Geronimo V2.1.5 中的安全提升

核心提示： $GERONIMO_HOME/bin/deploy.shunlockKeystoremyKeyStorekeyName1keyName2基于角色的 Web 管理控制台Geronimo V2.1.5 中，在原来只有一个 admin 用户组的基础上增加了一个新的用户组 monitor，Geronim

　$GERONIMO_HOME/bin/deploy.sh　unlockKeystore　myKeyStore　keyName1　keyName2　

基于角色的 Web 管理控制台

Geronimo V2.1.5 中，在原来只有一个 admin 用户组的基础上增加了一个新的用户组 monitor，并且为这个组添加了一个用户，也叫 monitor，使得系统管理和系统监控分别分属于不同的角色，即原有的 system 账号属于管理员组，用于系统管理和视图的创建，而增加的这个新的用户组 monitor 用于对系统性能的监控。下面我们看看具体的技术细节。

创建监控角色

Geronimo 的 Web 管理控制台采用名为 geronimo-admin 的 properties 文件安全域，其所辖用户信息及密码分别保存在 /var/security 目录下的 groups.properties 和 users.properties 文件中。其中 groups.properties 文件定义了 Geronimo 服务器中默认的用户分组信息，如 system 隶属于 admin 组，而 users.properties 文件则用于存储用户在登录 Web 管理控制台时所需要的密码信息。V2.1.5 在 groups.properties 文件中增加了 monitor 用户组，并创建了 monitor 用户隶属于这个用户组，同时在 users.properties 文件中定义了它的密码，如清单 9 和清单 10 所示。其中 monitor 用户的密码是 password 通过简单加密后的密文。

清单 9. groups.properties 文件

　admin=system　
　monitor=monitor　

清单 10. users.properties 文件

　monitor={Simple}rO0ABXNyABlqYXZheC5jcnlwdG8uU2VhbGVkT2Jq　
　ZWN0PjY9psO3VHACAARbAA1lbmNvZGVkUGFyYW1zdAACW0Jb　
　ABBlbmNyeXB0ZWRDb250ZW50cQB+AAFMAAlwYXJhbXNBbGd0　
　ABJMamF2YS9sYW5nL1N0cmluZztMAAdzZWFsQWxncQB+AAJ4c　
　HB1cgACW0Ks8xf4BghU4AIAAHhwAAAAEODX+ch0Ej1kde1Ks　
　UWZWlBwdAADQUVT　
　system={Simple}rO0ABXNyABlqYXZheC5jcnlwdG8uU2VhbGVkT2Jq　
　ZWN0PjY9psO3VHACAARbAA1lbmNvZGVkUGFyYW1zdAACW0Jb　
　ABBlbmNyeXB0ZWRDb250ZW50cQB+AAFMAAlwYXJhbXNBbGd0　
　ABJMamF2YS9sYW5nL1N0cmluZztMAAdzZWFsQWxncQB+AAJ4c　
　HB1cgACW0Ks8xf4BghU4AIAAHhwAAAAEHnh03EmiNu4　
　VTuWH+xZiRBwdAADQUVT