让您通过使用完全支持的 Apache Tomcat 版本的嵌入式 Tomcat 构建 web 应用程序。
JBoss Web 服务器和 RHEL 文档集之间的区别
JBoss Web 服务器文档集比 tomcat 软件包的 RHEL 文档更广泛且更全面:
-
JBoss Web 服务器包括
Red Hat JBoss Web Server 5.8.x 文档归档文件,其中包含 Apache Tomcat 9 和 Tomcat Vault 的 API 文档。您可以从 红帽客户门户网站 下载此存档文件。 JBoss Web Server 产品文档页面 提供了以下所有类型的用例的信息:
- 从支持的操作系统上的存档文件或 RPM 软件包执行 JBoss Web 服务器的标准安装。
-
配置 JBoss Web 服务器,以用于 Apache HTTP 服务器连接器和负载平衡器,如
mod_jk和mod_proxy_cluster。 - 使用红帽 Ansible 认证内容集合启用 JBoss Web 服务器的自动安装。
- 在红帽 OpenShift 环境中使用 JBoss Web 服务器.
- 为 OpenShift 安装和使用 JBoss Web Server Operator。
- 配置 JBoss Web 服务器以支持诸如 Hibernate 对象关系映射(ORM)框架、HTTP/2 协议、Tomcat Vault 和 FIPS 合规性等功能。
1.3. JBoss Web Server 操作系统和配置
Red Hat JBoss Web Server 支持不同版本的 Red Hat Enterprise Linux 和 Microsoft Windows 操作系统。
1.4. JBoss Web 服务器安装方法
您可以使用每个平台可用的归档安装文件,在支持的 Red Hat Enterprise Linux 和 Microsoft Windows 系统上安装 Red Hat JBoss Web Server。您还可以使用 RPM 软件包在支持的 Red Hat Enterprise Linux 系统上安装 JBoss Web 服务器。
归档安装文件中包含以下组件。这些组件是 JBoss Web 服务器安装的核心部分。
jws-5.8.0-application-server.zip- Apache Tomcat 9
-
mod_cluster - Tomcat vault
jws-5.8.0-application-server-<platform>-<architecture>.zip- 特定于平台的工具
1.5. JBoss Web Server 组件文档捆绑包
JBoss Web 服务器包括额外的文档包,包括每个组件的原始供应商文档。您可以从红帽客户门户网站下载此文档捆绑包 jws-docs-5.8.0.zip。http://access.redhat.com
文档捆绑包包含以下组件的附加文档:
- Apache Tomcat
- Tomcat 原生库
- Tomcat vault
您可以从归档文件或 RPM 软件包在 Red Hat Enterprise Linux 上安装 JBoss Web Server。如果要从存档文件安装 JBoss Web 服务器,您可以从 红帽客户门户网站 下载并提取 JBoss Web Server 存档文件。
从存档文件安装 JBoss Web 服务器时,您可以以不同的方式管理产品。例如,您可以在系统启动时使用系统守护进程,或者从命令行管理 JBoss Web 服务器。
2.1. 先决条件
- 您已使用 YUM 软件包管理器或从压缩的存档安装了受支持的 Java Development Kit (JDK)。
- 您的系统符合 Red Hat Enterprise Linux 软件包要求。
2.1.1. 使用 YUM 软件包管理器安装 JDK
您可以使用 YUM 软件包管理器安装 Java Development Kit (JDK)。有关支持的 JDK 的完整列表,请参阅 JBoss Web 服务器操作系统和配置。
流程
将 Red Hat Enterprise Linux 系统订阅到适当的频道:
OpenJDK:
- rhel-7-server-rpms
- rhel-8-server-rpms
- rhel-9-server-rpms
IBM:
- rhel-7-server-supplementary-rpms
- rhel-8-server-supplementary-rpms
- rhel-9-server-supplementary-rpms
重要Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
以 root 用户身份执行安装 1.8 JDK 的命令:
yum install java-1.8.0-<VENDOR>-devel
# yum install java-1.8.0-<VENDOR>-develCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将 &
lt;VENDOR> 替换为ibm或openjdk以 root 用户身份运行以下命令,以确保使用正确的 JDK:
alternatives --config java
# alternatives --config javaCopy to Clipboard Copied! Toggle word wrap Toggle overflow alternatives --config javac
# alternatives --config javacCopy to Clipboard Copied! Toggle word wrap Toggle overflow 这些命令返回带有带有加号(
+)符号的所选版本的可用 JDK 版本列表。如果所选的 JDK 不是所需的 JDK,请根据 shell 提示符中的指示更改为所需的 JDK。重要所有使用
java和javac命令的软件都使用由alternatives设置的 JDK。更改 Java 替代方案可能会影响其他软件的运行。
2.1.2. 从压缩的存档安装 JDK
您可以从压缩的存档(如 .zip 或 .tar 文件)安装 Java Development Kit (JDK)。有关支持的 JDK 的完整列表,请参阅 JBoss Web 服务器操作系统和配置。
流程
-
如果 JDK 从供应商的网站(Oracle 或 OpenJDK)下载,请使用厂商提供的安装说明并设置
JAVA_HOME环境变量。 如果 JDK 从压缩的存档安装,请为 Tomcat 设置
JAVA_HOME环境变量:-
在 Tomcat 的
bin目录中(JWS_HOME/tomcat/bin),创建一个名为setenv.sh的文件。 在
setenv.sh文件中,输入JAVA_HOME路径定义。例如:cat JWS_HOME/tomcat/bin/setenv.sh export JAVA_HOME=/usr/lib/jvm/jre-1.8.0-openjdk.x86_64
$ cat JWS_HOME/tomcat/bin/setenv.sh export JAVA_HOME=/usr/lib/jvm/jre-1.8.0-openjdk.x86_64Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
在 Tomcat 的
2.1.3. Red Hat Enterprise Linux 软件包要求
在 Red Hat Enterprise Linux 上安装 JBoss Web 服务器前,您必须确保您的系统符合以下软件包要求:
软件包要求因您使用的 Red Hat Enterprise Linux 版本而异。
在 Red Hat Enterprise Linux 版本 8 或 9 中,如果要使用 OpenSSL 或 Apache Portable Runtime (APR),您必须安装
openssl和 Red Hat Enterprise Linux 提供的pr 软件包。要安装
openssl软件包,请以 root 用户身份输入以下命令:yum install openssl
# yum install opensslCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要安装
apr软件包,请以 root 用户身份输入以下命令:yum install apr
# yum install aprCopy to Clipboard Copied! Toggle word wrap Toggle overflow
在安装
tomcat-native软件包前,您必须删除tomcatjss软件包。tomcatjss软件包使用底层网络安全服务(NSS)安全模型,而不是 OpenSSL 安全模型。要删除
tomcatjss软件包,请以 root 用户身份输入以下命令:yum remove tomcatjss
# yum remove tomcatjssCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
在 Red Hat Enterprise Linux 7 中,JBoss Web 服务器使用 Red Hat JBoss Core Services 提供的
openssl和apr软件包。 -
在 Red Hat Enterprise Linux 版本 8 和 9 中,JBoss Web 服务器不提供
openssl和apr软件包。JBoss Web 服务器使用 Red Hat Enterprise Linux 提供的openssl和apr软件包。如果要在 Red Hat Enterprise Linux 版本 8 或 9 上使用 OpenSSL 或 APR,您必须从操作系统中安装openssl和apr软件包,如本节前面所述。
2.2. 在 RHEL 上下载并提取 JBoss Web 服务器存档文件
您可以从红帽客户门户网站下载 JBoss Web Server 存档文件。http://access.redhat.com
先决条件
- 您已使用 YUM 软件包管理器 或从压缩的存档 安装了受支持的 Java 开发套件(JDK)。
- 您的系统符合 Red Hat Enterprise Linux 软件包要求。
步骤
- 打开浏览器并登录 红帽客户门户。
- 点 Downloads。
- 点 产品下载 列表中的 Red Hat JBoss Web Server。
- 从 Version 下拉菜单中选择正确的 JBoss Web Server 版本。
为以下每个文件点 Download,确保为您的系统选择正确的平台和架构:
-
Red Hat JBoss Web Server 5.8 Application Server (
jws-5.8.0-application-server.zip)。 -
用于 RHEL 的 Red Hat JBoss Web Server 5.8 原生组件(
jws-5.8.0-application-server- <platform> - <architecture>.zip)。
-
Red Hat JBoss Web Server 5.8 Application Server (
将下载的存档文件解压缩到您的安装目录中。
例如:
unzip jws-5.8.0-application-server.zip -d /opt/ unzip -o jws-5.8.0-application-server-<platform>-<architecture>.zip -d /opt/
