| | |
|---|
| | | |
|---|
| | | Die Nutzerverwaltung wird per Deploy auf Tomcat installiert und kann anschließend von Benutzern mit der Rolle `nutzerAdmin` ausgeführt werden. Beim ersten Start wird die Benutzerdatenbank erstellt und darin ein Benutzer `admin`, mit dem neue Benutzer und Rollen angelegt werden können. |
|---|
| | | |
|---|
| | | Damit Tomcat die von der Nutzerverwaltung verwaltete Nutzerdatenbank verwendet, muss in der Datei `$CATALINA_BASE/conf/server.xml` folgende Änderung gemacht und Tomcat neu gestartet werden. |
|---|
| | | Damit Tomcat die von der Nutzerverwaltung verwaltete Nutzerdatenbank verwendet, müssen in der Datei `$CATALINA_BASE/conf/server.xml` folgende Änderung gemacht werden wie weiter unten beispielhaft im Detail beschrieben. |
|---|
| | | |
|---|
| | | 1. DataSource hinzufügen |
|---|
| | | 1. Realm umstellen |
|---|
| | | |
|---|
| | | Danach muss Tomcat neu gestartet werden. |
|---|
| | | |
|---|
| | | ### DataSource hinzufügen |
|---|
| | | |
|---|
| | | Zu Beginn der Datei `$CATALINA_BASE/conf/server.xml` wird die DataSource angegeben, die den Ablageort der Benutzerdatenbank angibt: |
|---|
| | | |
|---|
| | | ``` |
|---|
| | | <!-- Global JNDI resources |
|---|
| | | Documentation at /docs/jndi-resources-howto.html |
|---|
| | | --> |
|---|
| | | <GlobalNamingResources> |
|---|
| | | <!-- Editable user database that can also be used by |
|---|
| | | UserDatabaseRealm to authenticate users |
|---|
| | | --> |
|---|
| | | <Resource name="UserDatabase" auth="Container" |
|---|
| | | type="org.apache.catalina.UserDatabase" |
|---|
| | | description="User database that can be updated and saved" |
|---|
| | | factory="org.apache.catalina.users.MemoryUserDatabaseFactory" |
|---|
| | | pathname="conf/tomcat-users.xml" /> |
|---|
| | | |
|---|
| | | <Resource name="jdbc/NewUserDB" |
|---|
| | | auth="Container" |
|---|
| | | type="javax.sql.DataSource" |
|---|
| | | driverClassName="org.apache.derby.jdbc.ClientDriver" |
|---|
| | | url="jdbc:derby://localhost:1527/udb;create=true" |
|---|
| | | maxActive="60" |
|---|
| | | maxIdle="30" |
|---|
| | | maxWait="5000" |
|---|
| | | /> |
|---|
| | | </GlobalNamingResources> |
|---|
| | | ``` |
|---|
| | | |
|---|
| | | ### Realm umstellen |
|---|
| | | |
|---|
| | | Weiter unten in der Datei `$CATALINA_BASE/conf/server.xml` ist der Realm angegeben, der die Benutzerdaten für Authentifizierung und Autorisierung an Tomcat übergibt. |
|---|
| | | |
|---|
| | | vorher |
|---|
| | | |
|---|
| | |
|---|
| | | <Engine name="Catalina" defaultHost="localhost"> |
|---|
| | | |
|---|
| | | <Realm className="org.apache.catalina.realm.LockOutRealm"> |
|---|
| | | <Realm className="org.apache.catalina.realm.JDBCRealm" |
|---|
| | | driverName="org.apache.derby.jdbc.ClientDriver" |
|---|
| | | connectionURL="jdbc:derby://localhost:1528/udb;user=dbadmin;password=changeit" |
|---|
| | | userTable="app.users" userNameCol="user_name" userCredCol="user_pass" |
|---|
| | | userRoleTable="app.user_roles" roleNameCol="role_name" > |
|---|
| | | <Realm className="org.apache.catalina.realm.DataSourceRealm" |
|---|
| | | dataSourceName="jdbc/NewUserDB" |
|---|
| | | userTable="users" userNameCol="user_name" userCredCol="user_pass" |
|---|
| | | userRoleTable="user_roles" roleNameCol="role_name"> |
|---|
| | | <CredentialHandler className="org.apache.catalina.realm.MessageDigestCredentialHandler" algorithm="sha-256" /> |
|---|
| | | </Realm> |
|---|
| | | </Realm> |
|---|
| | | </Realm> |
|---|
| | | |
|---|
| | | <!-- weitere Einträge ... --> |
|---|
| | | ``` |
|---|
| | | ``` |
|---|
| | | |
|---|
| | | **Bitte beachten**: Ab Version 8.5 von Tomcat wurde die Verschlüsselung auf SHA-256 umgestellt. Dies muss dem JDBCRealm mit dem oben aufgeführten CredentialHandler vermittelt werden. |
|---|
| | | **Bitte beachten**: Ab Version 8.5 von Tomcat wurde die Verschlüsselung auf SHA-256 umgestellt. Dies muss dem Realm mit dem oben aufgeführten CredentialHandler vermittelt werden. |
|---|
| | | |
|---|
| | | ## Verschlüsselung von Kennworten |
|---|
| | | |
|---|
| | | Die Nutzerverwaltung legt Kennworte verschlüsselt in der Datenbank ab. Standardmäßig wird dafür die Klasse `RealmBase` von Tomcat verwendet. Damit innerhalb der Nutzerverwaltung auch andere Mechanismen verwendet werden können, wird die Schnittstelle `de.uhilger.um.Digester` verwendet. Die Klasse `de.uhilger.um.TomcatDigester` implementiert diese und setzt dort die zuvor erwähnte Klasse `RealmBase` von Tomcat ein. |
|---|
| | | Die Nutzerverwaltung legt Kennworte verschlüsselt in der Datenbank ab. Laut Dokumentation von Tomcat wird dafür die Klasse `RealmBase` verwendet. Damit innerhalb der Nutzerverwaltung auch andere Mechanismen verwendet werden können, wird die Schnittstelle `de.uhilger.um.Digester` verwendet. Die Klasse `de.uhilger.um.TomcatDigester` implementiert diese und setzte dort bislang die zuvor erwähnte Klasse `RealmBase` von Tomcat ein. |
|---|
| | | |
|---|
| | | Mit Tomcat 9 wurde die Methode [Digest()](http://tomcat.apache.org/tomcat-9.0-doc/realm-howto.html#Digested_Passwords) der Klasse RealmBase ohne Angabe von Gründen entfernt, obwohl diese Methode von der [Tomcat-Dokumentation](https://tomcat.apache.org/tomcat-9.0-doc/realm-howto.html#Digested_Passwords) auch in Verison 9 und 10 von Tomcat als diejenige zur dynamischen Erzeugung von verschlüsslten Kennworten beschrieben wird. In der Klasse `TomcatDigester` ist daher auf die Verwendung der Klasse `MessageDigestCredentialHandler` umgestellt worden. |
|---|
| | | |
|---|
| | | Im Deployment Descriptor `$UM/web/WEB-INF/web.xml` ist der Context Parameter `digester` hinterlegt und standardmäßig auf `de.uhilger.um.TomcatDigester` eingestellt. Soll eine andere Form der Verschlüsselung genutzt werden, kann dies mit einer eigenen Implementierung der Schnittstelle `de.uhilger.um.Digester` erreicht und entsprechend im Deployment Descriptor umkonfiguriert werden. |
|---|
