Segurdad en Glassfish

Amigos:

Estoy investigando a cerca de la seguridad que se puede implementar en glassfish 3,1, pero he avanzado algo lento. Mis principales inquietudes son:

Se puede deshabilitar la consola de administración?
Se puede entregar ciertos privilegios a distintos usuarios? Por ejemplo, que un desarrollador no tenga acceso a los archivos de configuración de la jvm?

Atento a sus respuestas

Marco

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.
Imagen de neko069

Ah carajo, ¿qué no se supone

Ah carajo, ¿qué no se supone que sólo un administrador podría hacer éso? o cómo es tu esquema de trabajo?

Imagen de arterzatij

me imagino que

Quiere tener varios esquemas, el de pruebas, desarrollo y produccion...

ahi entonces tendrias que tener varias instancias para poder tener eso en el caso del de produccion obviamente solo tendra acceso el administrador y/o la persona que realiza los deployments...

Pero en definitiva yo no le daria acceso a las diferentes instancias a todos...

para eso es cada rol

Imagen de neko069

Lo más común es que tengas

Lo más común es que tengas una sola aplicación, y que los descriptores del ambiente estén en ficheros (generalmente XML o incluso parámetros dentro del mismo script del servidor de aplicaciones que proveen ciertos valores de inicio) que sólo los administradores puedan manipular.

El asunto es más o menos así:

Existe un ambiente de desarrollo y uno de producción (servidores físicos independientes con linux)
En desarrollo existen varios dominios de los desarrolladores y específicamente el domain1, es el que se utiliza para verificar los deploy finales antes de implementarlos en Produccción.

Ahora bien, este domain (domain1) tiene habilitado el puerto 4848 y el 8080, por lo tanto pueden ser accesados por los desarrolladores a través de la barra del navegador con su nombre y puerto. Esto es lo que yo quiero evitar. Porque los deploy debe realizarlos el administrador, pero el administrador implementa esto a través de la consola de administración.

En Producción sólo el administrador realiza los deploys, pero el server puede ser accesado a la pagina de inicio a través de su nombre y puerto, aunque no pueden ingresar pues no saben la password.

En sí, lo que necesito es que si cualquier usuario accede al puerto 4848 (consola) y 8080 , no se les muestre nada.

Gracias por su atención y Atento a sus sugerencias

Imagen de neko069

Cambio de puertos

Cierra el puerto de la consola (4848), para que sólo se pueda ver de forma local, y el 8080 ... no sé digo, se supone que ése es el default para las aplicaciones, tendrías que cambiar el puerto para que Glassfish tome otro.
Para la configuración de puertos mira acá.
Y para lo de los ficheros, puedes crear un grupo e incluir sólo algunos usuarios para que sólo usuarios agregados previamente a ése grupo puedan leer, escribir sobre ésos ficheros.