Доступ к приложению Tomcat Manager с другого хоста

Я установил tomcat 9 на удаленный сервер, и после его запуска все было нормально, я могу получить доступ к http: // host_name: port_num и увидеть страницу приветствия tomcat. Но когда я пытаюсь открыть приложение-менеджер, чтобы увидеть свои развернутые приложения, я получаю отказ в доступе 403, я уже добавляю роли в xml пользователя tomcat следующим образом:

<role rolename="manager"/>
<role rolename="manager-gui"/>
<role rolename="admin"/>
<user username="user" password="password" roles="admin,manager,manager-gui"/>

Сообщения об ошибках, которые я видел:

По умолчанию Host Manager доступен только из браузера, работающего на том же компьютере, что и Tomcat. Если вы хотите изменить это ограничение, вам необходимо отредактировать файл context.xml диспетчера хоста.

Как мне изменить файл context.xml и получить доступ к приложению менеджера?

У каждого развернутого веб-приложения есть context.xmlфайл, который находится в

$CATALINA_BASE/conf/[enginename]/[hostname]

(conf/Catalina/localhost by default)

и имеет то же имя, что и веб-приложение ( manager.xmlв данном случае). Если файл отсутствует, используются значения по умолчанию.

Итак, вам нужно создать файл conf/Catalina/localhost/manager.xmlи указать правило, по которому вы хотите разрешить удаленный доступ. Например, следующий контент manager.xmlразрешит доступ со всех машин:

<Context privileged="true" antiResourceLocking="false" 
         docBase="${catalina.home}/webapps/manager">
    <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="^.*$" />
</Context>

Обратите внимание, что атрибут allow Valveэлемента является регулярным выражением, которое соответствует IP-адресу подключающегося хоста. Другие Valveклассы обслуживают другие правила (например, RemoteHostValveдля сопоставления имен хостов).

После внесения описанных выше изменений при доступе к URL-адресу менеджера должно появиться диалоговое окно аутентификации. Если вы введете предоставленные вами данные, у tomcat-users.xmlвас должен быть доступ к менеджеру.

Для Tomcat v8.5.4 и выше файл <tomcat>/webapps/manager/META-INF/context.xmlбыл скорректирован:

<Context antiResourceLocking="false" privileged="true" >
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
</Context>

Измените этот файл, чтобы прокомментировать Valve:

<Context antiResourceLocking="false" privileged="true" >
    <!--
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
    -->
</Context>

После этого обновите ваш браузер (перезапускать Tomcat не нужно), вы увидите страницу менеджера.

Чтобы получить доступ к диспетчеру tomcat с другого компьютера, вам необходимо выполнить следующие шаги:

1. Обновите файл conf / tomcat-users.xml, указав пользователя и некоторые роли :

<role rolename="manager-gui"/>
 <role rolename="manager-script"/>
 <role rolename="manager-jmx"/>
 <role rolename="manager-status"/>
 <user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>

Здесь пользователь admin назначает роли = "manager-gui, manager-script, manager-jmx, manager-status" .

Здесь пользователь и пароль tomcat: admin

2. Обновите файл webapps / manager / META-INF / context.xml (разрешение IP-адреса) :

Конфигурация по умолчанию :

<Context antiResourceLocking="false" privileged="true" >
  
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
  
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

Здесь, в Valve, IP-адрес локального компьютера может начинаться с 127. \ d +. \ D +. \ D + .

2.a: Разрешить определенный IP :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|YOUR.IP.ADDRESS.HERE" />

Здесь вы просто замените | YOUR.IP.ADDRESS.HERE на свой IP-адрес.

2.b: Разрешить все IP :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />

Здесь, используя allow = ". *", Вы разрешаете все IP.

Благодарность :)

Following two configuration is working for me.

1 .tomcat-users.xml details
--------------------------------
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <role rolename="manager-jmx"/>
  <role rolename="manager-status"/>
  <role rolename="admin-gui"/>
  <role rolename="admin-script"/>
  <role rolename="tomcat"/>


  <user  username="tomcat"  password="tomcat" roles="tomcat"/>

  <user  username="admin"  password="admin" roles="admin-gui"/>

  <user  username="adminscript"  password="adminscrip" roles="admin-script"/>

  <user  username="tomcat"  password="s3cret" roles="manager-gui"/>
  <user  username="status"  password="status" roles="manager-status"/>

  <user  username="both"    password="both"   roles="manager-gui,manager-status"/>

  <user  username="script"  password="script" roles="manager-script"/>
  <user  username="jmx"     password="jmx"    roles="manager-jmx"/>

2. context.xml  of <tomcat>/webapps/manager/META-INF/context.xml and 
<tomcat>/webapps/host-manager/META-INF/context.xml
------------------------------------------------------------------------
<Context antiResourceLocking="false" privileged="true" >

  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>