搜索

13.4. 在 Java 安全管理器下运行子系统

download PDF
Java 服务具有安全管理器的选项,它为应用程序定义了不安全的安全操作。安装子系统后,它们会自动启用安全管理器,即每个 Tomcat 实例从运行安全管理器开始。

13.4.1. 关于安全管理器策略文件

当五个 Java 子系统(CA、OCSP、KRA、TKS 和 TPS)在 Java Security Manager 中运行时,它们使用了两组策略的组合:
  • 来自 /usr/share/tomcat/conf 目录中的默认 Tomcat 策略中的 catalina.policy 文件 ; 每当更新常规 Tomcat 文件时更新。
  • /var/lib/pki/instance_name/subsystem_type/conf 目录中提供的 pki.policy 文件,它随子系统实例提供。
  • /var/lib/pki/instance_name/subsystem_type/conf 目录中有一个 custom.policy 文件,其中包含用户定义的安全策略。
每当 Tomcat 服务开始创建修订的 catalina.policy 文件时,这三个文件也会连接在一起,该文件也位于 /var/lib/pki/instance_name/subsystem_type/conf 目录中。
默认的 pki.policy 文件包含授予 PKI 子系统使用的 Tomcat、LDAP 和 symkey 服务对不受限制的访问权限的权限。例如:
   // These permissions apply to Tomcat java as utilized by PKI instances
	 grant codeBase "file:/usr/share/java/tomcat/-" {
       permission java.security.AllPermission;
   };
custom.policy 文件默认为空;管理员可以在文件中写入策略,除了给定的 PKI 策略和 Tomcat 策略外,还会使用该文件。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.