配置 Oracle Java Web Console

Oracle Java Web Console 预先配置为在没有管理员干预的情况下运行。但是，您可以选择通过覆盖控制台的配置属性来更改 Web 控制台的某些缺省行为。

从 Solaris 10 11/06 OS 开始，必须使用 wcadmin 命令来更改这些属性，而在以前使用的是 smreg 命令。有关 wcadmin 命令的更多信息，请参见 wcadmin (1M) 手册页。

控制台配置文件中的属性对控制台的行为进行控制。要更改行为，需要定义新属性值来覆盖缺省值。除非对缺省值不提供的功能（如指定自己的登录服务）有特别需求，否则不能覆盖大多数属性的缺省值。

通常，可以考虑更改下面的属性值：

• 控制台会话超时

  Web 控制台的会话超时时间由 session.timeout.value 属性控制。此属性控制会话超时之前 Web 控制台页保持无用户交互状态的时间。在超时后，用户必须重新登录。缺省值是 15 分钟。您可以根据自己的安全策略设置新值（以分钟为单位）。但是，请记住，此属性控制所有控制台用户和所有已注册应用程序的超时时间。

  有关如何更改会话超时的示例，请参见示例 3–1。

• 日志级别

  可以使用日志记录属性来配置日志记录服务。控制台日志文件在 /var/log/webconsole/console 目录中创建。logging.default.level 属性确定记录哪些消息。控制台日志为解决问题提供了宝贵的信息。

  日志级别适用于任何通过日志记录服务写入的消息，缺省情况下该日志服务使用 Oracle Solaris 发行版中的系统日志。系统日志日志文件为 /var/adm/messages。文件 /var/log/webconsole/console/console_debug_log 包含启用调试服务后写入的日志消息。通过按照使用控制台调试跟踪日志中所述的方式设置 debug.trace.level 属性来完成此操作。尽管缺省日志记录和调试日志记录服务是彼此独立的，但系统日志的所有 Oracle Java Web Console 日志消息还会被写入 console_debug_log 以便为调试提供帮助。通常，应始终启用日志记录服务（使用 logging.default.level 进行设置），以便通过控制台应用程序进行日志记录。只有在调查问题时才应启用调试日志记录（使用 debug.trace.level 进行设置）。

  logging.default.level 具有下列属性值：

  • all

  • info

  • off

  • severe

  • warning

  有关说明如何更改日志级别的示例，请参见示例 3–2。

• 审计实现

  审计是生成和记录与安全有关的管理事件的过程。事件表示特定用户已经更新系统的管理信息。审计实现由生成审计事件的服务和应用程序使用。

  该 Web 控制台定义了以下审计事件：

  • 登录

  • 退出

  • 承担角色

  在发生审计事件时，会在审计日志中创建一个事件记录。审计日志的位置因所使用的审计实现而异。该 Web 控制台的审计服务使用由底层操作系统提供的审计实现。

  Web 控制台支持三种审计实现： Solaris、Log 和 None。可以通过将这些关键字之一指定为 audit.default.type 配置属性的值来选择审计实现。一次只能有一个审计实现起作用。

  支持的审计实现类型包括：

  • Solaris

    Solaris 实现是缺省实现。此实现支持 BSM 审计机制。审计机制将审计记录写入 /var/audit 目录中的系统文件。

    可以使用 praudit 命令来显示记录。为了捕获事件，必须在系统上启用 BSM 审计机制。另外，/etc/security/audit_control 文件中必须包含指示应当生成哪些事件的项。必须将 lo 事件设置为标志选项，才能查看每个用户的登录和退出事件。有关更多信息，请参见 praudit(1M) 和 bsmconv(1M) 手册页以及《系统管理指南：安全性服务》中的第 VII 部分, “Solaris 审计”。

  • Log

    可以将此实现配置为写入系统的 syslog 服务。如果已在 info 级别启用了日志服务，审计消息将写入控制台日志。有关更多信息，请参见示例 3–2。

  • None

    不生成任何审计事件。审计消息写入调试跟踪日志（如果启用的话）。

有关如何指定审计实现的示例，请参见示例 3–5。

如何更改 Oracle Java Web Console 属性

1. 成为超级用户或同等角色。

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见 《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。