# unzip jws-5.8.0-application-server.zip -d /opt/ # unzip -o jws-5.8.0-application-server-<platform>-<architecture>.zip -d /opt/Copy to Clipboard Copied! Toggle word wrap Toggle overflow
您提取存档时会创建 JBoss Web 服务器的顶级目录。本文档将 JBoss Web 服务器的顶级目录指代为 JWS_HOME。
2.3. 从存档文件安装时使用 systemd 管理 JBoss Web Server
当您从 Red Hat Enterprise Linux 上的存档文件安装 JBoss Web Server 时,您可以使用系统守护进程来执行管理任务。使用带有系统守护进程的 JBoss Web 服务器提供了一种在系统启动时启动 JBoss Web Server 服务的方法。系统守护进程还提供 start、stop 和 status 检查功能。
在 Red Hat Enterprise Linux 版本 7、8 和 9 中,默认系统守护进程是 systemd。
Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
先决条件
步骤
要确定哪个系统守护进程正在运行,请输入以下命令:
ps -p 1 -o comm=
$ ps -p 1 -o comm=Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果
systemd正在运行,则会显示以下输出:systemd
systemdCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要为
systemd设置 JBoss Web 服务器,请以 root 用户身份运行.postinstall.systemd脚本:cd JWS_HOME/tomcat sh .postinstall.systemd
# cd JWS_HOME/tomcat # sh .postinstall.systemdCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要使用
systemd控制 JBoss Web 服务器,您可以以 root 用户身份执行以下步骤:使用
systemd使 JBoss Web Server 服务在系统启动时启动:systemctl enable jws5-tomcat.service
# systemctl enable jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
systemd启动 JBoss Web 服务器:systemctl start jws5-tomcat.service
# systemctl start jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意现在,对于基于归档文件安装的 JBoss Web 服务器配置,
SECURITY_MANAGER变量已弃用。请考虑以下弃用注释:SECURITY_MANAGER has been deprecated. To run tomcat under the Java Security Manager use:
# SECURITY_MANAGER has been deprecated. To run tomcat under the Java Security Manager use: JAVA_OPTS="-Djava.security.manager -Djava.security.policy==\"$CATALINA_BASE/conf/"catalina.policy\"""Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
systemd停止 JBoss Web 服务器:systemctl stop jws5-tomcat.service
# systemctl stop jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
systemd验证 JBoss Web 服务器的状态:systemctl status jws5-tomcat.service
# systemctl status jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意任何用户都可以
运行状态操作。
2.4. 用于从命令行管理归档安装的 JBoss Web Server 配置
当您从 Red Hat Enterprise Linux 上的存档文件安装 JBoss Web Server 时,您可以直接从命令行启动和停止 JBoss Web 服务器。在命令行中运行 JBoss Web 服务器前,您必须执行以下一系列配置任务:
-
为 Tomcat 设置
JAVA_HOME环境变量。 -
创建
tomcat用户及其父组。 -
授予
tomcat用户对 JBoss Web 服务器的访问权限。
当您使用 系统守护进程而不是从命令行管理 JBoss Web 服务器时,.postinstall.systemd 脚本会自动执行这些配置步骤。
2.4.1. 为 Apache Tomcat 设置 JAVA_HOME 环境变量
第一次从命令行运行 JBoss Web 服务器前,您必须为 Apache Tomcat 设置 JAVA_HOME 环境变量。
先决条件
步骤
-
在命令行中,进入
JWS_HOME/tomcat/bin目录。 -
创建名为
setenv.sh的文件。 在
setenv.sh文件中,输入JAVA_HOME路径定义。例如:
export JAVA_HOME=/usr/lib/jvm/jre-1.8.0-openjdk.x86_64
export JAVA_HOME=/usr/lib/jvm/jre-1.8.0-openjdk.x86_64Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.4.2. 创建 Tomcat 用户和组
首次从命令行运行 JBoss Web 服务器之前,您必须创建一个 tomcat 用户帐户和用户组,以启用简单和安全的用户管理。在 Red Hat Enterprise Linux 中,tomcat 用户的用户 IDentifer (UID)和 tomcat 组的组标识符(GID)都保留了 53。
您必须以 root 用户身份执行此流程中的所有步骤。
步骤
-
在命令行中,进入
JWS_HOME目录。 创建
tomcat用户组:groupadd -g 53 -r tomcat
# groupadd -g 53 -r tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在
tomcat用户组中创建tomcat用户:useradd -c "tomcat" -u 53 -g tomcat -s /sbin/nologin -r tomcat
# useradd -c "tomcat" -u 53 -g tomcat -s /sbin/nologin -r tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow
前面的命令将 UID 和 GID 设置为 53。如果您随后要更改 UID 和 GID 值,请参阅 更改 tomcat 用户和组 的 UID 和 GID。
2.4.3. 授予 Tomcat 用户对 JBoss Web 服务器的访问权限
第一次从命令行运行 JBoss Web 服务器前,您必须通过将 Tomcat 目录的所有权分配给 tomcat 用户来授予 tomcat 用户对 JBoss Web 服务器的访问权限。
您必须以 root 用户身份执行此流程中的所有步骤。
先决条件
步骤
-
进入
JWS_HOME目录。 将 Tomcat 目录的所有权分配给
tomcat用户:chown -R tomcat:tomcat tomcat/
# chown -R tomcat:tomcat tomcat/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 确保
tomcat用户对所有父目录具有执行权限:chmod -R u+X tomcat/
# chmod -R u+X tomcat/Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
验证
tomcat用户是否为目录的所有者:ls -l
# ls -lCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.5. 从存档文件安装时从命令行启动 JBoss Web Server
当您从 Red Hat Enterprise Linux 上的存档文件安装 JBoss Web Server 时,您可以从命令行直接启动 JBoss Web Server。
步骤
以
tomcat用户身份输入以下命令:sh JWS_HOME/tomcat/bin/startup.sh
$ sh JWS_HOME/tomcat/bin/startup.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.6. 从存档文件安装时从命令行停止 JBoss Web Server
当您从 Red Hat Enterprise Linux 上的存档文件安装 JBoss Web Server 时,您可以直接从命令行停止 JBoss Web 服务器。
先决条件
步骤
以
tomcat用户身份输入以下命令:sh JWS_HOME/tomcat/bin/shutdown.sh
$ sh JWS_HOME/tomcat/bin/shutdown.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.7. JBoss Web 服务器的 SELinux 策略
您可以使用 Security-Enhanced Linux (SELinux)策略来定义 JBoss Web 服务器的访问控制。这些策略是一组决定对产品的访问权限的规则。
2.7.1. jws5-tomcat的 SELinux 策略信息
SELinux 安全模型由内核强制执行,并确保应用程序对文件系统位置和端口等资源的有限访问权限。SELinux 策略可确保任何被入侵或配置不当的进程都受到限制或阻止了运行。
JBoss Web 服务器安装中的 jws5-tomcat-selinux 软件包提供了一个 jws5_tomcat 策略。下表包含有关提供的 SELinux 策略的信息。
| Name | 端口信息 | 策略信息 |
|---|---|---|
|
|
|
|
2.7.2. 为 JBoss Web 服务器归档安装安装 SELinux 策略
在这个发行版本中,归档软件包提供 SELinux 策略。jws-5.8.0-application-server- <platform> - <architecture>.zip 归档的 tomcat 文件夹包括 .postinstall.selinux 文件。如果需要,您可以运行 .postinstall.selinux 脚本。
步骤
安装
