Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline dmitryp  
#1 Оставлено : 2 июля 2019 г. 6:57:28(UTC)
dmitryp

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2017(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Начиная с JCP 2.0.40109-A, все настройки JCP становятся локальными для пользователя:

Цитата:
все настройки хранятся в разделе Java Preferences пользователя user, а не system


Это усложняет использование JCP в Windows-службах - т.к. контрольную панель JCP (далее КП) нужно запускать из-под той учётной записи (УЗ), под которой будет работать служба. Пока что вижу следующие пути:
1. Устанавливать службу под обычной учётной записью. Это усложняет установку (т.к. нужно вводить пароль), и ведёт к уязвимостям (т.к. проще всего запускать КП из под той же УЗ, из-под которой производится администрирование).
1. Устанавливать службу под LocalService. КП в таком случае можно запускать через psexec. Плюс такой реализации - её достаточно просто добавить в инсталлятор. Пока что наиболее удобный вариант.
1. Устанавливать службу под виртуальной УЗ (NT Service\Foo), запускать КП из под какой-то другой (даже psexec не умеет запускать приложения из-под виртуальных УЗ), и переносить настройки между УЗ средствами работы с реестром. Технически, наверное, реализуемо, но не стоит полученных проблем.

Скажите, пожалуйста - планируете ли вы как-то поддерживать работу с виртуальными УЗ? Рассматриваете ли возвращение глобальных настроек в каком-то виде?

Отредактировано пользователем 2 июля 2019 г. 7:08:22(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 2 июля 2019 г. 7:34:42(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Насколько помню есть возможность запустить программы (но наверно не службы) от имени самой системы в интерактивном режиме (с видимым интерфейсом). КП не пробовал, а вот regedit помню запускал в Семерке и смотрел разделы реестра вроде SAM, которые не видны администраторам. Точную процедуру не помню, вроде тоже через psexec. Поэтому чисто теоретически возможно обойтись без всяких других учетных записей.
Offline dmitryp  
#3 Оставлено : 2 июля 2019 г. 7:43:38(UTC)
dmitryp

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2017(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
two_oceans, "от имени самой системы" - это, видимо, от LocalSystem? Это то же самое что второй вариант, но лучше бы LocalSystem для служб не использовать.

Запускать приложения от LocalService точно возможно (запускал КП через psexec) - для LocalSystem должно быть то же самое. Но настройки в любом случае будут локальными для конкретной УЗ (т.е. для LocalSystem/LocalService).
Offline Elvira Borodina  
#4 Оставлено : 10 июля 2019 г. 10:44:26(UTC)
Elvira Borodina

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 24.04.2018(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 9 раз в 6 постах
Добрый день!
Настройки JCP сделаны локальными для удобства пользователей.
В ранних версиях (java 8 и ниже) необходимо было производить установку провайдера (под root-ом), в процессе которой также прописывались все настройки.
Теперь же (для java 10 и выше) установка провайдера не нужна - достаточно просто скопировать себе файлы и запустить, прописав правильно classpath. Поэтому теперь все настройки прописываются при первом запуске провайдера. Для того, чтобы не требовать от клиентов в обязательном порядке производить первый запуск по root-ом (далеко не всем это удобно), решено было сделать настройки локальными.

Мы обсудили Вашу проблему. Пока мы не планировали возвращение глобальных настроек. Но если данная проблема будет актуальной (и трудно решаемой) в дальнейшем, мы предоставим её решение в будущих релизах.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.