Re: Tomcat, security=yes et utilisation de server.xml
Bonjour,
Le dimanche 23 septembre 2007, Glennie Vignarajah a écrit...
> Je ne connais pas assez JAVA/Tomcat. Du coup, je me pose la question
> de savoir quelles sont risques encourues. Peut-on faire tourner
> tomcat sans '-security' en PROD? Si oui, à quoi sert cette option?
Une réponse de non spécialiste...
Le security manager gère les droits d'accès des instances de classes à
différents objets : sockets, dossiers...Vois ce qui se trouve dans
/etc/tomcat5.5/policy.d/
Lorsqu'on enlève l'option security, on enlève les protections sur ces
objets.
Tu peux paramétrer les droits (codeBase) dans le fichier 50user.policy
du précédent dossier.
Bon, je dis ça, mais je n'ai pas réussi à faire fonctionner non plus
Tomcat avec le security manager et log4j...
> Par ailleurs, la personne qui a mis au point l'appli prétend qu'il
> faut définir la config JDBC (et d'autre options)
> dans /etc/tomcat5.5/server.xml(car cela dépend de l'env. d'exécution
> et non de l'appli). Or, dans l'aide de tomcat 5.5, il est indiqué
> qu'il vaut mieux ne pas toucher /etc/tomcat5.5/server.xml, mais
> utiliser le fichier context.xml(de l'application) pour définir ces
> paramètres. Quel est votre point de vue sur ce point?
J'en sais rien.
Je crois que ce qui se trouve dans le server.xml est pour
l'authentification, et les fichiers web.xml pour les servlets
A mon avis, la config jdbc et autres devrait se trouver dans un fichier
de conf propre à l'application, un truc comme appli.cfg, qui serait
utilisé par le servlet
--
jm
A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com
Reply to: