配置 Oracle Java Web Console

Oracle Java Web Console 预先配置为在没有管理员干预的情况下运行。但是,您可以选择通过覆盖控制台的配置属性来更改 Web 控制台的某些缺省行为。

注 -从 Solaris 10 11/06 OS 开始,必须使用 wcadmin 命令来更改这些属性,而在以前使用的是 smreg 命令。有关 wcadmin 命令的更多信息,请参见 wcadmin(1M) 手册页。

控制台配置文件中的属性对控制台的行为进行控制。要更改行为,需要定义新属性值来覆盖缺省值。除非对缺省值不提供的功能(如指定自己的登录服务)有特别需求,否则不能覆盖大多数属性的缺省值。

通常,可以考虑更改下面的属性值:

控制台会话超时

Web 控制台的会话超时时间由 session.timeout.value 属性控制。此属性控制会话超时之前 Web 控制台页保持无用户交互状态的时间。在超时后,用户必须重新登录。缺省值是 15 分钟。您可以根据自己的安全策略设置新值(以分钟为单位)。但是,请记住,此属性控制所有控制台用户和所有已注册应用程序的超时时间。

有关如何更改会话超时的示例,请参见示例 3-1。

日志级别

可以使用日志记录属性来配置日志记录服务。控制台日志文件在 /var/log/webconsole/console 目录中创建。logging.default.level 属性确定记录哪些消息。控制台日志为解决问题提供了宝贵的信息。

日志级别适用于任何通过日志记录服务写入的消息,缺省情况下该日志服务使用 Oracle Solaris 发行版中的系统日志。系统日志日志文件为 /var/adm/messages。文件 /var/log/webconsole/console/console_debug_log 包含启用调试服务后写入的日志消息。通过按照使用控制台调试跟踪日志中所述的方式设置 debug.trace.level 属性来完成此操作。尽管缺省日志记录和调试日志记录服务是彼此独立的,但系统日志的所有 Oracle Java Web Console 日志消息还会被写入 console_debug_log 以便为调试提供帮助。通常,应始终启用日志记录服务(使用 logging.default.level 进行设置),以便通过控制台应用程序进行日志记录。只有在调查问题时才应启用调试日志记录(使用 debug.trace.level 进行设置)。

logging.default.level 具有下列属性值:

all

info

off

severe

warning

有关说明如何更改日志级别的示例,请参见示例 3-2。

审计实现

审计是生成和记录与安全有关的管理事件的过程。事件表示特定用户已经更新系统的管理信息。审计实现由生成审计事件的服务和应用程序使用。

该 Web 控制台定义了以下审计事件:

登录

注销

承担角色

在发生审计事件时,会在审计日志中创建一个事件记录。审计日志的位置因所使用的审计实现而异。该 Web 控制台的审计服务使用由底层操作系统提供的审计实现。

Web 控制台支持三种审计实现:Solaris、Log 和 None。可以通过将这些关键字之一指定为 audit.default.type 配置属性的值来选择审计实现。一次只能有一个审计实现起作用。

支持的审计实现类型包括:

Solaris

Solaris 实现是缺省实现。此实现支持 BSM 审计机制。审计机制将审计记录写入 /var/audit 目录中的系统文件。

可以使用 praudit 命令来显示记录。为了捕获事件,必须在系统上启用 BSM 审计机制。另外,/etc/security/audit_control 文件中必须包含指示应当生成哪些事件的项。必须将 lo 事件设置为标志选项,才能查看每个用户的登录和注销事件。有关更多信息,请参见 praudit(1M) 和 bsmconv(1M) 手册页以及《System Administration Guide: Security Services》中的第 VII 部分, "Auditing in Oracle Solaris"。

Log

可以将此实现配置为写入系统的 syslog 服务。如果已在 info 级别启用了日志服务,审计消息将写入控制台日志。有关更多信息,请参见示例 3-2。

None

不生成任何审计事件。审计消息写入调试跟踪日志(如果启用)。

有关如何指定审计实现的示例,请参见示例 3-5。

如何更改 Oracle Java Web Console 属性根据所运行的 Oracle Solaris 发行版,请按如下方式更改选定的属性值:如果您所运行的版本不低于 Solaris 10 11/06 发行版,请使用以下命令:# wcadmin add -p -a console name=value-p

指定对象类型为属性。

-a console

指定更改名为 console 的应用程序的属性。在更改控制台属性时,必须始终使用 -a console 选项。

name=value

指定该属性的属性名称和新值。

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:# smreg add -p -c name

可选将控制台属性重置为其缺省值。如果您所运行的版本不低于 Solaris 10 11/06 发行版,请使用以下命令:# wcadmin remove -p -a console name=value

