Доступ до програми Tomcat Manager з іншого хоста

Я встановив tomcat 9 на віддаленому сервері, і після його запуску він виховувався нормально, я можу отримати доступ до http: // host_name: port_num і побачити привітну сторінку tomcat. Але коли я намагаюся відкрити програму менеджера, щоб побачити мої розгорнуті програми, мені забороняється доступ 403, я вже додаю ролі в tomcat user xml наступним чином:

<role rolename="manager"/>
<role rolename="manager-gui"/>
<role rolename="admin"/>
<user username="user" password="password" roles="admin,manager,manager-gui"/>

Повідомлення про помилку, які я бачив:

За замовчуванням Host Manager доступний лише з браузера, що працює на тій самій машині, що і Tomcat. Якщо ви хочете змінити це обмеження, вам потрібно буде відредагувати файл context.xml диспетчера хостів.

Як мені змінити файл context.xml і отримати доступ до програми менеджера?

Кожен розгорнутий веб-додаток має context.xmlфайл, який живе

$CATALINA_BASE/conf/[enginename]/[hostname]

(conf/Catalina/localhost by default)

і має те саме ім’я, що і веб-додаток ( manager.xmlу даному випадку). Якщо файлу немає, використовуються значення за замовчуванням.

Отже, вам потрібно створити файл conf/Catalina/localhost/manager.xmlі вказати правило, для якого ви хочете дозволити віддалений доступ. Наприклад, наступний вміст manager.xmlдозволить доступ з усіх машин:

<Context privileged="true" antiResourceLocking="false" 
         docBase="${catalina.home}/webapps/manager">
    <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="^.*$" />
</Context>

Зверніть увагу, що атрибут allow Valveелемента є регулярним виразом, який відповідає IP-адресі підключається хосту. Інші Valveкласи відповідають іншим правилам (наприклад, RemoteHostValveдля відповідності імен хостів).

Після внесення вищевказаних змін вам слід відкрити діалогове вікно автентифікації при доступі до URL-адреси менеджера. Якщо ви вводите введені дані, tomcat-users.xmlви повинні мати доступ до менеджера.

Для Tomcat v8.5.4 і новіших версій файл <tomcat>/webapps/manager/META-INF/context.xmlвідрегульовано:

<Context antiResourceLocking="false" privileged="true" >
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
</Context>

Змініть цей файл, щоб прокоментувати Valve:

<Context antiResourceLocking="false" privileged="true" >
    <!--
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
    -->
</Context>

Після цього оновіть браузер (не потрібно перезапускати Tomcat), ви побачите сторінку менеджера.

Щоб отримати доступ до диспетчера tomcat з іншої машини, потрібно виконати наведені нижче дії:

1. Оновіть файл conf / tomcat-users.xml за допомогою користувача та деяких ролей :

<role rolename="manager-gui"/>
 <role rolename="manager-script"/>
 <role rolename="manager-jmx"/>
 <role rolename="manager-status"/>
 <user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>

Тут користувач адміністратора призначає ролі = "manager-gui, manager-script, manager-jmx, manager-status" .

Тут користувач і пароль tomcat: admin

2. Оновіть файл webapps / manager / META-INF / context.xml (Дозвіл IP-адреси) :

Конфігурація за замовчуванням :

<Context antiResourceLocking="false" privileged="true" >
  
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
  
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

Тут у Valve це дозволяє лише IP локальної машини запускати з 127. \ d +. \ D +. \ D + .

2.a: Дозволити конкретні IP :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|YOUR.IP.ADDRESS.HERE" />

Тут ви просто заміните | YOUR.IP.ADDRESS.HERE на вашу IP-адресу

2.b: Дозволити всі IP :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />

Тут, використовуючи allow = ". *", Ви дозволяєте всі IP-адреси.

Дякую :)

Following two configuration is working for me.

1 .tomcat-users.xml details
--------------------------------
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <role rolename="manager-jmx"/>
  <role rolename="manager-status"/>
  <role rolename="admin-gui"/>
  <role rolename="admin-script"/>
  <role rolename="tomcat"/>


  <user  username="tomcat"  password="tomcat" roles="tomcat"/>

  <user  username="admin"  password="admin" roles="admin-gui"/>

  <user  username="adminscript"  password="adminscrip" roles="admin-script"/>

  <user  username="tomcat"  password="s3cret" roles="manager-gui"/>
  <user  username="status"  password="status" roles="manager-status"/>

  <user  username="both"    password="both"   roles="manager-gui,manager-status"/>

  <user  username="script"  password="script" roles="manager-script"/>
  <user  username="jmx"     password="jmx"    roles="manager-jmx"/>

2. context.xml  of <tomcat>/webapps/manager/META-INF/context.xml and 
<tomcat>/webapps/host-manager/META-INF/context.xml
------------------------------------------------------------------------
<Context antiResourceLocking="false" privileged="true" >

  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>