selinux-policy-devel软件包:yum install -y selinux-policy-devel
yum install -y selinux-policy-develCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
.postinstall.selinux脚本:cd <JWS_home>/tomcat/ sh .postinstall.selinux
cd <JWS_home>/tomcat/ sh .postinstall.selinuxCopy to Clipboard Copied! Toggle word wrap Toggle overflow 为 JBoss Web 服务器所需端口添加访问权限:
semanage port -a -t http_port_t -p tcp <port>
semanage port -a -t http_port_t -p tcp <port>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意JBoss Web 服务器可以访问 Red Hat Enterprise Linux 系统上的端口
8080、8009、8443和8005。当 JBoss Web 服务器需要额外的端口时,请使用前面的
semanage命令提供必要的权限,并将 <port> 替换为所需的端口。启动 Tomcat :
<JWS_home>/tomcat/bin/startup.sh
<JWS_home>/tomcat/bin/startup.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 检查期望
jws5_tomcat的正在运行的进程上下文:ps -eo pid,user,label,args | grep jws5_tomcat | head -n1
ps -eo pid,user,label,args | grep jws5_tomcat | head -n1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 验证 Tomcat 目录的上下文。例如:
ls -lZ <JWS_home>/tomcat/logs/
ls -lZ <JWS_home>/tomcat/logs/Copy to Clipboard Copied! Toggle word wrap Toggle overflow
默认情况下,JBoss Web 服务器提供的 SElinux 策略未处于活动状态,而 Tomcat 进程在 unconfined_java_t 域中运行。这个域不会限制进程。
如果您选择不启用提供的 SELinux 策略,您可以采取以下安全措施:
-
限制
tomcat用户的文件访问,以便tomcat用户只能访问 JBoss Web 服务器运行时所需的文件和目录。 - 不要以 root 用户身份运行 Tomcat。
当从存档文件安装 JBoss Web Server 时,红帽不正式支持使用网络文件共享(NFS)。如果您希望您的 JBoss Web 服务器安装使用 NFS 挂载的文件系统,您需要确保正确修改 SELinux 策略来支持这种类型的部署。
2.8. 更改 tomcat 用户和组的 UID 和 GID
在 Red Hat Enterprise Linux 中,tomcat 用户的用户 IDentifer (UID)和 tomcat 组的组标识符(GID)都保留了 53。根据您的设置要求,您可以将 tomcat 用户和组的 UID 和 GID 更改为其他值。
为避免 SELinux 冲突,请使用小于 500 的 UID 和 GID 值。如果 SELinux 设置为 enforcing 模式,则大于 500 的 UID 和 GID 值可能会导致意外问题。
先决条件
流程
-
如果 JBoss Web 服务器已在运行,请以
tomcat用户身份停止 JBoss Web Server。如需更多信息,请参阅从 存档文件安装时从命令行停止 JBoss Web Server。 要查看
tomcat用户和组的当前 UID 和 GID,请以 root 用户身份输入以下命令:id tomcat
id tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 前面的命令显示用户帐户和组详细信息。例如:
uid=53(tomcat) gid=53(tomcat) groups=53(tomcat)
uid=53(tomcat) gid=53(tomcat) groups=53(tomcat)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要为
tomcat组分配一个新的 GID,请以 root 用户身份输入以下命令:groupmod -g <new_gid> tomcat
groupmod -g <new_gid> tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 例如:
groupmod -g 410 tomcat
groupmod -g 410 tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要为
tomcat用户分配一个新的 UID,请以 root 用户身份输入以下命令:usermod -u <new_uid> -g <new_gid> tomcat
usermod -u <new_uid> -g <new_gid> tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 例如:
usermod -u 401 -g 410 tomcat
usermod -u 401 -g 410 tomcatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要将文件和目录权限分配给新 UID,请以 root 用户身份输入以下命令:
find / -not -path '/proc*' -uid <original_uid> | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown($ug,-1,$fn);chmod($m,$fn)}' <new_uid># find / -not -path '/proc*' -uid <original_uid> | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown($ug,-1,$fn);chmod($m,$fn)}' <new_uid>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在前面的命令中,将 < original_uid> 替换为旧的 UID,并将 < ;new_uid& gt; 替换为新的 UID。例如,要将文件和目录权限从 UID
53分配给 UID401,请输入以下命令:find / -not -path '/proc*' -uid 53 | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown($ug,-1,$fn);chmod($m,$fn)}' 401# find / -not -path '/proc*' -uid 53 | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown($ug,-1,$fn);chmod($m,$fn)}' 401Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要将文件和目录权限分配给新的 GID,请以 root 用户身份输入以下命令:
find / -not -path '/proc*' -gid <original_gid> | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown(-1,$ug,$fn);chmod($m,$fn)}' <new_gid># find / -not -path '/proc*' -gid <original_gid> | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown(-1,$ug,$fn);chmod($m,$fn)}' <new_gid>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在前面的命令中,将 < original_gid> 替换为旧的 GID,并将 < ;new_gid& gt; 替换为新的 GID。例如,要将文件和目录权限从 GID
53分配给 GID410,请输入以下命令:find / -not -path '/proc*' -gid 53 | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown(-1,$ug,$fn);chmod($m,$fn)}' 410# find / -not -path '/proc*' -gid 53 | perl -e '$ug = @ARGV[0]; foreach $fn (<STDIN>) { chomp($fn);$m = (stat($fn))[2];chown(-1,$ug,$fn);chmod($m,$fn)}' 410Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
要以
tomcat用户身份重新启动 JBoss Web 服务器,请参阅从存档文件安装时从命令行启动 JBoss Web Server。
您可以从归档文件或 RPM 软件包在 Red Hat Enterprise Linux 上安装 JBoss Web Server。如果要从 RPM 软件包安装 JBoss Web 服务器,则可从 Red Hat Subscription Management 访问安装软件包。Red Hat Enterprise Linux 7、8 和 9 提供了 RPM 安装选项。
从 RPM 软件包安装 JBoss Web Server 将 Tomcat 部署为服务,并将 Tomcat 资源安装到绝对路径中。
3.1. 先决条件
- 已使用 YUM 软件包或从压缩的存档安装了受支持的 Java Development Kit (JDK)。
- 您的系统符合 Red Hat Enterprise Linux 软件包要求。
3.1.1. 使用 YUM 软件包管理器安装 JDK
您可以使用 YUM 软件包管理器安装 Java Development Kit (JDK)。有关支持的 JDK 的完整列表,请参阅 JBoss Web 服务器操作系统和配置。
流程
将 Red Hat Enterprise Linux 系统订阅到适当的频道:
OpenJDK:
- rhel-7-server-rpms
- rhel-8-server-rpms
- rhel-9-server-rpms
IBM:
- rhel-7-server-supplementary-rpms
- rhel-8-server-supplementary-rpms
- rhel-9-server-supplementary-rpms
重要Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