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:# smreg remove -p -c name-p

指定对象类型为属性。

-c

指定更改控制台应用程序的属性。在更改控制台属性时,必须始终使用 -c 选项。

name

指定该属性的属性名称和新值。

示例 3-1 更改 Oracle Java Web Console 的会话超时属性

此示例说明如何将会话超时值设置为 5 分钟。# wcadmin add -p -a console session.timeout.value=5

示例 3-2 配置 Oracle Java Web Console 日志级别

以下示例说明如何将日志级别设置为 all。# wcadmin add -p -a console logging.default.level=all

示例 3-3 将 Oracle Java Web Console 日志级别重置为缺省值

以下示例说明如何将日志级别重置为缺省值。# wcadmin remove -p -a console logging.default.level

示例 3-4 为 Oracle Java Web Console 指定 Java 版本

以下示例说明如何为该控制台设置 Java 版本。# wcadmin add -p -a console java.home=/usr/java

示例 3-5 为 Oracle Java Web Console 选择审计实现

以下示例显示如何将审计实现设置为 None。# wcadmin add -p -a console audit.default.type=None

有效的审计类型为:None

无审计

Log

系统日志审计消息

Solaris

BSM 审计消息

Oracle Java Web Console 用户身份

缺省情况下,Web 控制台在 noaccess 用户身份下运行。但是,某些系统配置会禁用 noaccess 用户,或者将 noaccess 用户的登录 shell 设置为无效项,使该用户身份不可用。

当 noaccess 用户不可用时,该 Web 控制台服务器将无法启动或配置,因此您必须指定一个备用的用户身份。最好仅更改一次用户身份,这可以在最初启动时配置控制台服务器之前进行。

控制台启动之前,您可以使用下面的任一命令,将 Web 控制台配置为在其他非 root 用户身份下运行:# smcwebserver start -u username

此命令会在指定的用户身份下启动该 Web 控制台服务器。如果在 Web 控制台第一次启动之前发出此命令,则 Web 控制台服务器在每次后续启动后,都会在此身份下运行。

如果您所运行的版本不低于 Solaris 10 11/06 发行版,还可以使用以下命令:# wcadmin add -p -a console com.sun.web.console.user=

username

注 -从 Solaris 10 11/06 发行版开始,当系统初始启动时,控制台也会启动并自动配置为在 noaccess 下运行。因此,在您更改用户身份之前,用户身份将被设置为 noaccess。使用以下命令将控制台重置为其初始未配置状态。然后,在重新启动控制台时指定其他用户身份。# smcwebserver stop

# /usr/share/webconsole/private/bin/wcremove -i console

# smcwebserver start -u new_user_identity

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:# smreg add -p -c com.sun.web.console.user=username

此命令导致以后每次启动该 Web 控制台服务器时,该服务器都将在指定的用户身份下运行。

使用控制台调试跟踪日志

缺省情况下,控制台不记录调试消息。您可以打开调试日志记录以帮助解决控制台服务问题。

可以通过将 debug.trace.level 属性设置为 0 以外的值来打开调试日志记录。

可用的选项包括:

1-使用此设置可以记录可能很严重的错误。

2-使用此设置可以记录重要消息以及级别为 1 的错误消息。

3-使用此设置可以记录所有可能的消息以及全部细节。

缺省情况下,对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,调试跟踪日志创建在 /var/log/webconsole

目录中。从 Solaris 10 11/06 发行版开始,该日志创建在 /var/log/webconsole/console 目录中。该日志文件名为 console_debug_log。历史记录日志(如 console_debug_log.1 和 console_debug_log.2)也可能存在于此目录中。在该目录中存储的历史记录日志数达到五个(缺省设置)后,会删除最早的日志并创建新日志。

示例 3-6 设置控制台的调试跟踪日志级别

可以使用以下命令将调试跟踪日志级别设置为 3。

对于 Solaris 10 11/06 发行版,请使用以下命令:# wcadmin add -p -a console debug.trace.level=3

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:# smreg add -p -c debug.trace.level=3

示例 3-7 检查 debug.trace.level 属性的状态

要检查 debug.trace.level 属性的状态,请使用 wcadmin list 或 smreg list 命令。

Solaris 10 11/06:# wcadmin list -p | grep "debug.trace.level"

对于 Oracle Solaris 10、Solaris 10 1/06 和 Solaris 10 6/06 发行版,请使用以下命令:# smreg list -p | grep "debug.trace.level"