2. 根据所运行的 Oracle Solaris 发行版，请按如下方式更改选定的属性值：

   • 如果您所运行的版本不低于 Solaris 10 11/06 发行版，请使用以下命令：

     # wcadmin add -p -a console name=value

     -p

     指定对象类型为属性。

     -a console

     指定更改名为 console 的应用程序的属性。在更改控制台属性时，必须始终使用 -a console 选项。

     name=value

     指定该属性的属性名称和新值。

   • 对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版，请使用以下命令：

     # smreg add -p -c name

3. （可选的）将控制台属性重置为其缺省值。

   • 如果您所运行的版本不低于 Solaris 10 11/06 发行版，请使用以下命令：

     # wcadmin remove -p -a console name=value

   • 对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版，请使用以下命令：

     # smreg remove -p -c name

     -p

     指定对象类型为属性。

     -c

     指定更改控制台应用程序的属性。在更改控制台属性时，必须始终使用 -c 选项。

     name

     指定该属性的属性名称和新值。

示例 3–1 更改 Oracle Java Web Console 的会话超时属性

此示例说明如何将会话超时值设置为 5 分钟。

# wcadmin add -p -a console session.timeout.value=5

示例 3–2 配置 Oracle Java Web Console 日志级别

以下示例说明如何将日志级别设置为 all。

# wcadmin add -p -a console logging.default.level=all

示例 3–3 将 Oracle Java Web Console 日志级别重置为缺省值

以下示例说明如何将日志级别重置为缺省值。

# wcadmin remove -p -a console logging.default.level

示例 3–4 为 Oracle Java Web Console 指定 Java 版本

以下示例说明如何为该控制台设置 Java 版本。

# wcadmin add -p -a console java.home=/usr/java

示例 3–5 为 Oracle Java Web Console 选择审计实现

以下示例显示如何将审计实现设置为 None。

# wcadmin add -p -a console audit.default.type=None

有效的审计类型为：

None

无审计

Log

系统日志审计消息

Solaris

BSM 审计消息

Oracle Java Web Console 用户身份

缺省情况下，Web 控制台在 noaccess 用户身份下运行。但是，某些系统配置会禁用 noaccess 用户，或者将 noaccess 用户的登录 shell 设置为无效项，使该用户身份不可用。

当 noaccess 用户不可用时，该 Web 控制台服务器将无法启动或配置，因此您必须指定一个备用的用户身份。最好仅更改一次用户身份，这可以在最初启动时配置控制台服务器之前进行。

控制台启动之前，您可以使用下面的任一命令，将 Web 控制台配置为在其他非超级用户身份下运行：

# smcwebserver start -u username

此命令会在指定的用户身份下启动该 Web 控制台服务器。如果在 Web 控制台第一次启动之前发出此命令，则 Web 控制台服务器在每次后续启动后，都会在此身份下运行。

如果您所运行的版本不低于 Solaris 10 11/06 发行版，还可以使用以下命令：

# wcadmin add -p -a console com.sun.web.console.user=
username

从 Solaris 10 11/06 发行版开始，当系统初始启动时，控制台也会启动并自动配置为在 noaccess 下运行。因此，在您更改用户身份之前，用户身份将被设置为 noaccess。使用以下命令将控制台重置为其初始未配置状态。然后，在重新启动控制台时指定其他用户身份。

# smcwebserver stop
# /usr/share/webconsole/private/bin/wcremove -i console
# smcwebserver start -u new_user_identity

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版，请使用以下命令：

# smreg add -p -c com.sun.web.console.user=username

此命令导致以后每次启动该 Web 控制台服务器时，该服务器都将在指定的用户身份下运行。

使用控制台调试跟踪日志

缺省情况下，控制台不记录调试消息。您可以打开调试日志记录以帮助解决控制台服务问题。

可以通过将 debug.trace.level 属性设置为 0 以外的值来打开调试日志记录。

可用的选项包括：

• 1－使用此设置可以记录可能很严重的错误。

• 2－使用此设置可以记录重要消息以及级别为 1 的错误消息。

• 3－使用此设置可以记录所有可能的消息以及全部细节。

缺省情况下，对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版，调试跟踪日志创建在 /var/log/webconsole 目录中。从 Solaris 10 11/06 发行版开始，该日志创建在 /var/log/webconsole/console 目录中。该日志文件名为 console_debug_log。历史记录日志（如 console_debug_log.1 和 console_debug_log.2）也可能存在于此目录中。在该目录中存储的历史记录日志数达到五个（缺省设置）后，会删除最早的日志并创建新日志。

示例 3–6 设置控制台的调试跟踪日志级别

可以使用以下命令将调试跟踪日志级别设置为 3。

对于 Solaris 10 11/06 发行版，请使用以下命令：

# wcadmin add -p -a console debug.trace.level=3

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版，请使用以下命令：

# smreg add -p -c debug.trace.level=3

示例 3–7 检查 debug.trace.level 属性的状态

要检查 debug.trace.level 属性的状态，请使用 wcadmin list 或 smreg list 命令。

Solaris 10 11/06：

# wcadmin list -p | grep "debug.trace.level"

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版，请使用以下命令：

# smreg list -p | grep "debug.trace.level"