Accéder à l'application Tomcat Manager depuis un autre hôte

Question

J'ai installé tomcat 9 sur un serveur distant et après l'avoir démarré, il s'est mis en route sans problème, j'ai accès à http://host_name:port_num et voir la page d'accueil de Tomcat. Mais quand j'essaie d'ouvrir l'application manager pour voir mes applications déployées, j'obtiens 403 access denied, j'ai déjà ajouté des rôles dans le xml de l'utilisateur de tomcat comme suit :

<role rolename="manager"/>
<role rolename="manager-gui"/>
<role rolename="admin"/>
<user username="user" password="password" roles="admin,manager,manager-gui"/>

Les messages d'erreur que j'ai vus sont :

Par défaut, le gestionnaire d'hôtes n'est accessible que depuis un navigateur fonctionnant sur la même machine que Tomcat. Si vous souhaitez modifier cette restriction, vous devrez éditer le fichier context.xml du gestionnaire d'hôte.

Comment modifier le fichier context.xml et obtenir l'accès à l'application manager ?

Answer 1

Pour Tomcat v8.5.4 et plus, le fichier <tomcat>/webapps/manager/META-INF/context.xml a été ajusté :

<Context antiResourceLocking="false" privileged="true" >
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
</Context>

Modifiez ce fichier pour commenter le Valve :

<Context antiResourceLocking="false" privileged="true" >
    <!--
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
    -->
</Context>

Après cela, rafraîchissez votre navigateur (il n'est pas nécessaire de redémarrer Tomcat), vous pouvez voir la page du gestionnaire.

Answer 2

Chaque webapp déployée possède un context.xml qui se trouve dans

$CATALINA_BASE/conf/[enginename]/[hostname]

(conf/Catalina/localhost by default)

et a le même nom que la webapp ( manager.xml dans ce cas). Si aucun fichier n'est présent, les valeurs par défaut sont utilisées.

Donc, vous devez créer un fichier conf/Catalina/localhost/manager.xml et spécifiez la règle que vous voulez autoriser l'accès à distance. Par exemple, le contenu suivant de manager.xml permettra l'accès depuis toutes les machines :

<Context privileged="true" antiResourceLocking="false" 
         docBase="${catalina.home}/webapps/manager">
    <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="^YOUR.IP.ADDRESS.HERE$" />
</Context>

Notez que l'attribut "allow" de l'élément Valve est une expression régulière qui correspond à l'adresse IP de l'hôte qui se connecte. Remplacez donc votre adresse IP par VOTRE.ADRESSE.IP.ICI (ou toute autre expression utile).

Autre Valve les classes répondent à d'autres règles (par ex. RemoteHostValve pour les noms d'hôtes correspondants). Les versions antérieures de Tomcat utilisent une classe de valve org.apache.catalina.valves.RemoteIpValve pour la correspondance des adresses IP.

Une fois les modifications ci-dessus effectuées, une boîte de dialogue d'authentification devrait s'afficher lorsque vous accédez à l'URL du gestionnaire. Si vous entrez les détails que vous avez fournis dans tomcat-users.xml vous devriez avoir accès au Manager.

Answer 3

Pour accéder au gestionnaire de tomcat depuis les différentes machines, vous devez suivre les étapes suivantes :

1. Mettre à jour le fichier conf/tomcat-users.xml avec l'utilisateur et certains rôles :

<role rolename="manager-gui"/>
 <role rolename="manager-script"/>
 <role rolename="manager-jmx"/>
 <role rolename="manager-status"/>
 <user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>

Ici l'utilisateur admin assigne roles="manager-gui,manager-script,manager-jmx,manager-status" .

Ici l'utilisateur et le mot de passe de tomcat sont : admin

2. Mettre à jour le fichier webapps/manager/META-INF/context.xml (Autoriser l'adresse IP) :

Configuration par défaut :

<Context antiResourceLocking="false" privileged="true" >

  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />

  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

Ici, dans Valve, seules les adresses IP des machines locales sont autorisées à démarrer avec le code suivant 127. \d +. \d +. \d + .

2.a : Autoriser les IP spécifiques :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|YOUR.IP.ADDRESS.HERE" />

Ici, il suffit de remplacer |VOTRE.ADRESSE.IP.ICI avec votre adresse IP

2.b : Autoriser tous les IP :

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow=".*" />

Ici, en utilisant allow=".*" vous autorisez tous les IP.

Merci :)

Answer 4

Les deux configurations suivantes fonctionnent pour moi.

1. Détails de tomcat-users.xml

   ---

     <role rolename="manager-gui"/>
     <role rolename="manager-script"/>
     <role rolename="manager-jmx"/>
     <role rolename="manager-status"/>
     <role rolename="admin-gui"/>
     <role rolename="admin-script"/>
     <role rolename="tomcat"/>
   
     <user  username="tomcat"  password="tomcat" roles="tomcat"/>
   
     <user  username="admin"  password="admin" roles="admin-gui"/>
   
     <user  username="adminscript"  password="adminscrip" roles="admin-script"/>
   
     <user  username="tomcat"  password="s3cret" roles="manager-gui"/>
     <user  username="status"  password="status" roles="manager-status"/>
   
     <user  username="both"    password="both"   roles="manager-gui,manager-status"/>
   
     <user  username="script"  password="script" roles="manager-script"/>
     <user  username="jmx"     password="jmx"    roles="manager-jmx"/>

2. context.xml de /webapps/manager/META-INF/context.xml et /webapps/host-manager/META-INF/context.xml

   ---

   <Context antiResourceLocking="false" privileged="true" >

     <Valve className="org.apache.catalina.valves.RemoteAddrValve"
            allow=".*" />
     <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>

Answer 5

Comme j'ai dû l'apprendre à la dure, le défaut \etc\tomcat\server.xml (pour la v9.0.36 sur OpenSUSE v15.2 au moins) contenait déjà <Context ...> y <Valve ...> définitions pour les applications manager et host-manager ! Celles-ci annulent évidemment toute context.xml o manager.xml des fichiers que vous avez peut-être définis ailleurs. Par défaut, ils limitent l'accès à localhost, ce qui est exactement ce que je voyais. ||-Il faut donc ajuster les paramètres dans le fichier server.xml au lieu de OU les supprimer/commenter là et ensuite on peut ajouter les fichiers mentionnés dans les autres réponses comme on le faisait auparavant.