0

hawt.io のセキュリティについて質問があります。hawt.io を Web アプリケーションとしてインストールしました (現在は組み込みの突堤ですが、組み込み/通常モードで tomcat を使用するオプションもあります)。Hawt.io は、同じプロセスの JMX mbeans ツリーを視覚化します。リモート サーバーには接続せず、すべてローカルです。私がやりたいことは、使用する認証および承認メカニズムを提供するための最良の方法を見つけることです。

  • ユーザーの認証: できれば LDAP 経由で行う必要があります
  • ユーザー許可: 一部のユーザーはすべての mbean へのフル アクセスを取得できますが、他のユーザーは mbean 操作を実行せず、属性の読み取りのみに制限されます。

web フィルターをインストールできると思ったのですが、jetty では web.xml の外で実行してリクエストをチェックできますが、hawt.io は POST web メソッドを使用して内部の jolokia と通信するため、操作実行の識別子は内部にあります。 Java サーブレットではリクエストの本文を 1 回しか読み取れないため、実際には Web フィルタ内からアクセスすることはできません。「偽のリクエスト」を提供できることはわかっていますが、より良い解決策が存在する可能性があります。

おそらく、誰かがそのようなインストールの構成に関連する構成スニペットを提供できます。事前にどうもありがとう

4

1 に答える 1

0

役割ベースの承認の場合、ユーザーが特定の mbean/操作/属性にアクセスできるかどうかを前もって照会できます。このインターフェースを実装 すると、JMX のサーバー側認証と統合できる可能性があります。デフォルトでは、hawtio はすべてを通過させるダミーの実装を使用します。これはもともと、Apache Karaf 用に実装された JMX ガード機能と連携するように設計されたもので、同じ mbean を公開しますが、実際には ACL 構成を介してアクセスを制限します。いずれにせよ、クライアント側の JavaScript は、「type=security;area=jmx」をスキャンしてこの mbean を見つけるように設定されています。mbean でより高い「ランク」属性を設定するだけで、javascript はそれを使用します。

于 2015-05-22T12:26:55.813 に答える