- Tomcat Manager概述
- 配置 Manager 应用访问
- Managet易用的HTML 界面
- Manager 支持的命令
- 常见参数
- 部署应用
- 部署目录或 WAR 文件
- 配置 .xml 文件进行部署
- 部署注意事项
- 部署响应
- 已部署的应用
- 重新加载现有应用
- 列出 OS 及 JVM 属性
- 列出可能的全局 JNDI 资源
- 会话统计
- 过期会话
- 开启现有应用
- 停止已有应用
- 取消对现有应用的部署
- 寻找内存泄露
- 连接器 SSL/TLS 诊断
- 线程转储
- 虚拟机(VM)相关信息
- 保存配置信息
- 服务器状态
- 使用 JMX 代理 Servlet
- 利用 Ant 执行 Manager 的命令
- 任务输出捕获
- Realm 配置
- 标准 Realm 实现
- DataSourceRealm
- JNDIRealm
- UserDatabaseRealm
- MemoryRealm
- JAASRealm
- CombinedRealm
- LockOutRealm
- Tomcat监控与管理
- JMXAccessorOpenTask - JMX 打开连接任务
- JMXAccessorGetTask: 获取属性值的 Ant 任务
- JMXAccessorSetTask:设定属性值的 Ant 任务
- JMXAccessorInvokeTask: 调用 MBean 操作的 Ant 任务
- JMXAccessorQueryTask: 查询 MBean 的 Ant 任务
- JMXAccessorCreateTask: 远程创建 MBean 的 Ant 任务
- JMXAccessorUnregisterTask: 远程注销 MBean Ant 任务
- JMXAccessorCondition: 表达条件
- JMXAccessorEqualsCondition: MBean Ant 条件对等
- 使用 JMXProxyServlet
配置 Manager 应用访问
下文的描述将使用变量名 $CATALINA_BASE 来指代工作目录。如果你还没有为多个 Tomcat 实例设置 CATALINA_BASE 目录,那么 $CATALINA_BASE 就将被设置为 $CATALINA_HOME(Tomcat 的安装目录)的值。
Tomcat 以默认值运行是非常危险的,因为这能让互联网上的任何人都可以在你的服务器上执行 Manager 应用。因此,Manager 应用要求任何用户在使用前必须验证自己的身份,提供自己的用户名和密码,以及相应配置的 manager-** 角色(角色名称根据所需的功能而定)。
另外,默认用户文件($CATALINA_BASE/conf/tomcat-users.xml)中的用户名称都没有指定角色名称,所以默认是不能访问 Manager 应用的。
这些角色名称位于 Manager 应用的 web.xml 文件中。可用的角色包括:
- manager-gui 能够访问 HTML 界面。
- manager-status 只能访问“服务器状态”(Server Status)页面。
- manager-script 能够访问文档中描述的适用于工具的纯文本界面,以及“服务器状态”页面。
- manager-jmx 能够访问 JMX 代理界面以及“服务器状态”(Server Status)页面。
HTML 界面不会遭受 CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,但纯文本界面及 JMX 界面却有可能无法幸免。
这意味着,如果用户能够访问纯文本界面及 JMX 界面,那么在利用 Web 浏览器去访问 Manager 应用时,必须要万分谨慎。要想保持对 CSRF 免疫,则必须:
- 在使用 Web 浏览器访问 Manager 应用时,假如用户具有 manager-script 或 manager-jmx 角色(比如为了测试纯文本界面或 JMX 界面),那么必须关闭所有的浏览器窗口,终止会话。如果不关闭浏览器,访问了其他站点,就可能会遭受 CSRF 攻击。
- 建议永远不要将 manager-script 或 manager-jmx 角色授予那些拥有 manager-gui 角色的用户。
注意 JMX 代理界面是 Tomcat 中非常高效的底层、类似于根级别的管理界面。如果用户知道了该调用的命令,就能实现大量行为,所以一定不要轻易授予用户 manager-jmx 角色。
为了能够访问 Manager 应用,必须创建一个新的用户名/密码组合,并为之授予一种 manager-** 角色,或者把一种 manager-** 角色授予现有的用户名/密码组合。因为本文档的大部分内容都在描述纯文本界面的命令,所以为了将来讨论实例方便起见,把角色名称定为 manager-script。而涉及到具体如何配置用户名及密码,则是跟你所使用的Realm 实现有关:
- UserDatabaseRealm 加上 MemoryUserDatabase 或 MemoryRealm——UserDatabaseRealm 和 MemoryUserDatabase 配置在默认的 $CATALINA_BASE/conf/server.xml 文件中。
- MemoryUserDatabase 和 MemoryRealm 都会读取储存在 CATALINA_BASE/conf/tomcat-users.xml 里的 XML 格式文件,它可以用任何文本编辑器进行编辑。该文件会为每个用户定义一个 XML 格式的 <user> ,如下所示:
<user username="craigmcc" password="secret" roles="standard,manager-script" /> -
它定义了用户登录时所用的用户名和密码,以及他或她采用的角色名称。你可以把 manager-script 角色添加到由逗号分隔的 roles 属性中,从而将该角色赋予一个或多个用户,也可以利用指定角色来创建新的用户。
- DataSourceRealm 或 JDBCRealm——用户和角色信息都存储在一个经由 JDBC 访问的数据库中。按照当前环境的标准流程,将 manager-script 角色赋予一个或多个用户,或者利用该角色创建一个或多个新用户。
- JNDIRealm——你的用户和角色信息被存储在经由 LDAP 访问的一个目录服务器中。按照当前环境的标准流程,为一个或更多的现有用户添加 manager-script 角色,和(/或)利用指定角色创建一个或更多的新用户。
在下一节,当你第一次尝试使用 Manager 的一个命令时,将会使用基本验证进行登录。用户名和密码的具体内容并不重要,只要它们能够证明,用户数据库中拥有 manager-script 角色的用户是有效用户,我们的目的就达到了。
除了密码限制访问之外,Manager 还可以配置 RemoteAddrValve 和 RemoteHostValve 这两个参数,分别通过 远程 IP 地址 或远程主机名来进行限制访问。详情可查看 Valve 文档。下列范例是通过 IP 地址来限制访问本地主机:
<Context privileged="true">
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127\.0\.0\.1"/></Context>
