Truy cập ứng dụng Tomcat Manager từ máy chủ khác

Tôi đã cài đặt tomcat 9 trên một máy chủ từ xa và sau khi khởi động nó, nó hoạt động tốt, tôi có thể truy cập http: // host_name: port_num và xem trang chào tomcat. Nhưng khi tôi cố gắng mở ứng dụng trình quản lý để xem các ứng dụng đã triển khai của mình, tôi bị từ chối quyền truy cập 403, tôi đã thêm vai trò trong xml người dùng tomcat như sau:

<role rolename="manager"/>
<role rolename="manager-gui"/>
<role rolename="admin"/>
<user username="user" password="password" roles="admin,manager,manager-gui"/>

Các thông báo lỗi tôi đã thấy là:

Theo mặc định, Trình quản lý máy chủ lưu trữ chỉ có thể truy cập được từ trình duyệt chạy trên cùng một máy với Tomcat. Nếu bạn muốn sửa đổi hạn chế này, bạn cần phải chỉnh sửa tệp context.xml của Trình quản lý máy chủ.

Làm cách nào để thay đổi tệp context.xml và có quyền truy cập vào ứng dụng trình quản lý?

Mỗi ứng dụng web được triển khai có một context.xmltệp nằm trong

$CATALINA_BASE/conf/[enginename]/[hostname]

(conf/Catalina/localhost by default)

và có cùng tên với ứng dụng web ( manager.xmltrong trường hợp này). Nếu không có tệp nào, các giá trị mặc định được sử dụng.

Vì vậy, bạn cần tạo một tệp conf/Catalina/localhost/manager.xmlvà chỉ định quy tắc bạn muốn cho phép truy cập từ xa. Ví dụ: nội dung sau của manager.xmlsẽ cho phép truy cập từ tất cả các máy:

<Context privileged="true" antiResourceLocking="false" 
         docBase="${catalina.home}/webapps/manager">
    <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="^.*$" />
</Context>

Lưu ý rằng thuộc tính allow của Valvephần tử là một biểu thức chính quy khớp với địa chỉ IP của máy chủ kết nối. Các Valvelớp khác phục vụ cho các quy tắc khác (ví dụ: RemoteHostValvekhớp với tên máy chủ).

Khi các thay đổi ở trên đã được thực hiện, bạn sẽ thấy hộp thoại xác thực khi truy cập URL của trình quản lý. Nếu bạn nhập các chi tiết bạn đã cung cấp, tomcat-users.xmlbạn sẽ có quyền truy cập vào Người quản lý.

Đối với Tomcat v8.5.4 trở lên, tệp <tomcat>/webapps/manager/META-INF/context.xmlđã được điều chỉnh:

<Context antiResourceLocking="false" privileged="true" >
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
</Context>

Thay đổi tệp này để nhận xét Valve:

<Context antiResourceLocking="false" privileged="true" >
    <!--
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
    -->
</Context>

Sau đó, làm mới trình duyệt của bạn (không cần khởi động lại Tomcat), bạn có thể thấy trang trình quản lý.

Để truy cập trình quản lý tomcat từ các máy khác, bạn phải làm theo các bước sau:

1. Cập nhật tệp conf / tomcat-users.xml với người dùng và một số vai trò :

<role rolename="manager-gui"/>
 <role rolename="manager-script"/>
 <role rolename="manager-jmx"/>
 <role rolename="manager-status"/>
 <user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>

Ở đây người dùng quản trị đang chỉ định role = "manager-gui, manager-script, manager-jmx, manager-status" .

Ở đây người dùng và mật khẩu tomcat là: admin

2. Cập nhật tệp webapps / manager / META-INF / context.xml (Cho phép địa chỉ IP) :

Cấu hình mặc định :

<Context antiResourceLocking="false" privileged="true" >
  
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
  
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

Ở đây trong Valve, nó chỉ cho phép IP máy cục bộ bắt đầu bằng 127. \ d +. \ D +. \ D + .

2.a: Cho phép IP đặc biệt :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|YOUR.IP.ADDRESS.HERE" />

Ở đây bạn chỉ cần thay thế | YOUR.IP.ADDRESS.HERE bằng địa chỉ IP của bạn

2.b: Cho phép tất cả IP :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />

Ở đây sử dụng allow = ". *" Bạn đang cho phép tất cả IP.

Cảm ơn :)

Following two configuration is working for me.

1 .tomcat-users.xml details
--------------------------------
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <role rolename="manager-jmx"/>
  <role rolename="manager-status"/>
  <role rolename="admin-gui"/>
  <role rolename="admin-script"/>
  <role rolename="tomcat"/>


  <user  username="tomcat"  password="tomcat" roles="tomcat"/>

  <user  username="admin"  password="admin" roles="admin-gui"/>

  <user  username="adminscript"  password="adminscrip" roles="admin-script"/>

  <user  username="tomcat"  password="s3cret" roles="manager-gui"/>
  <user  username="status"  password="status" roles="manager-status"/>

  <user  username="both"    password="both"   roles="manager-gui,manager-status"/>

  <user  username="script"  password="script" roles="manager-script"/>
  <user  username="jmx"     password="jmx"    roles="manager-jmx"/>

2. context.xml  of <tomcat>/webapps/manager/META-INF/context.xml and 
<tomcat>/webapps/host-manager/META-INF/context.xml
------------------------------------------------------------------------
<Context antiResourceLocking="false" privileged="true" >

  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>