以 root 用户身份执行安装 1.8 JDK 的命令:
yum install java-1.8.0-<VENDOR>-devel
# yum install java-1.8.0-<VENDOR>-develCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将 &
lt;VENDOR> 替换为ibm或openjdk以 root 用户身份运行以下命令,以确保使用正确的 JDK:
alternatives --config java
# alternatives --config javaCopy to Clipboard Copied! Toggle word wrap Toggle overflow alternatives --config javac
# alternatives --config javacCopy to Clipboard Copied! Toggle word wrap Toggle overflow 这些命令返回带有带有加号(
+)符号的所选版本的可用 JDK 版本列表。如果所选的 JDK 不是所需的 JDK,请根据 shell 提示符中的指示更改为所需的 JDK。重要所有使用
java和javac命令的软件都使用由alternatives设置的 JDK。更改 Java 替代方案可能会影响其他软件的运行。
3.1.2. 从压缩的存档安装 JDK
您可以从压缩的存档(如 .zip 或 .tar 文件)安装 Java Development Kit (JDK)。有关支持的 JDK 的完整列表,请参阅 JBoss Web 服务器操作系统和配置。
流程
-
如果 JDK 从供应商的网站(Oracle 或 OpenJDK)下载,请使用厂商提供的安装说明并设置
JAVA_HOME环境变量。 如果 JDK 从压缩的存档安装,请为 Tomcat 设置
JAVA_HOME环境变量:-
在 Tomcat 的
bin目录中(JWS_HOME/tomcat/bin),创建一个名为setenv.sh的文件。 在
setenv.sh文件中,输入JAVA_HOME路径定义。例如:cat JWS_HOME/tomcat/bin/setenv.sh export JAVA_HOME=/usr/lib/jvm/jre-1.8.0-openjdk.x86_64
$ cat JWS_HOME/tomcat/bin/setenv.sh export JAVA_HOME=/usr/lib/jvm/jre-1.8.0-openjdk.x86_64Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
在 Tomcat 的
3.1.3. Red Hat Enterprise Linux 软件包要求
在 Red Hat Enterprise Linux 上安装 JBoss Web 服务器前,您必须确保您的系统符合以下软件包要求:
软件包要求因您使用的 Red Hat Enterprise Linux 版本而异。
在 Red Hat Enterprise Linux 版本 8 或 9 中,如果要使用 OpenSSL 或 Apache Portable Runtime (APR),您必须安装
openssl和 Red Hat Enterprise Linux 提供的pr 软件包。要安装
openssl软件包,请以 root 用户身份输入以下命令:yum install openssl
# yum install opensslCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要安装
apr软件包,请以 root 用户身份输入以下命令:yum install apr
# yum install aprCopy to Clipboard Copied! Toggle word wrap Toggle overflow
在安装
tomcat-native软件包前,您必须删除tomcatjss软件包。tomcatjss软件包使用底层网络安全服务(NSS)安全模型,而不是 OpenSSL 安全模型。要删除
tomcatjss软件包,请以 root 用户身份输入以下命令:yum remove tomcatjss
# yum remove tomcatjssCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
在 Red Hat Enterprise Linux 7 中,JBoss Web 服务器使用 Red Hat JBoss Core Services 提供的
openssl和apr软件包。 -
在 Red Hat Enterprise Linux 版本 8 和 9 中,JBoss Web 服务器不提供
openssl和apr软件包。JBoss Web 服务器使用 Red Hat Enterprise Linux 提供的openssl和apr软件包。如果要在 Red Hat Enterprise Linux 版本 8 或 9 上使用 OpenSSL 或 APR,您必须从操作系统中安装openssl和apr软件包,如本节前面所述。
3.2. 将订阅附加到 Red Hat Enterprise Linux
在为 JBoss Web 服务器下载并安装 RPM 软件包前,您必须使用 Red Hat Subscription Management 注册您的系统,并订阅相应的 Content Delivery Network (CDN)存储库。然后,您可以执行一些验证步骤,以确保订阅提供了所需的 CDN 软件仓库。
Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
流程
- 登录到 Red Hat Subscription Management 网页。
- 点 Systems 选项卡。
-
点击您要向其添加订阅的系统名称。 -
从 Details 选项卡更改到 Subscriptions 选项卡,然后单击
Attach Subscriptions。 -
选中您要附加的订阅旁边的复选框,然后单击
Attach Subscriptions。
验证
- 登录到 Red Hat Subscriptions 网页。
-
在
Subscription Name列中,点您要选择的订阅。 在 Products Provided 中,您需要以下两者:
-
JBoss Enterprise Web Server -
Red Hat JBoss Core Services
-
3.3. 使用 YUM 从 RPM 软件包安装 JBoss Web Server
您可以使用 YUM 软件包管理器在 Red Hat Enterprise Linux 上安装 RPM 软件包中的 JBoss Web Server。
先决条件
流程
要为您的操作系统版本订阅 JBoss Web Server CDN 软件仓库,请输入以下命令:
subscription-manager repos --enable <repository>
# subscription-manager repos --enable <repository>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意在前面的命令中,将 <
repository> 替换为以下值:
-
在 Red Hat Enterprise Linux 7 上,将
<repository> 替换为jws-5-for-rhel-7-server-rpms和jb-coreservices-1-for-rhel-7-server-rpms。 -
在 Red Hat Enterprise Linux 8 上,将
<repository> 替换为jws-5-for-rhel-8-x86_64-rpms。 -
在 Red Hat Enterprise Linux 9 上,将
<repository> 替换为jws-5-for-rhel-9-x86_64-rpms。
-
在 Red Hat Enterprise Linux 7 上,将
要安装 JBoss Web Server,请以 root 用户身份输入以下命令:
yum groupinstall jws5
# yum groupinstall jws5Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要从 RPM 软件包安装 JBoss Web Server 时,
JWS_HOME文件夹为/opt/rh/jws5/root/usr/share。
-
您可以单独安装每个软件包及其依赖项,而不是使用
groupinstall命令。首选方法是使用groupinstall。 - 只在 Red Hat Enterprise Linux 7 上安装 JBoss Web 服务器需要 Red Hat JBoss Core Services 软件仓库。在 Red Hat Enterprise Linux 版本 8 或 9 中安装 JBoss Web 服务器 不需要 Red Hat JBoss Core Services 软件仓库。
- 启用使用 Software Collection 启用 NFS 使用的功能。有关此功能的更多信息,请参阅 打包指南:通过 NFS 使用 Software Collections。
3.4. 从 RPM 安装时启动 JBoss Web Server
从 RPM 软件包安装 JBoss Web 服务器时,您可以使用命令行来启动 JBoss Web 服务器。然后,您可以查看 service status 命令的输出,以验证 Tomcat 成功运行。
Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
流程
以 root 用户身份输入以下命令:
systemctl start jws5-tomcat.service
# systemctl start jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意这是为 RPM 安装启动 JBoss Web 服务器的唯一支持方法。
验证
要验证 Tomcat 是否正在运行,以任何用户身份输入以下命令:
systemctl status jws5-tomcat.service
# systemctl status jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意有关在 RHEL 8 上安装和配置 HTTPD 的更多信息,请参阅 部署不同类型的服务器:设置 Apache HTTP web 服务器。
3.5. 从 RPM 安装时停止 JBoss Web 服务器
从 RPM 软件包安装 JBoss Web 服务器时,您可以使用命令行停止 JBoss Web 服务器。然后,您可以查看 service status 命令的输出,以验证 Tomcat 成功运行。
Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
流程
以 root 用户输入 followng 命令:
systemctl stop jws5-tomcat.service
# systemctl stop jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
要验证 Tomcat 是否不再运行,以任何用户身份输入以下命令:
