WebLogic Server认证深入理解

Posted on 2011年03月19日 by 牛秀元

Principal与Subject

Principal是用户或组认证通过后赋予的标识。Principal就象是信用卡，当一个用户通过了发卡机构的认证后就发给他一张卡，表明其身份。那么同一个用户可能会办多张卡，所以一个用户就可能会有多个Principal，这就需要一个容器，这就是Subject，所以Subject更象是一个装着各种卡片的钱包。如下图：

从上图我们可以看出，用户除了本身标识以外，用户还可以属于不同的用户组，也可能归属其它类型，所以用户在完成JAAS认证登录后可能会得到几个不同的Principals，然后统统将其放入Subject中。

LoginModule

LoginModule是Authentication Provider的核心组件，也就是说真正的认证动作就是由它完成。Authentication Provider与loginModule只能是一对一的关系。对于不同的认证方式（例如：用户名/密码、证书、指纹、全程认证等）需要不同的Authentication Provider，这也意味着不同的LoginModule。如果一个安全域（Security Realm）中配置了多个Authentication Provider，那么每个Authentication Provider的LoginModule认证生成的Principals会被放入同一个Subject。另外，如果一个安全域（Security Realm）中配置了多个Authentication Provider时，这些Authentication Provider也可以指定协作关系，这由Control Flag来控制。

Principal Validation Provider

Principal Validation Provider是Authenticator Provider的helper，其主要功能是防止对Principal的恶意篡改。通常来说，每种Principal对应一种Principal Validation。Principal Validation过程：

当用户完成认证过程后，将装有Principals的Subject提交给Principal Validation Provider，由其为Principals签名，然后将Subject返回给客户，当其它安全操作需要访问Subject中的Principal时，由Principal Validation Provider检查Principal是否被恶意篡改。

完整基于WebLogic安全框架的JAAS认证过程

注：这里以相对复杂的T3应用客户端为例，基于Web的认证相对简单，其原理类似。

1. T3应用向用户或系统请求认证相关信息，如：用户名、密码、URL。

2. T3应用创建CallbackHandler包含用户认证相关信息

a. T3应用通过LoginContext将CallbackHandler传递到本地UsernamePasswordLoginModule
b. UsernamePasswordLoginModule将包含认证信息的CallbackHandler传递给WebLogic Server RMI容器

3. WebLogic Server RMI容器调用WebLogic Serve安全框架。客户端传来的包含用户认证相关信息的CallbackHandler传入WebLogic Serve安全框架。

4. WebLogic Serve安全框架为每个已配置的Authentication Provider传入新创建的包含用户认证相关信息的本地CallbackHandler，注意：此CallbackHandler不同于T3应用传入的CallbackHandler。

5. WebLogic Serve安全框架调用与Authentication Provider关联的LoginModule完成用户认证

6. 如果认证通过

Principals被Principal Validation Provider签名
LoginModule将签过名的Principals放入Subject
WebLogic Serve安全框架向T3应用返回认证状态，T3应用从WebLogic Serve安全框架取回认证过的Subject。

Identity Assertion Provider与全程认证（Perimeter Authentication）

上述讲基于Authentication Provider的认证过程中是用户或系统提供认证相关信息，例如：用户名、密码等。但是在真实的安全环境中，还有一种情况就是全程认证，也就是说用户已经在别处完成认证（例如：第三方SSO认证服务器、或证书），当用户请求到达WebLogic Server时，请求头中会带有安全令牌，要实现对安全令牌的解析就需要另一种认证提供程序，即：Identity Assertion Provider。认证过程如下：

带有令牌的用户请求先被Identity Assertion Provider截获，由其解析出相应的认证信息，例如：用户名。用户名通过JAAS的CallbackHandler传递到LoginModule完成认证过程，后面就和Authentication Provider认证过程一样了，此处不复述。这里需要注意的就是与Authentication Provider一样，每个Identity Asertion Provider只与一个LoginModule配对使用。

（完）

WebCenter Process Portal Portlet

Posted on 2011年03月16日 by 牛秀元

今天同事问我，如果已经创建了一个Space，然后再配置WebCenter Process Portal，那么在这个Space中是否可以使用WebCenter Process Portal中的Portlet？经过测试答案如下，答案是：不可以。那反过来，是否可以在WebCenter Process Portal的两个Space中使用自带的那些通用Portlet？答案是：可以。那么最佳的使用方案是什么呢？建议为WebCenter先配置WebCenter Process Portal，然后在创建Space时选择相对应的模板，这样就可以使用WebCenter Process Portal中的Portlet与通用Portlet了。模板选择如下：

那么WebCenter Process Portal为我们带来哪些Portlet呢？

点击Default，就可以看到通用的Portlets，如下图：

如果点击：Process Instances Resources，如下图：

如果点击：Process Modeling Resources，如下图：

如果点击：Process Workspace Resources，如下图：

（完）

通过Xen理解Oracle VM原理

Posted on 2010年08月10日 by 牛秀元

讲到Oracle VM就不能不谈到Xen。正如VMWare是全虚拟化技术实现的精典代表一样，Xen则是半虚拟化技术实现中的杰出代表。而Xen的经典案例则是我们耳熟能详的Amazon EC2，当今最大规模的基于Xen的公有云实现。Oracle VM正是基于Xen技术实现，因此，很好的理解Xen的工作原理也就可以帮助我们更好的理解Oracle VM。

