userconfig与userkey理解与应用

Posted on 2011年03月26日 by 牛秀元

为什么需要userconfig与userkey？

举例来说：如果我们想让某人去执行编写一些WLST管理脚本，但又不想告诉对方管理员与用户名密码，如何实现呢？再比如，我们想写一些自动执行的WLST脚本，不想在执行过程中弹出题示框让用户输入用户名与密码，同时又不想把用户名与密码写死在脚本中，又如何实现？所有这些就需要用到userconfig与userkey，简单来说userconfig文件就代表用户名，而userkey文件则代表密码，当需要用户认证时，只要出示这两个文件即可。

如何生成userconfig与userkey？

1. 进入目录WL_HOME/common/bin

2. 执行wlst.cmd/sh

3. 连接到Admin Server

connect( username, password, url )

4. 执行命令生成userconfig与userkey文件

storeUserConfig(‘<userConfigFile>’, <userKeyFile>’)

例如：

storeUserConfig(‘C:/myFiles/myuserconfigfile.secure’, ‘C:/myFiles/myuserkeyfile.secure’)

这样，我们就得到了userconfig与userkey文件

如何使用userconfig与userkey？

userconfig与userkey一般是用在WLS脚本中，例如：

connect(userConfigFile=’C:/bea922/user_projects/domains/config-file’,userKeyFile=’C:/bea922/user_projects/domains/keyfile’,url=’t3://10.10.71.79:7001′)

或

nmConnect(userConfigFile=’C:/bea922/user_projects/domains/config-file’,userKeyFile=’C:/bea922/user_projects/domains/keyfile’, host=’10.10.71.79′, port=’5556′, domainName=’SAML_SOURCE’, domainDir=’C:/bea922/user_projects/domains/SAML_SOURCE’, nmType=’plain’)

如何通过userconfig与userkey文件反解析出用户名与密码？

样例Java代码：

import weblogic.security.UserConfigFileManager;
import weblogic.security.UsernameAndPassword;
public class SecureReader {
	public static void main( String[] args ) {
		UsernameAndPassword usernameAndPassword = UserConfigFileManager.getUsernameAndPassword( "d:/myuserconfigfile.secure", "d:/myuserkeyfile.secure", "weblogic.management" );
		String username = new String( usernameAndPassword.getUsername() );
		String password = new String( usernameAndPassword.getPassword() );
		System.out.println( "Username=" + username + ", Password=" + password );
	}
}

编译执行：

D:\>javac -classpath S:\fmw\wlserver_10.3\server\lib\weblogic.jar SecureReader.java
D:\>java -classpath S:\fmw\wlserver_10.3\server\lib\weblogic.jar;. SecureReader
Username=weblogic, Password=welcome1

（完）

WebLogic Server认证深入理解

Posted on 2011年03月19日 by 牛秀元

Principal与Subject

Principal是用户或组认证通过后赋予的标识。Principal就象是信用卡，当一个用户通过了发卡机构的认证后就发给他一张卡，表明其身份。那么同一个用户可能会办多张卡，所以一个用户就可能会有多个Principal，这就需要一个容器，这就是Subject，所以Subject更象是一个装着各种卡片的钱包。如下图：

从上图我们可以看出，用户除了本身标识以外，用户还可以属于不同的用户组，也可能归属其它类型，所以用户在完成JAAS认证登录后可能会得到几个不同的Principals，然后统统将其放入Subject中。

LoginModule

LoginModule是Authentication Provider的核心组件，也就是说真正的认证动作就是由它完成。Authentication Provider与loginModule只能是一对一的关系。对于不同的认证方式（例如：用户名/密码、证书、指纹、全程认证等）需要不同的Authentication Provider，这也意味着不同的LoginModule。如果一个安全域（Security Realm）中配置了多个Authentication Provider，那么每个Authentication Provider的LoginModule认证生成的Principals会被放入同一个Subject。另外，如果一个安全域（Security Realm）中配置了多个Authentication Provider时，这些Authentication Provider也可以指定协作关系，这由Control Flag来控制。

