mardi 9 février 2010

JBoss : permettre les accès distants

Depuis la version 4.2  de JBoss, la configuration de l'accès aux services réseaux est mappé sur le 127.0.0.1 (la machine en local). Cela rend JBoss complètement hermétique à toutes connexions distantes à ses services. Cette nouvelle configuration a pour objectif de sécuriser le JBoss.

Pour autoriser des accès distants au services de JBoss,  il faut alors démarrer le serveur l'option -b en précisant l'ip que vous désirez autoriser.

Voici la commande de lancement pour autoriser toutes les ips (qui est la configuration par défaut des versions antérieures de JBoss) :
run.sh -b 0.0.0.0

4 commentaires:

Jerome a dit…

Simple, précis & concis !
Merci :)

Idleman a dit…

Merci beaucoup, mais qu'en est il si le serveur est lancé en tant que service windows, comment pouvons nous accéder à cette commande ? Existe t'il un paramétrage dans les fichiers config a renseigner ?

Jérémy Sevellec a dit…

@Idleman Je pense que tu peux spécifier cette option de lancement de la JVM à l'intérieur même du fichier run.bat qui est normalement appelé quand le service démarre :

http://stackoverflow.com/questions/2417911/jboss-as-a-windows-service-where-can-i-set-the-java-opts

Idleman a dit…

Je ne suis pas parvenus a le mettre directement dans le bat, l'erreur suivante apparait quoique je fasse 'unrecognized command -b' j'ai essayé de le mettre entre quotes, sans quotes, dans run.bat, dans run-conf.bat etc.. rien a faire, je pense qu'il s'agit d'une erreur toute bete de syntaxe mais ne connaissant pas le langage je passe a côté .

En suivant ta piste du run.bat lancé par le service j'ai donc créé un bat (run.bat) qui lance le veritable bat (run2.bat) avec la commande. C'est bourrin mais ça fonctionne.

Je suis tous de même très étonné que jboss n'ai pas prévu un simple paramètre "bind-adress" dans l'un de ses nombreux xml. Cela me semble vital pour un serveur web d'être accessible depuis le web, a trop forcer sur la sécurité il faudra un jour pirater nos propres serveur jboss pour y avoir accès en local :).

Merci pour le coup de main.