Xen架构说明

简单来讲，Xen架构中主要包括四个部分：Dom0、DomU、DomU HVM、Xen Kernel。他们之间的工作原理是：

Dom 0，也就是被修改过的Linux首先启动，然后将控制权交由自带的Xen Kernel，即：Hypervisor。此后，Xen Kernel将会运行在Ring 0，Dom 0将会运行于Ring 1，其它的Dom U（也就是虚拟机）将会运行在Ring 2。Xen Kernel将会接管大多数的虚拟化工作，例如：VCPU调度、内存管理、消息传递等。

注：这里的HVM是硬件全虚拟化，因为Xen要修改其上虚拟机的操作系统，如果操作系统是开源还好说，但如果是Windows这样闭源的系统就难办了，这时，就需要使用硬件芯片支持全虚拟化方式。

Oracle VM Hypervisor架构

从图中我们可以看出，Oracle VM Server与Xen架构非常相似，这里的工作原理就不必复述了，唯一不同的是，Dom 0中被加入了Oracle VM Agent。我们知道，Oracle VM作为一款企业级软件产品，不光光需要考虑产品功能，还要考虑到产品的管理、维护与系统扩展。Oracle VM Manager正是解决这方面的需求，如果说Oracle VM Manager是总司令，Oracle VM Server是大将的话，那么Oracle VM Agent则是他们之间的传令兵。当然，一个总司令不可能只管一个大将，一样道理，一个Oracle VM Manager可以管理很多Oracle VM Server。

Oracle VM Agent架构

Oracle VM Agent被安装在每台Oracle VM Server。Oracle VM Manager通过Oracle VM Agent管理云行于Oracle VM Server上的虚拟机。Oracle VM Server可以承担三种不同的服务器职责：Server Pool Master、Utitility Server、Virtual Machine Server。同样，Oracle VM Agent也有三种实现，并且其数量与Oracle VM Server服务器担当的职责角色相对应。例如：如果一台Oracle VM Server担当三种服务器职责，那么这台Oracle VM Server上就会有三个Oracle VM Agent。

Oracle VM架构

当我们部署Oracle VM时，将会引入以下组件：

Oracle VM Manager Host：就是用来安装Oracle VM Manager软件的主机。一般来说Oracle VM Manger会安装一个数据库Oracle Database Express（或使用现有Oracle数据库）来存储配置与管理信息，还会安装一个基于OC4J的应用服务器，提供基于Web的管理控制台。用户可以通过浏览器对企业中的虚拟服务器或其它设备发送指令。Oracle VM Manger还会提供用于管理了Web Service。
Server Pool：一个服务器池包含一个或多个物理服务器，这些使用服务器共享一个存储库。
Servers：一个Oracle VM Server一旦被划分到一个服务器池，就可以被赋予1到3个服务器功能，分别为：Server Pool Master功能、Utility Server功能及Virtual Machine Server功能。当然每种服务器功能对应一个Oracle VM Agent接口，也就是说如果一个Oracle VM Server被赋予三个服务器功能，则会有三个Oracle VM Agent被激活。
- Server Pool Master：同一时刻，一个服务器池只能有一个Oracle VM Server被赋予Server Pool Master，此服务器可以被看作是Server Pool与外界的通道，它也是Server Pool的资源协调人，例如：当实现负载均衡需要启动一个虚拟机时，Server Pool Master将找到此服务器池中具备最大可用资源的虚拟机启动。当然，如果Server Pool Master出现故障，将自动将控制权交由服务器池中其它Oracle VM Server。
- Utility Server：主要负责IO密集形操作，例如：复制、删除、移动文件。最常用的例子是虚拟机的创建与销毁。
- Virtual Machine Server：可以被看作是虚拟机容器。一个Server Pool中可以有一个或多个Virtual Machine Server。
存储：主要指用于存放虚拟机、外部资源及其它数据的共享或非共享存储空间，此空间被单一服务器池中的所有服务器所共享。

一个Oracle VM Manager可以管理1到n个Server Pool，每个Server Pool共享一块共享存储。每个Server Pool可以管理1到n个Oracle VM Server，这些Oracle VM Server可以分布在多台物理服务器。我们可以根据物理硬件的实际情况为Oracle VM Server分配不同的职责。例如：

Server Pool1：只配一台Oracle VM Server，同时将Server Pool Master、Utitility Server与Virtual Machine Server都赋予这台Oracle VM Server。
Server Pool2：将一台Oracle VM Server用于Server Pool Master、Utitility Server，然后用多台Oracle VM Server作为Virtual Machine Server。这样就将Server Pool的管理与IO处理等负载从用于运行VM的Oracle VM Server中移除。
Server Pool3：这种配置方式让所有Oracle VM Server各负其职。

（完）

Oracle融合中间件研究

专注于Oracle融合中间件产品及方案

Tag Archives: concept

WebCenter Process Portal Portlet

通过Xen理解Oracle VM原理