Principal Validation Provider

Principal Validation Provider是Authenticator Provider的helper，其主要功能是防止对Principal的恶意篡改。通常来说，每种Principal对应一种Principal Validation。Principal Validation过程：

当用户完成认证过程后，将装有Principals的Subject提交给Principal Validation Provider，由其为Principals签名，然后将Subject返回给客户，当其它安全操作需要访问Subject中的Principal时，由Principal Validation Provider检查Principal是否被恶意篡改。

完整基于WebLogic安全框架的JAAS认证过程

注：这里以相对复杂的T3应用客户端为例，基于Web的认证相对简单，其原理类似。

1. T3应用向用户或系统请求认证相关信息，如：用户名、密码、URL。

2. T3应用创建CallbackHandler包含用户认证相关信息

a. T3应用通过LoginContext将CallbackHandler传递到本地UsernamePasswordLoginModule
b. UsernamePasswordLoginModule将包含认证信息的CallbackHandler传递给WebLogic Server RMI容器

3. WebLogic Server RMI容器调用WebLogic Serve安全框架。客户端传来的包含用户认证相关信息的CallbackHandler传入WebLogic Serve安全框架。

4. WebLogic Serve安全框架为每个已配置的Authentication Provider传入新创建的包含用户认证相关信息的本地CallbackHandler，注意：此CallbackHandler不同于T3应用传入的CallbackHandler。

5. WebLogic Serve安全框架调用与Authentication Provider关联的LoginModule完成用户认证

6. 如果认证通过

Principals被Principal Validation Provider签名
LoginModule将签过名的Principals放入Subject
WebLogic Serve安全框架向T3应用返回认证状态，T3应用从WebLogic Serve安全框架取回认证过的Subject。

Identity Assertion Provider与全程认证（Perimeter Authentication）

上述讲基于Authentication Provider的认证过程中是用户或系统提供认证相关信息，例如：用户名、密码等。但是在真实的安全环境中，还有一种情况就是全程认证，也就是说用户已经在别处完成认证（例如：第三方SSO认证服务器、或证书），当用户请求到达WebLogic Server时，请求头中会带有安全令牌，要实现对安全令牌的解析就需要另一种认证提供程序，即：Identity Assertion Provider。认证过程如下：

带有令牌的用户请求先被Identity Assertion Provider截获，由其解析出相应的认证信息，例如：用户名。用户名通过JAAS的CallbackHandler传递到LoginModule完成认证过程，后面就和Authentication Provider认证过程一样了，此处不复述。这里需要注意的就是与Authentication Provider一样，每个Identity Asertion Provider只与一个LoginModule配对使用。

（完）

如何为UCM配置基于WLS Embedded LDAP认证

Posted on 2010年08月10日 by 牛秀元

1. 为WebLogic Embedded LDAP设置密码

进入WebLogic Server管理控制台，依次点击：[DOMAIN_NAME]->Security->Embedded LDAP，如图：

在Credential和Confirm Credential输入框内输入密码，例如：welcome1

重新启动WebLogic Server

2. 为UCM配置安全提供者

进入UCM管理控制台，例如：http://localhost:7777/idc（sysadmin/idc)

依次点击：Administrator->Providers，在Create a New Provider部分找到ldapuser，点击：Add

填写以下信息：

Source Path：$MW_HOME 对应的路径名
LDAP Server：WLS服务器地址，例如：localhost
LDAP Suffix：ou=people,ou=myrealm,dc=wc_domain（WLS域名）
LDAP Port：WLS监听端口，例如：7001
LDAP Attribute MAP：cn:dFullName,mail:dEmail,title:dUserType
LDAP Admin DN：cn=Admin
LDAP Admin Password：welcome1（步骤一中输入的密码）

样例：

重新启动UCM所有服务

3. 验证效果

在UCM管理控制台，依次点击：Administrator->Providers，查看新添加的安全提供程序的状态情况

使用weblogic/welcome1用户登录UCM（http://localhost/idc），应该能够成功登录！

（完）

Oracle融合中间件研究

专注于Oracle融合中间件产品及方案

Tag Archives: security