Apache Tomcat 10 配置参考

要使用的实现的 Java 类名。此类必须实现 org.apache.catalina.Realm 接口。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

当此属性的值为authOnly或strictAuthOnly时，roleNameCol和userRoleTable属性变为可选。如果这两个属性被忽略，此 Realm 将不会加载用户的角色。

此 Realm 的 JNDI JDBC DataSource 的名称。

当 realm 嵌套在 Context 元素中时，这允许 realm 使用为 Context 定义的 DataSource，而不是全局 DataSource。如果未指定，则默认为false：使用全局 DataSource。

“用户角色”表中包含分配给相应用户的角色名称的列的名称。

此属性在大多数配置中是必需的。有关可以忽略此属性的罕见情况，请参见allRolesMode属性。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

通过 GSS-API 验证用户时，此属性控制是否从用户名末尾移除任何“@...”字符。如果未指定，则默认为true。

“用户”表中包含用户凭证（即密码）的列的名称。如果指定了CredentialHandler，此组件将假定密码已使用指定的算法进行编码。否则，将假定它们是明文。

“用户”和“用户角色”表中包含用户用户名的列的名称。

“用户角色”表的名称，该表必须包含由userNameCol和roleNameCol属性命名的列。

此属性在大多数配置中是必需的。有关可以忽略此属性的罕见情况，请参见allRolesMode属性。

“用户”表的名称，该表必须包含由userNameCol和userCredCol属性命名的列。

使用 X509 客户端证书时，这指定用于从证书中检索用户名的类名。该类必须实现org.apache.catalina.realm.X509UsernameRetriever接口。默认情况下，使用证书的 SubjectDN 作为用户名。

Microsoft Active Directory 经常返回引用。在对 NamingEnumerations 进行迭代时，这些引用会导致 PartialResultExceptions。如果您希望我们忽略这些异常，请将此属性设置为“true”。遗憾的是，没有稳定的方法来检测异常是否真正来自 AD 引用。默认值为“false”。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

如果无法在 connectionURL 上与提供程序建立套接字连接，将尝试使用 alternateURL。

指定要使用的身份验证类型的字符串。可以使用“none”、“simple”、“strong”或特定于提供程序的定义。如果未提供值，则使用提供程序的默认值。

尝试使用 StartTLS 打开安全连接时，指定允许哪些密码套件。允许的密码套件由逗号分隔的列表指定。默认情况下，使用 JVM 的密码套件。

除了从 LDAP 检索的角色外，分配给每个成功通过身份验证的用户的角色名称。如果未指定，则仅使用通过 LDAP 检索的角色。

在为 LDAP 搜索操作建立与目录的连接时要使用的目录用户名。如果未指定，则建立匿名连接，这通常足够，除非您指定 userPassword 属性。

在为 LDAP 搜索操作建立与目录的连接时要使用的目录密码。如果未指定，则建立匿名连接，这通常足够，除非您指定 userPassword 属性。

JNDI 领域可以使用与目录服务器的连接池，以避免阻塞单个连接。此属性值是最大池大小。如果未指定，它将使用 1，这意味着将使用单个连接。

在建立与 LDAP 目录的连接时要使用的超时（以毫秒为单位）。如果未指定，则使用 5000（5 秒）的值。

在建立与目录的连接时传递给 JNDI 驱动程序的连接 URL。

用于获取我们的 JNDI InitialContext 的工厂类的完全限定 Java 类名。默认情况下，假定将使用标准 JNDI LDAP 提供程序。

指定在搜索操作期间如何取消引用别名的字符串。允许的值为“always”、“never”、“finding”和“searching”。如果未指定，则使用“always”。

true 的设置强制在专有名称的字符串表示形式中使用 \nn 形式进行转义。这可以避免使用 Active Directory 的领域的问题，当使用 \nn 形式时，Active Directory 似乎对可选转义更宽容。如果未指定，将使用默认值 false。

在使用 StartTLS 保护与 ldap 服务器的连接时用于主机名验证的类的名称。默认构造函数将用于构造验证器类的实例。默认情况下，仅接受根据 ldap 服务器的对等证书有效的那些主机名。

指定要使用的 TLS 协议的字符串。如果未给出，则使用 Java 运行时的默认值。

尝试从与目录的连接中读取时使用的超时（以毫秒为单位）。如果未指定，则使用默认值 5000（5 秒）。

我们如何处理 JNDI 引用？允许的值为“ignore”、“follow”或“throw”（有关更多信息，请参见 javax.naming.Context.REFERRAL）。Microsoft Active Directory 经常返回引用。如果您需要遵循它们，请将引用设置为“follow”。注意：如果您的 DNS 不是 AD 的一部分，则 LDAP 客户端库可能会尝试在 DNS 中解析您的域名以查找另一个 LDAP 服务器。

用于执行角色搜索的基目录条目。如果未指定，将使用目录上下文中顶层元素。如果指定，它可以选择包含模式替换“{0}”..“{n}”，对应于用户专有名称的名称部分（由 javax.naming.Name.get() 返回）。

角色搜索找到的目录条目中包含角色名称的属性的名称。此外，您可以使用 userRoleName 属性指定用户条目中包含其他角色名称的属性的名称。

如果未指定 roleName，则不会执行角色搜索，并且仅从用户的条目中获取角色。

如果您希望将角色嵌套到角色中，请将其设置为 true。当执行角色搜索并且此属性的值为 true 时，将重复执行搜索以找到直接或间接属于用户的全部角色。如果未指定，则使用默认值 false。

用于执行角色搜索的 LDAP 筛选器表达式。

使用 {0} 替换经过验证用户的用户专有名称 (DN)，和/或 {1} 替换用户名，和/或 {2} 替换经过验证用户的用户目录条目中属性的值。提供 {2} 值的属性名称由 userRoleAttribute 属性配置。

当 roleNested 属性为 true 时，此筛选器表达式还将用于递归搜索间接属于此用户的其他角色。为了找到与新找到的角色匹配的角色，使用以下值：{0} 由新找到的角色的专有名称替换，{1} 和 {2} 均由角色名称替换（请参阅 roleName 属性）。userRoleAttribute 属性不适用于此搜索。

如果未指定此属性，则不会执行角色搜索，并且仅从 userRoleName 属性指定的用户的条目中的属性获取角色。

在搜索用户角色时，是否应以当前正在验证的用户身份执行搜索？如果为 false，则如果指定了 connectionName 和 connectionPassword，将使用它们，否则使用匿名。如果未指定，则使用默认值 false。请注意，在使用委派凭据访问目录时，此属性始终被忽略，并且使用委派凭据执行搜索。

如果您希望搜索由 roleBase 属性指定的元素的整个子树以查找与用户关联的角色条目，请将其设置为 true。默认值 false 仅导致搜索顶级。

使用 userSearch 属性时，指定要返回的最大记录数。如果未指定，则使用默认值 0，表示没有限制。

当 JNDI 领域与 SPNEGO 验证器一起使用并且 useDelegatedCredential 为 true 时，此属性控制在验证后用于与 LDAP 服务器建立连接的 QOP（保护质量）。此值用于为 LDAP 连接设置 javax.security.sasl.qop 环境属性。此属性应是从 auth-conf、auth-int 和 auth 中选出的值的逗号分隔列表。有关更多详细信息，请参阅 Java 文档。

默认值为 auth-conf。

指定在使用 StartTLS 连接时应使用哪个 ssl 协议。默认情况下，由 jre 决定。如果您需要更多控制，可以指定要使用的 SSLSocketFactory。

指定在使用 StartTLS 连接到 ldap 服务器时要使用的 SSLSocketFactory。将使用默认构造函数构造该类的实例。如果未给出类名，将使用默认 jre SSLSocketFactory。

通过 GSS-API 验证用户时，此属性控制是否从用户名末尾移除任何“@...”字符。如果未指定，则默认为true。

指定使用 userSearch 属性时等待返回记录的时间（以毫秒为单位）。如果未指定，则使用默认值 0，表示没有限制。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

指示 JNDIRealm 在为 JNDI 提供程序打开连接时使用上下文类加载器。默认值为 true。要使用容器的类加载器加载类，请指定 false。

当 JNDIRealm 与 SPNEGO 身份验证器一起使用时，用户可能可以使用委派凭据。如果存在此类凭据，此属性控制是否使用它们连接到目录。如果未指定，则使用默认值 true。

使用 userSearch 表达式执行用户搜索的基本元素。如果您使用 userPattern 表达式，则不使用。

包含用户密码的用户条目中的属性名称。如果您指定此值，JNDIRealm 将使用由 connectionName 和 connectionPassword 属性指定的值绑定到目录，并检索相应的属性以与由正在验证的用户指定的值进行比较。如果您未指定此值，JNDIRealm 将尝试使用用户条目的 DN 和用户提供的密码简单绑定到目录，成功的绑定将被解释为已验证的用户。

用户目录条目的可分辨名称 (DN) 的模式，其中 {0} 标记实际用户名应插入的位置。当可分辨名称包含用户名并且对所有用户而言都是相同的时，可以使用此属性代替 userSearch、userSubtree 和 userBase。请注意，在使用委派凭据访问目录时，此属性始终被忽略，而 userSearch、userSubtree 和 userBase 始终被用作替代。

用户目录条目中包含分配给此用户的角色名称的零个或多个值的属性的名称。此外，您可以使用 roleName 属性指定从通过搜索目录找到的各个角色条目中检索的属性的名称。如果未指定 userRoleName，则用户的所有角色都派生自角色搜索。

用户目录条目中包含在搜索角色时希望使用的值的属性的名称。这对于 RFC 2307 特别有用，其中角色 memberUid 可以是用户的 uid 或 uidNumber。此值将在您的角色搜索过滤器表达式中标记为 {2}。此值将不可用于嵌套角色搜索。

在搜索用户的目录条目时使用的 LDAP 过滤器表达式，其中 {0} 标记应插入实际用户名的位置。使用此属性（以及 userBase 和 userSubtree 属性）代替 userPattern 在目录中搜索用户的条目。

在搜索用户的条目时，是否应以当前正在进行身份验证的用户身份执行搜索？如果为 false，则如果指定了 connectionName 和 connectionPassword，将使用它们，否则将使用匿名。如果未指定，则使用默认值 false。请注意，在使用委派凭据访问目录时，此属性始终被忽略，并且使用委派凭据执行搜索。

如果要搜索由 userBase 属性指定的元素的整个子树以查找用户的条目，请将其设置为 true。默认值 false 仅导致搜索顶级。如果您正在使用 userPattern 表达式，则不会使用它。

如果要使用 StartTLS 来保护与 ldap 服务器的连接，请将其设置为 true。默认值为 false。

使用 X509 客户端证书时，这指定用于从证书中检索用户名的类名。该类必须实现org.apache.catalina.realm.X509UsernameRetriever接口。默认情况下，使用证书的 SubjectDN 作为用户名。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

当领域嵌套在 Context 元素中时，这允许领域使用为 Context 定义的 UserDatabase，而不是全局 UserDatabase。如果未指定，则默认值为 false：使用全局 UserDatabase。

此领域将用于用户、密码和角色信息的全局 UserDatabase 资源的名称。

如果需要，这允许使用与数据库断开的静态 Principal 实例。这使得经过身份验证的 principals 的行为等同于其他领域的行为。如果计划使用序列化，最好将其设置为 true，因为在序列化时，principal 将始终被此等效的静态 principal 替换。如果未指定，则默认值为 false：使用连接到 UserDatabase 的 Principal。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

使用 X509 客户端证书时，这指定用于从证书中检索用户名的类名。该类必须实现org.apache.catalina.realm.X509UsernameRetriever接口。默认情况下，使用证书的 SubjectDN 作为用户名。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

包含我们用户信息的 XML 文件的 URL、绝对路径或相对路径（到 $CATALINA_BASE）。有关所需的 XML 元素格式的详细信息，请参见下文。如果未指定 pathname，则默认值为 conf/tomcat-users.xml。

通过 GSS-API 验证用户时，此属性控制是否从用户名末尾移除任何“@...”字符。如果未指定，则默认为true。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

使用 X509 客户端证书时，这指定用于从证书中检索用户名的类名。该类必须实现org.apache.catalina.realm.X509UsernameRetriever接口。默认情况下，使用证书的 SubjectDN 作为用户名。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

在登录配置文件中配置的应用程序名称（JAAS LoginConfig）。

如果未指定 appName，则从放置它的容器的名称派生，例如 Catalina 或 ROOT。如果该领域未放置在任何容器中，则默认为 Tomcat。

您为用户 Principals 制作的类的名称的逗号分隔列表。

与此 Realm 一起使用的 JAAS 配置文件的名称。它将使用 ClassLoader#getResource(String) 进行搜索，因此可以将配置捆绑在 Web 应用程序中。如果未指定，将使用默认的 JVM 全局 JAAS 配置。

您为角色 Principals 制作的类的名称的逗号分隔列表。

通过 GSS-API 验证用户时，此属性控制是否从用户名末尾移除任何“@...”字符。如果未指定，则默认为true。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

指示 JAASRealm 使用上下文类加载器加载用户指定的 LoginModule 类和关联的 Principal 类。默认值为 true，这与 Tomcat 5 的工作方式向后兼容。要使用容器的类加载器加载类，请指定 false。

使用 X509 客户端证书时，这指定用于从证书中检索用户名的类名。该类必须实现org.apache.catalina.realm.X509UsernameRetriever接口。默认情况下，使用证书的 SubjectDN 作为用户名。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

此属性控制在处理 web.xml 中的授权约束时如何处理特殊角色名称 *。默认情况下，使用规范兼容的值 strict，这意味着用户必须被分配 web.xml 中定义的一个角色。替代值是 authOnly，这意味着用户必须经过身份验证，但不会检查分配的角色，以及 strictAuthOnly，这意味着用户必须经过身份验证，并且不会检查分配的角色，除非在 web.xml 中定义了角色，在这种情况下，用户必须至少被分配其中一个角色。

如果失败的用户在缓存中至少存在此时间段（以秒为单位）之前因缓存太大而从缓存中移除，则会记录一条警告消息。默认为 3600（1 小时）。

将失败身份验证的用户数保留在缓存中。随着时间的推移，缓存将增长到此大小，并且可能不会缩小。默认为 1000。

用户连续失败身份验证的次数，然后被锁定。默认为 5。

用户因身份验证失败次数过多而被锁定的时间（以秒为单位）。默认为 300（5 分钟）。在锁定时间内进一步的身份验证失败将导致锁定计时器重置为零，从而有效地延长锁定时间。锁定期间有效的身份验证尝试不会成功，但也不会重置锁定时间。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。

当容器需要发出 HTTP 重定向以满足配置的传输保证的要求时使用的 HTTP 状态代码。不验证提供的状态代码。如果未指定，则使用默认值302。