我已经在远程服务器上安装了Tomcat 9,并成功启动,可以访问http://host_name:port_num并看到Tomcat欢迎页面。但是当我尝试打开管理应用程序以查看部署的应用程序时,我收到403访问被拒绝的错误提示,我已经按照以下方式在Tomcat用户xml中添加了角色:
<role rolename="manager"/>
<role rolename="manager-gui"/>
<role rolename="admin"/>
<user username="user" password="password" roles="admin,manager,manager-gui"/>
我看到的错误信息是:
默认情况下,Host Manager只能从运行Tomcat的同一台机器上的浏览器访问。如果您希望修改此限制,您需要编辑Host Manager的context.xml文件。
我应该如何更改context.xml文件以获得对管理器应用程序的访问权限?
<tomcat>/webapps/manager/META-INF/context.xml已进行了调整。<Context antiResourceLocking="false" privileged="true" >
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
</Context>
Valve:<Context antiResourceLocking="false" privileged="true" >
<!--
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
-->
</Context>
每个已部署的webapp都有一个位于context.xml文件中的配置文件。
$CATALINA_BASE/conf/[enginename]/[hostname]
(conf/Catalina/localhost by default)
并且与Web应用程序具有相同的名称(在本例中为manager.xml)。如果没有文件存在,则使用默认值。
因此,您需要创建一个文件conf/Catalina/localhost/manager.xml并指定要允许远程访问的规则。例如,下面的manager.xml内容将允许来自所有计算机的访问:
<Context privileged="true" antiResourceLocking="false"
docBase="${catalina.home}/webapps/manager">
<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="^YOUR.IP.ADDRESS.HERE$" />
</Context>
Valve元素的allow属性是与连接主机的IP地址匹配的正则表达式。因此,请使用YOUR.IP.ADDRESS.HERE(或其他有用的表达式)替换您自己的IP地址。Valve类可以满足其他规则(例如,RemoteHostValve用于匹配主机名)。早期版本的Tomcat使用一个名为org.apache.catalina.valves.RemoteIpValve的阀门类进行IP地址匹配。tomcat-users.xml中提供的详细信息,您应该可以访问Manager。要从不同的机器上访问Tomcat管理器,您需要按照以下步骤进行操作:
1. 更新conf/tomcat-users.xml文件,添加用户和角色:
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>
这里的管理员用户正在分配角色="manager-gui,manager-script,manager-jmx,manager-status"。
这里的Tomcat用户名和密码为:admin
2. 更新webapps/manager/META-INF/context.xml文件(允许IP地址):
默认配置:
<Context antiResourceLocking="false" privileged="true" >
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
<Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>
在Valve中,只允许以本地机器IP开头为127.\d+.\d+.\d+的地址。
2.a:允许特定IP地址:
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|YOUR.IP.ADDRESS.HERE" />
在这里,您只需用您的IP地址替换|YOUR.IP.ADDRESS.HERE
2.b : 允许所有IP:
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow=".*" />
在这里使用 allow=".*" 表示允许所有IP。
谢谢:)
YOUR.IP.ADDRESS.HERE的答案,因此真正回答了从其他主机访问管理应用程序的问题,而不仅仅是从互联网上的任何地方访问。我认为这应该成为被采纳的答案。改进建议:将2.a移到顶部,可选地添加@ThomasLIMIN的建议。 - Olaf Kocktomcat-users.xml详细信息
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<role rolename="admin-gui"/>
<role rolename="admin-script"/>
<role rolename="tomcat"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="admin" password="admin" roles="admin-gui"/>
<user username="adminscript" password="adminscrip" roles="admin-script"/>
<user username="tomcat" password="s3cret" roles="manager-gui"/>
<user username="status" password="status" roles="manager-status"/>
<user username="both" password="both" roles="manager-gui,manager-status"/>
<user username="script" password="script" roles="manager-script"/>
<user username="jmx" password="jmx" roles="manager-jmx"/>
/webapps/manager/META-INF/context.xml和/webapps/host-manager/META-INF/context.xml的context.xml文件
<Context antiResourceLocking="false" privileged="true" >
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow=".*" />
<Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
以下是我在AWS Linux 2上使用的sed命令,通过AWS EC2用户数据脚本使其工作:
注意:这允许从所有IP“.*”访问,如果您不想要这样,请将最后一个sed命令中的“.*”更改为您想要的任何IP。
将以下内容更改为您想要的内容:
YOUR USER NAME
YOUR PASSWORD
此外,通过将/abcd替换为您的Tomcat安装位置来更新Tomcat安装路径:
/abcd/tomcat/conf/tomcat-users.xml
/abcd/tomcat/webapps/manager/META-INF/context.xml
/abcd/tomcat/webapps/host-manager/META-INF/context.xml
命令:
# Add a user to Tomcat manager
sed -i 's/<\/tomcat-users>//g' /abcd/tomcat/conf/tomcat-users.xml
echo '<user name="YOUR USER NAME" password="YOUR PASSWORD" roles="manager-gui,admin-gui" />' | tee -a /abcd/tomcat/conf/tomcat-users.xml
echo '</tomcat-users>' | tee -a /abcd/tomcat/conf/tomcat-users.xml
# Set the Tomcat Manager apps to allow connections from everywhere
# Note: the -r forces sed to respect full regex
sed -i -r 's/127\\\.\\d\+\\\.\\d\+\\\.\\d\+\|::1\|0:0:0:0:0:0:0:1/\.\*/g' /abcd/tomcat/webapps/manager/META-INF/context.xml
sed -i -r 's/127\\\.\\d\+\\\.\\d\+\\\.\\d\+\|::1\|0:0:0:0:0:0:0:1/\.\*/g' /abcd/tomcat/webapps/host-manager/META-INF/context.xml
我不得不通过艰难的方式学习默认的\etc\tomcat\server.xml文件(至少对于OpenSUSE v15.2上的v9.0.36版本),已经包含了manager和host-manager应用程序的<Context ...>和<Valve ...>定义!这些显然会覆盖您在其他地方定义的context.xml或manager.xml文件。默认情况下,它们限制对本地主机的访问,这正是我所看到的。因此,需要在server.xml中调整设置,或者将其删除/注释,然后可以像以前一样添加其他响应中提到的文件。
/etc/tomcat/server.xml中定义Tomcat Manager,而是在/etc/tomcat/Catalina/localhost/manager.xml中,就像其他答案中所述。 - Piotr P. Karwasz
context.xml文件。在Tomcat默认错误页面中,关于编辑Manager的context.xml文件的指令可以更清晰地表述为编辑Manager应用程序目录中的context.xml文件。 - CODE-REaD