Tomcat Passwortschutz für Webapplikationen

Im Tomcat lassen sich Webapplikationen mit einem Kennwort schützen. Dafür müssen lediglich einige Konfigurationsdateien bearbeitet werden. Wie sich ein Tomcat Passwortschutz für den Tomcat oder für einzelne Webapplikationen einrichten lässt, zeigt diese Anleitung.

Hinweis:
Getestet wurde dieser Artikel unter Windows mit Tomcat 8.5.6 und 8.5.15.

Bevor wir den Kennwortschutz für den Tomcat aktivieren, müssen wir eine neue Rolle und einen entsprechenden Benutzer in der Konfigurationsdatei tomcat-users.xml erstellen:

Die obige Konfiguration kann einfach vor dem schließenden tomcat-users Tag </tomcat-users> eingefügt werden. Der Benutzer user ist in diesem Beispiel mit der Rolle protected verknüpft. Als nächstes muss die entsprechende Webapplikation mit der vorhin definierten Rolle verknüpft werden. Diese Konfiguration nimmt man in der Konfigurationsdatei web.xml vor. Sollen alle Webapplikationen auf dem Tomcat mit dem Kennwort geschützt sein, befindet sich die richtige web.xml-Datei im Verzeichnis conf im Tomcat Installationsverzeichnis. Sollen nur bestimmte Webapplikationen mit dem Kennwort geschützt werden, muss die web.xml der entsprechenden Applikation editiert werden. Diese befindet sich im Verzeichnis der entsprechenden Webapplikation: WEB-INF\web.xml. Sollte das Verzeichnis WEB-INF oder die Datei web.xml nicht vorhanden sein, können diese einfach erstellt werden.

In der Datei web.xml ist schließlich folgende Konfiguration hinzuzufügen:

Hinweis:
Wenn man alle Applikationen mit dem Kennwort schützen möchte, ist in der obigen Konfiguration das Tag <web-app> und </web-app> zu entfernen, da diese bereits vorhanden sind. Die Konfiguration ist dann vor dem schließenden web-app Tag </web-app> in der Datei conf\web.xml hinzuzufügen.

Hinweis:
Sollten die Änderungen an den Konfigurationsdateien keine Wirkung zeigen, kann es helfen den Tomcat neu zu starten oder den Cache des Browsers zu leeren bzw. im privaten Modus auf die Tomcat Applikation zuzugreifen.

Nach erfolgter Konfiguration sollte der Tomcat Passwortschutz funktionieren und der Browser nach einem Benutzer und Kennwort fragen:

Passwortabfrage im Tomcat

Hinweis:
Mit dieser Konfiguration werden Benutzername und Passwort in Klartext übertragen. Man sollte sich also Gedanken machen, ob eine SSL-Verschlüsselung für den Tomcat sinnvoll ist.

Beitrag kommentieren

Bitte verfasse einen Kommentar.

Dein Kommentar wird vor der Freischaltung von einem Admin moderiert.