systemctl status jws5-tomcat.service
# systemctl status jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
有关在 RHEL 8 上安装和配置 HTTPD 的更多信息,请参阅 部署不同类型的服务器:设置 Apache HTTP web 服务器。
3.6. 将 JBoss Web Server 服务配置为在系统启动时启动
从 RPM 软件包安装 JBoss Web 服务器时,您可以将 JBoss Web Server 服务配置为在系统启动时启动。
步骤
输入以下命令:
systemctl enable jws5-tomcat.service
# systemctl enable jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
3.7. JBoss Web 服务器的 SELinux 策略
您可以使用 Security-Enhanced Linux (SELinux)策略来定义 JBoss Web 服务器的访问控制。这些策略是一组决定对产品的访问权限的规则。
3.7.1. jws5-tomcat的 SELinux 策略信息
SELinux 安全模型由内核强制执行,并确保应用程序对文件系统位置和端口等资源的有限访问权限。SELinux 策略可确保任何被入侵或配置不当的进程都受到限制或阻止了运行。
JBoss Web 服务器安装中的 jws5-tomcat-selinux 软件包提供了一个 jws5_tomcat 策略。下表包含有关提供的 SELinux 策略的信息。
| Name | 端口信息 | 策略信息 |
|---|---|---|
|
|
|
|
3.7.2. 为 JBoss Web Server RPM 安装启用 SELinux 策略
当您从 RPM 软件包安装 JBoss Web Server 时,jws5-tomcat-selinux 软件包为 JBoss Web Server 提供 SELinux 策略。这些软件包包括在 JBoss Web 服务器频道中。
步骤
安装
jws5-tomcat-selinux软件包:yum install -y jws5-tomcat-selinux
yum install -y jws5-tomcat-selinuxCopy to Clipboard Copied! Toggle word wrap Toggle overflow
第 4 章 在 Microsoft Windows 上安装 JBoss Web Server
您可以从 Red Hat Customer Portal 下载的一组存档文件,在 Microsoft Windows 上安装 JBoss Web Server。
4.1. 在 Microsoft Windows 上安装 JDK
在 Microsoft Windows 上安装 JBoss Web Server 之前,您必须首先安装 Java Development Kit (JDK)。
您可以从受支持的供应商网站下载并安装 JDK,如 Oracle 或 IBM。有关支持的 JDK 列表,请参阅支持的操作系统和配置。
这个步骤描述了如何安装 Oracle JDK。
步骤
要访问 Oracle 网站,请打开一个浏览器窗口并输入以下 URL:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
- 为您的操作系统和架构下载 Oracle JDK。
- 双击下载的文件开始安装。
- 按照安装窗口中的指示进行。
4.2. 在 Microsoft Windows 上下载和提取 JBoss Web Server
您可以从红帽客户门户上的 产品 下载页面下载 JBoss Web Server 归档文件。
先决条件
步骤
- 打开浏览器并登录到 Red Hat Product Downloads 页面。
- 在产品下载 列表中,单击 Red Hat JBoss Web Server。
- 在 Software Downloads 页面中,从 Version 下拉菜单中选择正确的 JBoss Web Server 版本。
在 Download File 表中,点以下每个文件旁的 Download :
-
Red Hat JBoss Web Server 5.8 Application Server (
jws-5.8.0-application-server.zip)。 Red Hat JBoss Web Server 5.8 Native Components for Windows Server (
jws-5.8.0-application-server- <platform> - <architecture>.zip)。注意确保您选择了与系统中的平台和架构匹配的正确文件。
-
Red Hat JBoss Web Server 5.8 Application Server (
- 将下载的存档文件解压缩到您的安装目录中。
您提取存档时会创建 JBoss Web 服务器的顶级目录。本文档将 JBoss Web 服务器的顶级目录指代为 JWS_HOME。
4.3. Microsoft Windows 上的 JBoss Web Server 配置
在 Microsoft Windows 上安装 JBoss Web Server 时,您可以通过命令提示符或使用计算机管理工具来管理 JBoss Web 服务器。
在 Microsoft Windows 上运行 JBoss Web Server 之前,您必须执行以下一系列配置任务:
4.3.1. 在 Microsoft Windows 上为 JBoss Web Server 设置环境变量
在 Microsoft Windows 上第一次运行 JBoss Web Server 之前,您必须设置 JAVA_HOME、TMP 和 TEMP 环境变量。您还必须更新 PATH 环境变量。
先决条件
步骤
- 登录到具有本地管理员权限的帐户。
- 点 Control Panel > System。
- 点 Advanced 选项卡。
- 点 Environment Variables 按钮。
- 单击 系统变量的 新建按钮 。
-
对于
JAVA_HOME、TMP和TEMP,请为您的系统输入适当的名称值对。 要使 SSL Connector 成功运行,请将
JWS_HOME\bin添加到服务将在其中运行的用户的PATH环境变量中。注意服务默认在
SYSTEM用户下运行。
4.3.2. 在 Microsoft Windows 上安装 Tomcat 服务
在 Microsoft Windows 上第一次运行 JBoss Web Server 之前,您必须安装 Tomcat 服务。
步骤
打开具有管理员特权的命令提示符,进入 Tomcat 版本的
bin文件夹:cd /D "JWS_HOME\tomcat\bin"
cd /D "JWS_HOME\tomcat\bin"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 安装 Tomcat 服务:
call service.bat install
call service.bat installCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.3.3. 为 Microsoft Windows 上的 JBoss Web Server 服务配置文件夹权限
在 Microsoft Windows 上第一次运行 JBoss Web Server 之前,您必须为 JBoss Web Server 服务配置文件夹权限。配置文件夹权限可确保用于运行 JBoss Web Server 服务的帐户对 JWS_HOME 文件夹及其所有子文件夹具有完全控制。
先决条件
步骤
-
右键点击
JWS_HOME文件夹,然后点 Properties。 - 选择 Security 选项卡。
- 点 Edit 按钮。
- 点击 Add 按钮。
-
在文本框中,输入
LOCAL SERVICE。 -
选择
LOCAL SERVICE帐户的 Full Control 复选框。 - 点确定。
- 点 Advanced 按钮。
-
在 Advanced Security Settings 对话框中,选择
LOCAL SERVICE并点 Change permissions。 - 选中替换 此对象选项中可继承权限条目替换所有子对象权限条目 旁边的复选框。
- 单击 OK through all open folder 属性窗口以应用设置。
4.4. 在 Microsoft Windows 上启动 JBoss Web Server
当您在 Microsoft Windows 上安装 JBoss Web Server 时,您可以使用 Command Prompt 或 Computer Management 工具启动 Tomcat 服务。
先决条件
步骤
执行以下步骤:
以管理员身份打开 Command Prompt,并输入以下命令:
net start tomcat9
net start tomcat9Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
点 Start > Administrative Tools > Services,右键单击
Tomcat9服务,然后点 Start。
有些第三方应用程序将库添加到 Windows 中的系统目录中。这些第三方库在查找过程中优先于 Tomcat 库。如果第三方库的名称与 Tomcat 原生库的名称相同,系统会加载第三方库,而不是随 JBoss Web 服务器分发的库。在这种情况下,Tomcat 可能无法成功启动,Tomcat 不会记录 Windows Event Log 或 Tomcat 日志文件中的任何错误消息。
如果发生此行为,您可以执行以下步骤:
-
要查看错误,请运行
catalina.bat run命令。 -
检查
C:\windows\System32\目录和其他PATH目录的内容。 -
确保动态链接库(DLL)不与 JBoss Web 服务器库冲突。特别是,查找
libeay32.dll、ssleay32.dll和libssl32.dll库。
4.5. 在 Microsoft Windows 上停止 JBoss Web Server
当您在 Microsoft Windows 上安装 JBoss Web Server 时,您可以使用 Command Prompt 或 Computer Management 工具停止 Tomcat 服务。
先决条件
步骤
执行以下步骤:
以管理员身份打开 Command Prompt,并输入以下命令:
net stop tomcat9
net stop tomcat9Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
进入 Start > Administrative Tools > Services,右键单击
Tomcat9服务,然后点击 Stop。
第 5 章 为 JBoss Web 服务器配置 Hibernate
Hibernate Object/Relational Mapping (ORM)是一个对象关系映射框架,可用于将 JBoss Web 服务器连接到 Java 数据库连接(JDBC)数据源。如果要将应用程序数据存储在关系数据库中时,您可以将 Hibernate ORM 与 JBoss Web 服务器一起使用。
5.1. 安装 Hibernate ORM
