跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:基本管理 Oracle Solaris 10 1/13 Information Library (简体中文) |
2. 使用 Solaris Management Console(任务)
3. 使用 Oracle Java Web Console(任务)
Oracle Java Web Console 管理方面的新增功能
可供 Oracle Java Web Console 使用的应用程序
Oracle Java Web Console 入门(任务列表)
如何从 Oracle Java Web Console 的启动页启动应用程序
Oracle Java Web Console 软件疑难解答(任务列表)
对 Oracle Java Web Console 软件进行故障排除
如何使用 Oracle Java Web Console 注册传统应用程序
如何从 Oracle Java Web Console 注销传统应用程序
如何使用 Oracle Java Web Console 注册当前应用程序
如何从 Oracle Java Web Console 注销当前的应用程序
Oracle Java Web Console 安全注意事项
对 Oracle Java Web Console 的访问权限
对 Oracle Java Web Console 中应用程序的访问权限
启用对 Oracle Java Web Console 的远程访问
如何启用对 Oracle Java Web Console 的远程访问
禁用对 Oracle Java Web Console 的远程访问
如何禁用对 Oracle Java Web Console 的远程访问
更改 Oracle Java Web Console 的内部口令
11. 修改 Oracle Solaris 引导行为(任务)
13. 管理 Oracle Solaris 引导归档文件(任务)
14. Oracle Solaris 系统引导的故障排除(任务)
17. 使用 Oracle Configuration Manager
21. 使用 Oracle Solaris 系统管理工具管理软件(任务)
Oracle Java Web Console 预先配置为在没有管理员干预的情况下运行。但是,您可以选择通过覆盖控制台的配置属性来更改 Web 控制台的某些缺省行为。
注 - 从 Solaris 10 11/06 OS 开始,必须使用 wcadmin 命令来更改这些属性,而在以前使用的是 smreg 命令。有关 wcadmin 命令的更多信息,请参见 wcadmin (1M) 手册页。
控制台配置文件中的属性对控制台的行为进行控制。要更改行为,需要定义新属性值来覆盖缺省值。除非对缺省值不提供的功能(如指定自己的登录服务)有特别需求,否则不能覆盖大多数属性的缺省值。
通常,可以考虑更改下面的属性值:
控制台会话超时
Web 控制台的会话超时时间由 session.timeout.value 属性控制。此属性控制会话超时之前 Web 控制台页保持无用户交互状态的时间。在超时后,用户必须重新登录。缺省值是 15 分钟。您可以根据自己的安全策略设置新值(以分钟为单位)。但是,请记住,此属性控制所有控制台用户和所有已注册应用程序的超时时间。
有关如何更改会话超时的示例,请参见示例 3-1。
日志级别
可以使用日志记录属性来配置日志记录服务。控制台日志文件在 /var/log/webconsole/console 目录中创建。logging.default.level 属性确定记录哪些消息。控制台日志为解决问题提供了宝贵的信息。
日志级别适用于任何通过日志记录服务写入的消息,缺省情况下该日志服务使用 Oracle Solaris 发行版中的系统日志。系统日志日志文件为 /var/adm/messages。文件 /var/log/webconsole/console/console_debug_log 包含启用调试服务后写入的日志消息。通过按照使用控制台调试跟踪日志中所述的方式设置 debug.trace.level 属性来完成此操作。尽管缺省日志记录和调试日志记录服务是彼此独立的,但系统日志的所有 Oracle Java Web Console 日志消息还会被写入 console_debug_log 以便为调试提供帮助。通常,应始终启用日志记录服务(使用 logging.default.level 进行设置),以便通过控制台应用程序进行日志记录。只有在调查问题时才应启用调试日志记录(使用 debug.trace.level 进行设置)。
logging.default.level 具有下列属性值:
all
info
off
severe
warning
有关说明如何更改日志级别的示例,请参见示例 3-2。
审计实现
审计是生成和记录与安全有关的管理事件的过程。事件表示特定用户已经更新系统的管理信息。审计实现由生成审计事件的服务和应用程序使用。
该 Web 控制台定义了以下审计事件:
登录
注销
承担角色
在发生审计事件时,会在审计日志中创建一个事件记录。审计日志的位置因所使用的审计实现而异。该 Web 控制台的审计服务使用由底层操作系统提供的审计实现。
Web 控制台支持三种审计实现:Solaris、Log 和 None。可以通过将这些关键字之一指定为 audit.default.type 配置属性的值来选择审计实现。一次只能有一个审计实现起作用。
支持的审计实现类型包括:
Solaris
Solaris 实现是缺省实现。此实现支持 BSM 审计机制。审计机制将审计记录写入 /var/audit 目录中的系统文件。
可以使用 praudit 命令来显示记录。为了捕获事件,必须在系统上启用 BSM 审计机制。另外,/etc/security/audit_control 文件中必须包含指示应当生成哪些事件的项。必须将 lo 事件设置为标志选项,才能查看每个用户的登录和注销事件。有关更多信息,请参见 praudit(1M) 和 bsmconv(1M) 手册页以及《System Administration Guide: Security Services》中的第 VII 部分, "Auditing in Oracle Solaris"。
Log
可以将此实现配置为写入系统的 syslog 服务。如果已在 info 级别启用了日志服务,审计消息将写入控制台日志。有关更多信息,请参见示例 3-2。
None
