· 创建一个新的 DefaultAuthenticatorInit.ldift;运行 java weblogic.security.utils.AdminAccount
· 删除
· 使用新的用户身份重新启动服务器。
· 要修改旧的管理用户身份,需要登录到管理控制台。(可选)
SSL
当对WebLogic Server使用SSL时,请使用keystore;已经不再使用把身份(私钥和证书)和信任(CA)保存在文件里这种方法。从早期的版本进行迁移要求您使用私钥、证书或信任文件创建keystore。
如果连接域中WebLogic Server的网络不可信任,在域中的每台服务器上启用SSL,这样管理服务器和托管服务器之间的LDAP复制就可以使用SSL连接。在域中启用管理端口要求所有的服务器都使用SSL。
默认的WebLogic安装代表可输出强度的(exportable-strength) SSL实现(SSL最多可以使用带有批量加密的512位钥匙)。长于512位的钥匙需要BEA提供的内部强度的(domestic-strength)SSL许可证钥匙。如果您在您的生产环境中使用SSL,请使用高强度的(high-strength)SSL。通常认为长度小于1024位的钥匙是不可靠的。
SSL硬件加速器:在WebLogic Server上运行SSL会在很大程度上耗尽服务器的资源。通过卸载SSL处理,就可以把资源应用到WebLogic功能上。Web服务器、负载平衡器、防火墙或交换机都可以进行SSL处理。
在WebLogic Server中,过滤它们可以控制进入的连接。WebLogic Server提高一种默认的连接过滤器实现,您可以在管理控制台种对它进行配置。
技巧
· 在生产中,不要使用与WebLogic一起提供的示例SSL证书。
· 为了避免危及应用程序的安全性,安装并配置特定于服务器的SSL证书,然后在生产服务器上启用主机名验证。
· 只在必要时对WebLogic Server 使用SSL,因为SSL会降低性能。
· 要控制能够被WebLogic Server 实例接受的连接的类型,请使用连接过滤器。
· 使用带有内置安全套接字层(Secure Socket Layer,SSL)支持的负载平衡器,或者使用Java Cryptography Extension(JCE)在有SSL硬件的机器上运行WebLogic Server。
保护管理控制台
如果您使用管理服务器(或者在单台服务器的域中)为应用程序服务,请做到以下几点,以提供更好的安全性:
· 把默认的管理用户及密码修改为定制的用户及密码。
· 修改管理控制台上下文根路径。
· 启用域范围内的管理端口。
· 考虑禁用管理控制台。
如果您使用的是外部LDAP提供程序,把服务器启动身份存储在内嵌的LDAP服务器中,然后在外部LDAP身份认证提供程序上设置超时。这样,如果外部LDAP服务器不可用,您可以继续重新启动,向WebLogic Server提供未受保护的数据。此外,在您应用任何修改之前,把所有身份验证提供程序的控制标志设置为OPTIONAL;这可以防止配置错误导致生产服务器不能重新启动。
基于旧式的安全领域API,WebLogic Server提供一个定制的领域,叫做NTRralm,它可以支持本机的Windows域身份认证。对于没有被设定为使用Active Directory的Windows域来说, NTRealm相当有用。
技巧
· 在内嵌的LDAP服务器中存储服务器启动身份。
· 想要更加出色地控制生产环境,使用Active Directory 身份验证,而不要使用本机的Windows域(NTRealm)身份验证。
· 为了防止拒绝服务攻击,在服务器上修改进入协议端口(T3, COM, IIOP, HTTP Post 超时)的超时和最大大小的值。
· 让内部或外部的审核小组执行安全性审核。
群集
WebLogic群集是域中的一组托管服务器,以一种协同的方式为客户端提供单个服务器视图。使用WebLogic群集来提高效率、可伸缩性、负载平衡和故障恢复。WebLogic群集是一种流程级别的群集,参与其中的服务器可以位于不同的物理机器上,也可以位于同一台机器上。IP多播是在群集中交换心跳信号的枢纽。所以,确保在WebLogic Server网络中启用多播通信。
技巧
· 如果您使用了Web Server代理,那么至少配置两个,以避免群集的单点故障。
· 把WebLogic Server 上的应用程序移植给群集时,确保存储在HTTP会话中的对象能够序列化。
· 至少在每个群集中防止三个WebLogic Server 实例,这样一台服务器的故障就不会停止群集的负载平衡。
· 您不能给群集添加管理服务器。
· 对网络中的每个群集使用单独的多播地址。
· 运行在群集的服务器可以监听WebLogic Server 7.0的不同端口。
· 如果可以,使用单独的硬件 (NIC)来路由群集多播通信 ,具体方法是配置网络频道,把内部群集通信与外部客户端通信分离开来,这样可以获得更好的性能。
· 在一级群集(ex. war and EJB jar)中联合频繁被访问的应用程序,以避免网络信息流过大。
· 要启用Servlets和 JSP的自动故障恢复,使用复制技术。
· 内存中的复制比其他类型的复制要快。
· 使用内存中的复制时,要为群集中的服务器指定机器信息。
· 只有当您需要控制二次选择过程时,才需要定义复制组。
· 在所有可能的地方使用服务器相似性可以提高性能。
· 公开使用可用的DNS名称来标识WebLogic Server 实例,而不要使用启用防火墙的环境中的IP地址。
· 如果一个WebLogic群集跨越了多个站点,站点间的网络必须支持跨站点群集的多播通信。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