您可以在 JBoss Web 服务器支持的所有平台上安装 Hibernate ORM。您可以通过以下两种方式之一获取 Hibernate JAR 文件:
-
使用 JBoss Web Server Maven 存储库,您可以 从红帽客户门户 下载
jboss-web-server-5.8.0-maven-repository.zip。 - 使用 Red Hat hosted Maven 存储库,您可以通过 https://maven.repository.redhat.com/ga/ 访问它。
在以后的发行版本中,红帽将从 jboss-web-server-X.X.x-maven-repository.zip 中删除 Hibernate JAR 文件。在 JBoss Web Server 5.8 版本中,红帽继续在 jboss-web-server-5.8.0-maven-repository.zip 中提供 Hibernate JAR 文件,但红帽不会提供这些 JAR 文件的任何进一步更新,除了任何可能的安全修复。
在 JBoss Web Server 5.8 和将来的版本中,红帽将继续在红帽托管 Maven 存储库中提供和维护 Hibernate JAR 文件,网址为 https://maven.repository.redhat.com/ga/。
先决条件
您已将项目配置为使用以下 Maven 存储库之一:
-
JBoss Web Server Maven 存储库(
jboss-web-server-5.8.0-maven-repository.zip) - 红帽托管的 Maven 存储库(https://maven.repository.redhat.com/ga/)
-
JBoss Web Server Maven 存储库(
流程
-
根据您要使用的 Maven 存储库,从
jboss-web-server-X.X.x-maven-repository.zip或 https://maven.repository.redhat.com/ga/ 获取 Hibernate JAR 文件。 - 将 Hibernate JAR 文件添加到您的部署 WAR 文件中。
5.2. 配置 JDBC 连接池
Apache Tomcat 为 JDBC 数据源提供默认的连接池机制。您可以通过更新 JBoss Web Server 部署的 /META-INF/context.xml 文件中的设置来配置 JDBC 连接池。
步骤
-
打开
/META-INF/context.xml文件。 修改可供应用使用的 JDBC 连接池。
例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.3. 配置 Hibernate 连接属性
您可以通过更新 JBoss Web Server 部署的 /WEB-INF/classes/META-INF/persistence.xml 文件中的设置,将 Hibernate 配置为使用来自 Tomcat 池的 JDBC 连接。
如果要直接使用 Hibernate API,请使用与 hibernate.cfg.xml 文件类似的配置。
步骤
-
打开
/WEB-INF/classes/META-INF/persistence.xml文件。 配置 Hibernate 以消耗来自 Tomcat 的连接。
例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.4. 添加 JDBC 数据源
您可以通过更新 JBoss Web Server 部署的 /WEB-INF/web.xml 文件中的设置,将 Tomcat 配置为使用 JDBC 数据源。
步骤
-
打开
/WEB-INF/web.xml文件。 使用
resource-env-ref元素配置 JDBC datasources。例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意前面的示例使用
jdbc/DsWebAppDB数据源。
第 6 章 为 Red Hat JBoss Web 服务器启用 HTTP/2
Hypertext 传输协议(HTTP)是通过互联网在应用程序间传输数据的标准方法,如服务器和浏览器。JBoss Web 服务器支持使用 HTTP/2 进行加密连接,这些连接使用传输层安全(TLS),该连接在启用后由 h2 关键字表示。
HTTP/2 通过提供以下改进来改进 HTTP/1.1:
- 标头压缩省略了指示的信息,以减少传输的标头大小。
- 单个连接中的多个请求和响应使用二进制 RAM 而不是文本中断响应消息。
JBoss Web 服务器不支持将 HTTP/2 用于使用传输控制协议(TCP)的未加密的连接,该连接在启用时由 h2c 关键字表示。
6.1. 先决条件
- 在 Red Hat Enterprise Linux 上具有 root 用户访问权限。
- 已安装 Red Hat JBoss Web Server 5.0 或更高版本。
您已安装了 Red Hat Enterprise Linux 提供的
openssl和apr软件包。有关安装openssl和apr软件包的更多信息,请参阅 Red Hat Enterprise Linux 软件包要求。注意这些操作系统原生库也由
jws-5.8.0-application-server- <platform> - <architecture>.zip提供,其中可用。如果要在 Red Hat Enterprise Linux 版本 8 或 9 上运行 JSSE+OpenSSL 或 APR,则必须使用 Tomcat-Native 来确保操作成功。Tomcat-Native 位于原生存档目录中。
您已配置了支持启用了 SSL 的 HTTP/2 协议的连接器。对于 JBoss Web Server 5.8,以下连接器支持 HTTP/2 协议:
- APR Native 连接器(APR)
- 带有 JSSE + OpenSSL 的 NIO 连接器(JSSE)
- 带有 JSSE + OpenSSL 的 NIO2 连接器(JSSE)
6.2. 为连接器启用 HTTP/2
您可以通过更新 server.xml 配置文件中的设置来为连接器启用 HTTP/2。
步骤
-
打开
JWS_HOME/tomcat/conf/server.xml配置文件。 在
server.xml文件中,将 HTTP/2 升级协议添加到连接器中。例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow server.xml文件包含 APR 协议的一个连接器定义示例,并将升级协议设置为 HTTP/2。例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要应用配置更新,以 root 用户身份重启 Red Hat JBoss Web Server。
要使用
systemd重启 Red Hat Enterprise Linux 上的 JBoss Web Server,请输入以下命令:systemctl restart jws5-tomcat.service
# systemctl restart jws5-tomcat.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要使用 start
.sh在 Red Hat Enterprise Linux 上重启 JBoss Web Server,请输入以下命令:JWS_HOME/sbin/shudown.sh JWS_HOME/sbin/startup.sh
# JWS_HOME/sbin/shudown.sh # JWS_HOME/sbin/startup.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要在 Microsoft Windows 上重启 JBoss Web Server,请输入以下命令:
net restart tomcat9
# net restart tomcat9Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Red Hat Enterprise Linux 6 不再被支持,之后从文档中删除了。
6.3. 查看 JBoss Web 服务器日志以验证是否启用了 HTTP/2
您可以查看 JBoss Web Server 控制台输出日志,以验证是否启用了 HTTP/2。
先决条件
- 您已为 连接器启用了 HTTP/2。
步骤
要查看控制台输出日志,请输入以下命令:
cat JWS_HOME/tomcat/logs/catalina.out | grep 'h2'
$ cat JWS_HOME/tomcat/logs/catalina.out | grep 'h2'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意在前面的命令中,将
JWS_HOME替换为 JBoss Web Server 安装的顶级目录。
验证
如果启用了 HTTP/2,命令会产生以下类型的输出,指示连接器已被配置为支持到
[h2]协商:06-Apr-2018 04:49:26.201 INFO [main] org.apache.coyote.http11.AbstractHttp11Protocol.configureUpgradeProtocol The ["https-openssl-apr-8443"] connector has been configured to support negotiation to [h2] via ALPN
06-Apr-2018 04:49:26.201 INFO [main] org.apache.coyote.http11.AbstractHttp11Protocol.configureUpgradeProtocol The ["https-openssl-apr-8443"] connector has been configured to support negotiation to [h2] via ALPNCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.4. 使用 curl 命令验证是否启用了 HTTP/2
您可以使用 curl 命令行工具来验证是否启用了 HTTP/2。
先决条件
- 您已为 连接器启用了 HTTP/2。
您使用的是支持 HTTP/2 的
curl版本。要检查您是否使用支持 HTTP/2 的
curl版本,请输入以下命令:curl -V
$ curl -VCopy to Clipboard Copied! Toggle word wrap Toggle overflow 这个命令会产生以下类型的输出:
curl 7.55.1 (x86_64-redhat-linux-gnu) ... Release-Date: 2017-08-14 Protocols: dict file ftp ftps gopher http https ... Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP HTTP2 UnixSockets HTTPS-proxy Metalink PSL
