启用 WebLogic Server 域之间的信任

　　启用WebLogic Server 域之间的信任

　　注意： 在启用 WebLogic Server 域之间的信任后，会将服务器暴露于中间人攻击之下。因此，在启用生产环境中的信任时应十分谨慎。 BEA 建议使用强网络安全，例如使用专用通信通道或由强防火墙提供保护。

　　建立域之间的信任关系，是为了使一个WebLogic Server 域的主题中的委托人作为另一个域的委托人被接受。启用此功能后，将通过RMI 连接在WebLogic Server 域之间传递标识，而无需在第二个域中进行身份验证（例如，以Joe 的身份登录到域1 中，当对域2 进行RMI 调用时，仍会对Joe 进行身份验证）。启用内部域信任后，事务可跨越域提交。当一个域的域凭据与另一个域的域凭据相匹配时，就会建立信任关系。

　　默认情况下，域凭据是在首次启动WebLogic Server 域时随机创建的。此过程可以确保，在默认情况下不会存在使用同一凭据的两个WebLogic Server 域。要启用两个WebLogic Server 域之间的信任，必须为这两个WebLogic Server 域中的凭据显式指定相同的值。在管理控制台中，使用“域”节点下的“安全: 高级”页上的配置选项可以设置域凭据。在“凭据”和“确认凭据”字段中，请使用为每个域指定的相同凭据替换随机凭据。

　　在创建委托人时，WebLogic Server 将使用域凭据对委托人进行签名。当从远程源收到主题时，将对其委托人进行验证（将重新创建签名，如果签名匹配，则表明远程域具有相同的域凭据）。如果验证失败，将生成错误。如果验证成功，将信任这些委托人，就如同他们是本地创建的一样。

　　注意： 下次将 config.xml 文件持久保存到磁盘时，任何采用明文形式的凭据都将被加密。

　　如果需要WebLogic Server 6.x 域与其他WebLogic Server 域进行互操作，请将WebLogic Server 域中的域凭据更改为WebLogic Server 6.x 域中的system用户的密码。

　　如果要在受管服务器环境中启用域之间的信任，必须停止两个域中的管理服务器和所有受管服务器，然后重新启动它们。如果不执行此步骤，未重新引导的服务器将不会信任已重新引导的服务器。

　　在启用WebLogic Server 域之间的信任时，请记住以下几点：

　　由于域将信任远程委托人而不会要求进行身份验证，因此，域中可以具有未在域的身份验证数据库中定义的已通过身份验证的用户。此情况可导致出现授权问题。

　　域中任何已通过身份验证的用户均可以访问与原始域之间启用信任的任何其他域，而无需重新进行身份验证。进行此类登录时，将不会进行审核，也不会对组成员资格进行验证。因此，如果Joe 是对其进行身份验证的原始域中的管理员组成员，则当他对所有可信域进行RMI 调用时，他将自动成为这些域的管理员组成员。

　　如果域2 信任域1 和域3，则现在域1 和域3 将隐式信任对方。因此，域1 中的Administrators 组成员也是域3 中的Administrators 组成员。这可能不是所需的信任关系。

　　如果扩展WLSUser 和WLSGroup 委托人类，则必须在共享信任的所有域的服务器类路径中安装自定义委托人类。

　　请参阅“管理控制台联机帮助”中的启用域之间的信任关系。

　　注意： 也可以使用 WebLogic 脚本工具或 Java 管理扩展（ Java Management Extensions ，简称 JMX ） API 来修改安全配置。

　　跨域安全通过使用凭据映射器配置两个WebLogic Server 域对之间的通信，来建立这些WebLogic Server 域之间的信任关系。

　　1. 如果尚未执行此操作，请在管理控制台的更改中心中单击“锁定并编辑”（请参阅使用更改中心）。

　　2. 在左侧窗格中，单击域名。

　　3. 选择“安全”>“常规”。

　　4. 选择“已启用跨域安全”。

　　5. 单击“保存”。在域的安全领域为跨域安全创建某个用户，并将此用户分配到CrossDomainConnectors 组中。请参阅和。为跨域安全用户配置跨域安全凭据映射。请参阅。

　　6. 要激活这些更改，请在管理控制台的更改中心中单击“激活更改”。

　　并非所有更改都立即生效。某些更改必须重新启动后才能生效（请参阅使用更改中心）。

　　在要启用跨域安全的每个域中执行相同的过程。