tomcat限制ip访问

context元素添加

<Context>

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1" deny=""/>
</Context>

若不加allow默认限制所有ip访问

若不加<Value>元素默认不限制ip

context.xml中<t0omcat-users>节点添加

<role rolename="tomcat"/><!-- 普通角色 -->
<role rolename="role1"/><!-- 普通角色 -->
<role rolename="manager-gui"/><!-- 允许manager-app -->
<role rolename="admin-gui"/><!-- 允许host-manager，server status -->
<user username="both" password="tomcat" roles="tomcat,role1,manager-gui,admin-gui"/>
<user username="role1" password="tomcat" roles="role1"/>

如果没有配置用户名和密码，或者你没有给所创建的用户以正确的角色（比如有进入tomact管理界面权限的角色） 那么是没办法进入tomact管理界面的，因此当扫描程序进行尝试的时候，一旦每输入5次以上，或者缺省的时候，就会报一次警告。

1在最近工作中遇到了一个问题，就是在项目启动的时候，会不断出现an attempt was made to authenticate the locked user  这个警告，中文翻译为试图验证被锁住的用户。那么我在接下来的分析中，这个警告的出现的可能的原因：

1  tomact在service.xml 文件中有配置tomact管理员的角色以及登陆管理员的账户，在黑客用扫描程序，进行扫描的时候，会不断尝试进行登陆tomact管理界面的操作，那么黑客这样做的原因是什么呢？其实，这样做 就是想尝试登陆tomact的管理员的界面，然后通过管理员界面把自己的木马和病毒上传到企业的应用的服务器上，以此来达到攻击在服务器上的应用，或者不断请求自己在服务器上上传的项目，以此使承载着正常的应用服务器达到峰值，从而使正常应用无法进行正常工作。那么回归到上面所说的问题：如果在tomact的service.xml文件中没有配置用户名和密码，或者你没有给所创建的用户以正确的角色（比如有进入tomact管理界面权限的角色） 那么是没办法进入tomact管理界面的，因此当扫描程序进行尝试的时候，一旦每输入5次以上，或者缺省的时候，就会报一次警告。

2  解决tomact配置管理员账号和密码。

   如果你要配置管理员账号和密码，在tomact8.0中，要把所有的配置都放上去，这样才能进入。把一下代码加入到service.xml中

<role rolename="admin-gui"/>
<role rolename="admin-script"/>
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<user username="system" password="password" roles="manager-gui,manager-script,manager-jmx,manager-status,admin- script,admin-gui"/>

相关参考《关于an attempt was made to authenticate the locked user 的问题的想法》

文章出自：http://www.365mini.com/page/tomcat-manager-user-configuration.htm

Tomcat Manager是Tomcat自带的、用于对Tomcat自身以及部署在Tomcat上的应用进行管理的web应用。Tomcat是Java领域使用最广泛的服务器之一，因此Tomcat Manager也成为了使用非常普遍的功能应用。

在默认情况下，Tomcat Manager是处于禁用状态的。准确地说，Tomcat Manager需要以用户角色进行登录并授权才能使用相应的功能，不过Tomcat并没有配置任何默认的用户，因此需要我们进行相应的用户配置之后才能使用Tomcat Manager。

Tomcat Manager的用户配置是在Tomcat安装目录/conf/tomcat-users.xml文件中进行管理的。

Tomcat Manager的用户配置非常简单，下面我们以一个具体的配置为例：

<tomcat-users>
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<user username="tomcat" password="tomcat" roles="manager-gui"/>
<user username="admin" password="123456" roles="manager-script"/>
</tomcat-users>
如上所示，我们只需要在tomcat-users节点中配置相应的role(角色/权限)和user(用户)即可。一个user节点表示单个用户，属性username和password分别表示登录的用户名和密码，属性roles表示该用户所具备的权限。

user节点的roles属性值与role节点的rolename属性值相对应，表示当前用户具备该role节点所表示的角色权限。当然，一个用户可以具备多种权限，因此属性roles的值可以是多个rolename，多个rolename之间以英文逗号隔开即可。

稍加思考，我们就应该猜测到，rolename的属性值并不是随意的内容，否则Tomcat怎么能够知道我们随便定义的rolename表示什么样的权限呢。实际上，Tomcat已经为我们定义了4种不同的角色——也就是4个rolename，我们只需要使用Tomcat为我们定义的这几种角色就足够满足我们的工作需要了。

以下是Tomcat Manager 4种角色的大致介绍(下面URL中的*为通配符)：

manager-gui
允许访问html接口(即URL路径为/manager/html/*)
manager-script
允许访问纯文本接口(即URL路径为/manager/text/*)
manager-jmx
允许访问JMX代理接口(即URL路径为/manager/jmxproxy/*)
manager-status
允许访问Tomcat只读状态页面(即URL路径为/manager/status/*)
从Tomcat Manager内部配置文件中可以得知，manager-gui、manager-script、manager-jmx均具备manager-status的权限，也就是说，manager-gui、manager-script、manager-jmx三种角色权限无需再额外添加manager-status权限，即可直接访问路径/manager/status/*。

tomcat role说明