curl 7.55.1 (x86_64-redhat-linux-gnu) ... Release-Date: 2017-08-14 Protocols: dict file ftp ftps gopher http https ... Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP HTTP2 UnixSockets HTTPS-proxy Metalink PSLCopy to Clipboard Copied! Toggle word wrap Toggle overflow
步骤
要检查 HTTP/2 协议是否活跃,请输入以下命令:
curl -I http://<JBoss_Web_Server>:8080/
$ curl -I http://<JBoss_Web_Server>:8080/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意在前面的示例中,将 < ;JBoss_Web_Server > 替换为修改后的连接器的 URI,如
example.com。端口号取决于您的配置。
验证
如果 HTTP/2 协议处于活跃状态,则
curl命令会生成以下输出:HTTP/2 200
HTTP/2 200Copy to Clipboard Copied! Toggle word wrap Toggle overflow 否则,如果 HTTP/2 协议不活跃,则
curl命令会生成以下输出:HTTP/1.1 200
HTTP/1.1 200Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第 7 章 将密码库与 Red Hat JBoss Web Server 一起使用
名为 tomcat-vault 的 JBoss Web Server 密码 vault 是 Apache Tomcat 的 PicketLink 库扩展。您可以使用密码库来屏蔽密码和其他敏感字符串,并将敏感信息存储在加密的 Java 密钥存储中。当使用密码库时,您可以停止在 Tomcat 配置文件中存储明文密码。Tomcat 可以使用密码库从密钥存储搜索密码和其他敏感字符串。
有关将 CRYPT 功能与密码 vault 搭配使用的更多信息,请参阅使用 CRYPT。
Federal Information Processing Standard (FIPS) 140-2 不支持 tomcat-vault 提供的基于密码的加密。如果要在 JBoss Web Server 主机上使用基于密码的加密,您必须确保禁用 FIPS。如果您在启用 FIPS 模式时尝试使用 tomcat-vault,则会显示以下出错信息: 安全 Vault 无法在 FIPS 模式下使用
7.1. 从存档文件安装密码库
当您从存档文件安装 JBoss Web Server 时,当您安装 jws-5.8.0-application-server.zip 文件时,会自动安装密码库。密码库位于 JWS_HOME/tomcat/lib/tomcat-vault.jar 文件中。
7.2. 使用 YUM 软件包管理器在 RHEL 上安装密码库
当您从 RPM 软件包在 Red Hat Enterprise Linux 上安装 JBoss Web Server 时,您可以使用 YUM 软件包管理器安装密码 vault。
流程
以 root 用户身份输入以下命令:
yum install jws5-tomcat-vault
yum install jws5-tomcat-vaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.3. 在 JBoss Web 服务器中启用密码库
您可以通过在 catalina.properties 文件中添加配置属性来启用密码库。
先决条件
- 您已从 存档文件 或使用 YUM 软件包管理器 安装了密码库。
步骤
- 如果已经在运行,则停止 Tomcat。
-
打开
JWS_HOME/tomcat/conf/catalina.properties文件。 在
catalina.properties文件中,输入以下行:org.apache.tomcat.util.digester.PROPERTY_SOURCE=org.apache.tomcat.vault.util.PropertySourceVault
org.apache.tomcat.util.digester.PROPERTY_SOURCE=org.apache.tomcat.vault.util.PropertySourceVaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意在前面的示例中,将
JWS_HOME替换为 JBoss Web 服务器安装的路径。本例中显示的路径对目录分隔符使用正斜杠(/)。
7.4. 在 JBoss Web 服务器中创建 Java 密钥存储
在使用密码库之前,您必须首先使用 keytool -genseckey 命令创建 Java 密钥存储。
步骤
使用以下命令:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意在前面的示例中,将参数设置替换为适合您的环境的值。
有关每个参数的更多信息,请使用
keytool -genseckey -help命令。
密码库目前不支持 PKCS12 密钥存储类型。密码库仅支持 JCEKS 密钥存储类型。
根据您使用的密钥存储算法,您必须指定以下 keysize 值之一:
-
如果使用 AES,请指定
-keysize 128。 -
如果您使用 DES,请指定
-keysize 56。 -
如果您使用 DESede,请指定
-keysize 168。
7.5. Apache Tomcat 的密码库初始化
您可以使用 tomcat-vault.sh 脚本初始化 Apache Tomcat 的密码库。tomcat-vault.sh 脚本支持以下机制来初始化密码 vault:
根据您安装密码库的方式,tomcat-vault 脚本的位置会有所不同:
-
如果您从存档文件安装了密码库,
tomcat-vault.sh脚本位于JWS_HOME/tomcat/bin目录中。 -
如果您使用 YUM 软件包管理器安装密码库,
tomcat-vault.sh脚本位于/opt/rh/jws5/root/usr/bin目录中。
7.5.1. 以互动方式初始化 Apache Tomcat 的密码库
您可以以交互方式初始化 Tomcat 的密码库。在这种情况下,tomcat-vault.sh 脚本会在脚本运行时输入值。
流程
进入包含
tomcat-vault.sh脚本的目录:-
如果您从存档文件安装了密码库,请转至
JWS_HOME/tomcat/bin目录。 -
如果您从 RPM 软件包安装了密码库,请转至
/opt/rh/jws5/root/usr/bin目录。
-
如果您从存档文件安装了密码库,请转至
运行
tomcat-vault.sh脚本:./tomcat-vault.sh
$ ./tomcat-vault.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 按照屏幕提示进行操作。
例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在前面的示例中,将指定的设置替换为适合您的环境的值。
- 请注意 Tomcat 属性文件的输出。在将 Tomcat 配置为使用密码 vault 时,您需要此信息。
7.5.2. 使用非交互式设置初始化 Apache Tomcat 的密码库
您可以使用非交互式设置初始化 Tomcat 的密码库。在这种情况下,您必须在运行脚本时将所需的输入作为 tomcat-vault.sh 脚本的参数提供。
流程
进入包含
tomcat-vault.sh脚本的目录:-
如果您从存档文件安装了密码库,请转至
JWS_HOME/tomcat/bin目录。 -
如果您从 RPM 软件包安装了密码库,请转至
/opt/rh/jws5/root/usr/bin目录。
-
如果您从存档文件安装了密码库,请转至
运行
tomcat-vault.sh脚本并提供所需的参数:例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在前面的示例中,将指定的设置替换为适合您的环境的值。
当您指定 -g, --generate-config 选项时,tomcat-vault.sh 脚本还会创建一个包含指定属性的 vault.properties 文件。
7.6. 将 Tomcat 配置为使用密码库
您可以通过更新 vault.properties 文件中的配置设置,将 Apache Tomcat 配置为使用密码 vault。
先决条件
- 您已 初始化 Tomcat 的密码库。
步骤
-
进入
JWS_HOME/tomcat/conf/目录。 -
创建名为
vault.properties的文件。 在
vault.properties文件中,输入您在初始化 Tomcat 密码 vault 时指定的 vault 配置属性。例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
前面的示例基于 以互动方式为 Apache Tomcat 初始化密码 vault 中的示例 vault 设置。
对于 KEYSTORE_PASSWORD 设置,请确保使用初始化密码 vault 时生成的已屏蔽值。
7.7. 外部密码库配置
您可以在 JWS_HOME/tomcat/conf/ 目录外存储密码 vault 的 vault.properties 文件。如果您已经设置了 CATALINA_BASE/conf/ 目录,您可以将 vault.properties 文件存储在 CATALINA_BASE/conf/ 目录中。
有关设置 CATALINA_BASE 目录的更多信息,请参阅 在 Apache Tomcat 网站上 运行 Apache Tomcat 9.0 Servlet/JSP Container 中的 "Advanced Configuration - Multiple Tomcat 实例"部分。
CATALINA_BASE 的默认位置是 JWS_HOME/tomcat/。这也被称为 CATALINA_HOME 目录。
其它资源
- Apache Tomcat 9:简介 - 目录和文件
- 运行 Apache Tomcat 9.0 Servlet/JSP Container: "高级配置 - Multiple Tomcat 实例"
7.8. 在密码库中存储敏感字符串
您可以使用 tomcat-vault.sh 脚本将敏感字符串存储在密码库中。您可以以互动方式或非互动模式运行 tomcat-vault.sh 脚本。
将敏感字符串添加到密码 vault 时,您必须为字符串指定一个名称。在这种情况下,字符串的名称称为 属性名称,字符串本身则称为 安全属性。
流程
进入包含
tomcat-vault.sh脚本的目录:-
如果您从存档文件安装了密码库,请转至
JWS_HOME/tomcat/bin目录。 -
如果您从 RPM 软件包安装了密码库,请转至
/opt/rh/jws5/root/usr/bin目录。
-
如果您从存档文件安装了密码库,请转至
要在非互动模式下使用
tomcat-vault.sh脚本,请输入以下命令:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
前面的示例基于 以互动方式为 Apache Tomcat 初始化密码 vault 中的示例 vault 设置。前面的示例存储敏感字符串 P@SSW0#D,其属性 name manager_password。
运行 tomcat-vault.sh 脚本时,您可以选择指定一个 vault 块来存储密码。如果没有指定块,tomcat-vault.sh 脚本会自动创建一个块。前面的示例指定名为 my_block 的 vault 块。
7.9. 在 Tomcat 配置中使用存储的敏感字符串
当您在密码 vault 中存储敏感字符串时,您可以引用属性名称,而不是在配置文件中指定实际字符串。通过将安全字符串替换为字符串的属性名称,您可以确保 Tomcat 配置文件只包含对密码的引用。在这种情况下,实际密码仅存储在密码库中。
步骤
- 打开包含敏感字符串的 Tomcat 配置文件。
将敏感字符串替换为字符串的属性名称,并确保以以下格式输入属性名称
:${VAULT::block_name:: attribute_name ::attribute_name::}例如:
考虑安全字符串
P@SSW0#D的以下示例文件条目:<user username="manager" password=*"P@SSW0#D"* roles="manager-gui"/>
<user username="manager" password=*"P@SSW0#D"* roles="manager-gui"/>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果安全字符串
P@SSW0#D,具有属性 namemanager_password,将安全字符串替换为以下值:<user username="manager" password=*"${VAULT::my_block::manager_password::}"* roles="manager-gui"/><user username="manager" password=*"${VAULT::my_block::manager_password::}"* roles="manager-gui"/>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
前面的示例设置基于 密码 vault 中敏感字符串 中的示例设置。前面的示例将敏感字符串 P@SSW0#D 替换为属性 manager_password,它位于名为 my_block 的块。
第 8 章 配置 SSI 过滤器
您可以为 JBoss Web Server 配置基于过滤器的 Server Side Includes (SSI)支持,以便在现有的 HTML 页面中启用动态内容生成。
如果您尝试像之前版本一样配置 SSI 过滤器,SSI 指令不起作用。
步骤
-
打开
conf/web.xml文件。 在
web.xml文件中取消注释以下块:<mime-mapping> <extension>shtml</extension> <mime-type>text/x-server-parsed-html</mime-type> </mime-mapping><mime-mapping> <extension>shtml</extension> <mime-type>text/x-server-parsed-html</mime-type> </mime-mapping>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第 9 章 为 Red Hat JBoss Web 服务器配置 FIPS
当在 Red Hat Enterprise Linux 8 主机上安装 JBoss Web Server 时,您可以将 JBoss Web 服务器配置为符合联邦信息处理标准(FIPS)。当您在 Red Hat Enterprise Linux 主机上启用 FIPS 时,这允许 JBoss Web 服务器自动以 FIPS 模式操作。
FIPS 不支持由 JBoss Web Server 的 tomcat-vault 组件提供的基于密码的加密功能。如果要在 JBoss Web Server 主机上使用基于密码的加密,您必须确保禁用 FIPS。有关基于密码的加密和 tomcat-vault 的更多信息,请参阅 Red Hat JBoss Web Server 的 Vault。
9.1. FIPS 简介
联邦信息处理标准(FIPS)提供了改进跨计算机系统和网络的安全与互操作性的指南和要求。FIPS 140-2 和 140-3 系列适用于硬件和软件级别的加密模块。美国国家标准与技术研究院使用可搜索处理和批准的加密模块列表实施 加密模块验证计划。
Red Hat Enterprise Linux 提供了一个集成框架,来在系统范围的基础上启用 FIPS 140-2 合规性。当在 FIPS 模式下运行时,使用加密库的软件包会根据全局策略自行配置。
9.2. 在 RHEL 8 中为 JBoss Web 服务器配置 FIPS
您可以在系统安装过程中在 Red Hat Enterprise Linux 8 主机上启用 FIPS 合规性。另外,您可以在完成系统安装后将系统切换到 FIPS 模式。
步骤
要启用 FIPS 模式,请完成以下步骤之一:
- 如果要在系统安装过程中启用 FIPS,请按照 安全强化中的说明:安装启用了 FIPS 模式的系统。
- 如果要在系统安装后切换到 FIPS 模式,请按照 安全强化中的说明:将系统切换到 FIPS 模式。
验证
使用以下命令:
fips-mode-setup --check
fips-mode-setup --checkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果启用了 FIPS,这会输出以下输出:
FIPS mode is enabled.
FIPS mode is enabled.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
附录 A. Java IPv4 和 IPv6 属性
您可以使用 Java 属性来配置 IPv4 和 IPv6 地址。然后,您可以将这些属性导出到 Tomcat,并使用地址值来指定 Tomcat 绑定。
A.1. Java IPv4 和 IPv6 属性概述
Java 提供了两个属性,可用于配置 IPv4 和 IPv6 地址:
- java.net.preferIPv4Stack (default: false)
-
如果 IPv6 可用,则底层原生套接字默认为 IPv6 套接字。此套接字可让应用程序连接并接受来自 IPv4 和 IPv6 主机的连接。如果应用程序只使用 IPv4 套接字,请将此属性设置为
true。但是,使用 IPv4 套接字的应用程序只能与 IPv6 主机通信。 - java.net.preferIPv6Addresses (default: false)
-
如果主机同时具有 IPv4 和 IPv6 地址,并且 IPv6 可用,则默认行为是在 IPv6 上使用 IPv4 地址。这允许向后兼容。如果应用程序依赖于 IPv4 地址表示法,如 192.168.1.1,请将此属性设置为
true以更改首选项,并尽可能使用 IPv4 上的 IPv6 地址。
A.2. 将 Java IPv4 和 IPv6 属性导出到 Tomcat
您可以通过在 JWS_HOME/tomcat/bin/setenv prerequisites 文件中设置 CATALINA_OPTS,将 Java IPv4 和 IPv6 属性导出到 Tomcat。在 Red Hat Enterprise Linux 上,setenv 文件有一个 .sh 扩展。在 Microsoft Windows 上,setenv 文件有一个 .bat 扩展。
步骤
如果
JWS_HOME/tomcat/bin/setenvposix 文件不存在,请创建该文件。注意如果您使用 Red Hat Enterprise Linux,请创建一个
setenv.sh文件。如果您使用 Microsoft Windows,请创建一个setenv.bat文件。要将 Java IPv4 和 IPv6 属性导出到 Tomcat,请执行以下步骤之一:
如果使用 Red Hat Enterprise Linux,请输入以下命令:
export "CATALINA_OPTS=-Djava.net.preferIPv4Stack=YOUR_VALUE -Djava.net.preferIPv6Addresses=YOUR_VALUE"
export "CATALINA_OPTS=-Djava.net.preferIPv4Stack=YOUR_VALUE -Djava.net.preferIPv6Addresses=YOUR_VALUE"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果使用 Microsoft Windows,请输入以下命令:
set "CATALINA_OPTS=-Djava.net.preferIPv4Stack=YOUR_VALUE -Djava.net.preferIPv6Addresses=YOUR_VALUE"
set "CATALINA_OPTS=-Djava.net.preferIPv4Stack=YOUR_VALUE -Djava.net.preferIPv6Addresses=YOUR_VALUE"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
A.3. 配置 Tomcat 绑定
您可以通过指定 IPv6 地址,在 JWS_HOME/tomcat/conf/server.xml 文件中配置 Tomcat 绑定。
步骤
-
打开
JWS_HOME/tomcat/conf/server.xml文件。 要指定 Tomcat 绑定地址,请输入以下详情:
<Server ... address="TOMCAT_BINDING_ADDRESS">
<Server ... address="TOMCAT_BINDING_ADDRESS">Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要指定 HTTP 连接器地址,请输入以下详情:
<Connector protocol="HTTP/1.1" ... address="HTTP_CONNECTOR_ADDRESS">
<Connector protocol="HTTP/1.1" ... address="HTTP_CONNECTOR_ADDRESS">Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要指定 AJP 连接器地址,请输入以下详情:
<Connector protocol="AJP/1.3" ... address="AJP_CONNECTOR_ADDRESS">
<Connector protocol="AJP/1.3" ... address="AJP_CONNECTOR_ADDRESS">Copy to Clipboard Copied! Toggle word wrap Toggle overflow
确保您将 TOMCAT_BINDING_ADDRESS、HTTP_CONNECTOR_ADDRESS 和 AJP_CONNECTOR_ADDRESS 替换为正确的 IPv6 地址。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}