有关如何指定审计实现的示例,请参见示例 3-5。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《System Administration Guide: Security Services》中的"Configuring RBAC (Task Map)"。
# wcadmin add -p -a console name=value
指定对象类型为属性。
指定更改名为 console 的应用程序的属性。在更改控制台属性时,必须始终使用 -a console 选项。
指定该属性的属性名称和新值。
# smreg add -p -c name
# wcadmin remove -p -a console name=value
# smreg remove -p -c name
指定对象类型为属性。
指定更改控制台应用程序的属性。在更改控制台属性时,必须始终使用 -c 选项。
指定该属性的属性名称和新值。
示例 3-1 更改 Oracle Java Web Console 的会话超时属性
# wcadmin add -p -a console session.timeout.value=5
示例 3-2 配置 Oracle Java Web Console 日志级别
以下示例说明如何将日志级别设置为 all。
# wcadmin add -p -a console logging.default.level=all
示例 3-3 将 Oracle Java Web Console 日志级别重置为缺省值
以下示例说明如何将日志级别重置为缺省值。
# wcadmin remove -p -a console logging.default.level
示例 3-4 为 Oracle Java Web Console 指定 Java 版本
以下示例说明如何为该控制台设置 Java 版本。
# wcadmin add -p -a console java.home=/usr/java
示例 3-5 为 Oracle Java Web Console 选择审计实现
以下示例显示如何将审计实现设置为 None。
# wcadmin add -p -a console audit.default.type=None
有效的审计类型为:
无审计
系统日志审计消息
BSM 审计消息
缺省情况下,Web 控制台在 noaccess 用户身份下运行。但是,某些系统配置会禁用 noaccess 用户,或者将 noaccess 用户的登录 shell 设置为无效项,使该用户身份不可用。
当 noaccess 用户不可用时,该 Web 控制台服务器将无法启动或配置,因此您必须指定一个备用的用户身份。最好仅更改一次用户身份,这可以在最初启动时配置控制台服务器之前进行。
控制台启动之前,您可以使用下面的任一命令,将 Web 控制台配置为在其他非 root 用户身份下运行:
# smcwebserver start -u username
此命令会在指定的用户身份下启动该 Web 控制台服务器。如果在 Web 控制台第一次启动之前发出此命令,则 Web 控制台服务器在每次后续启动后,都会在此身份下运行。
如果您所运行的版本不低于 Solaris 10 11/06 发行版,还可以使用以下命令:
# wcadmin add -p -a console com.sun.web.console.user= username
注 - 从 Solaris 10 11/06 发行版开始,当系统初始启动时,控制台也会启动并自动配置为在 noaccess 下运行。因此,在您更改用户身份之前,用户身份将被设置为 noaccess。使用以下命令将控制台重置为其初始未配置状态。然后,在重新启动控制台时指定其他用户身份。
# smcwebserver stop # /usr/share/webconsole/private/bin/wcremove -i console # smcwebserver start -u new_user_identity
对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:
# smreg add -p -c com.sun.web.console.user=username
此命令导致以后每次启动该 Web 控制台服务器时,该服务器都将在指定的用户身份下运行。
缺省情况下,控制台不记录调试消息。您可以打开调试日志记录以帮助解决控制台服务问题。
可以通过将 debug.trace.level 属性设置为 0 以外的值来打开调试日志记录。
可用的选项包括:
1-使用此设置可以记录可能很严重的错误。
2-使用此设置可以记录重要消息以及级别为 1 的错误消息。
3-使用此设置可以记录所有可能的消息以及全部细节。
缺省情况下,对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,调试跟踪日志创建在 /var/log/webconsole 目录中。从 Solaris 10 11/06 发行版开始,该日志创建在 /var/log/webconsole/console 目录中。该日志文件名为 console_debug_log。历史记录日志(如 console_debug_log.1 和 console_debug_log.2)也可能存在于此目录中。在该目录中存储的历史记录日志数达到五个(缺省设置)后,会删除最早的日志并创建新日志。
示例 3-6 设置控制台的调试跟踪日志级别
可以使用以下命令将调试跟踪日志级别设置为 3。
对于 Solaris 10 11/06 发行版,请使用以下命令:
# wcadmin add -p -a console debug.trace.level=3
对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:
# smreg add -p -c debug.trace.level=3
示例 3-7 检查 debug.trace.level 属性的状态
要检查 debug.trace.level 属性的状态,请使用 wcadmin list 或 smreg list 命令。
Solaris 10 11/06:
# wcadmin list -p | grep "debug.trace.level"
对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:
# smreg list -p | grep "debug.trace.level"