Seguridad del servidor de informes WebFOCUS

Los siguientes temas describen los conceptos de seguridad correspondientes al Servidor de informes WebFOCUS.

Modos de seguridad del servidor de informes WebFOCUS

La seguridad del servidor de informes WebFOCUS se ejecuta en uno de estos modos:

Seguridad OPSYS. Las credenciales de usuario provenientes de la conexión del Cliente WebFOCUS se autentican por medio del sistema de seguridad nativo del sistema operativo. Después, el Servidor de informes asigna un agente de acceso a los datos que suplanta completamente al usuario para que el control de acceso a los archivos y otros objetos quede garantizado por el sistema nativo.
Seguridad DBMS. Los usuarios se autentican mediante una lista de ids. de usuarios almacenada en un origen de datos relacional. En este modo, no se lleva a cabo ninguna suplantación o autenticación, a nivel de seguridad del sistema operativo, de cualquier credencial de usuario proporcionada por la conexión del Cliente WebFOCUS. En cambio, los usuarios pueden definirse en el servidor DBMS o en el subservidor de WebFOCUS. Esta técnica se denomina pass-through de contraseña, puesto que los Ids. y contraseñas de los usuarios, proporcionados por el cliente, pasan al próximo nivel para ser autenticados.
Seguridad PTH. El acceso a la Consola Web del servidor de informes está controlado mediante una autenticación basada en la lista de usuarios definida en el nivel de configuración (los ids. y contraseñas de usuario deben configurarse en el archivo admin.cfg). Cuando la seguridad se ha establecido en PTH, no ocurre ningún tipo de suplantación o autenticación a nivel del sistema operativo. Todos los procesos del servidor se ejecutan como un Id. de usuario único desde el punto de vista del sistema operativo. Los agentes de datos no se suplantan.
Seguridad LDAP. Las credenciales de usuario provenientes de la conexión del Cliente WebFOCUS se autentican por medio de los servicios de directorio establecidos. La impersonación no aplica a este modo de seguridad.
Seguridad desactivada. El usuario no se autentica mediante la seguridad integrada del Servidor de informes WebFOCUS; todos los agentes creados por el servidor se ejecutan con el perfil de seguridad del usuario que lo ha iniciado. Se puede usar un complemento de seguridad como medio alternativo de autenticación de usuarios.
Seguridad personalizada. El usuario queda autenticado por un procedimiento personalizado.

El comportamiento de seguridad del proceso de agentes varía en función de la configuración de seguridad de su servidor de informes WebFOCUS. Para más información, consulte el manual Administración de servidor para UNIX, Windows, OpenVMS, IBM i y z/OS.

Filtraje de restricciones de IP

Como nivel de seguridad adicional, el Servidor de informes puede restringir algunas direcciones IP originadas para las solicitudes de servicio a los bloques de comunicaciones del Listener TCP (LAS_TCP) y el Listener HTTP (LST_HTTP). Esto se realiza mediante el uso de la palabra clave (RESTRICT_TO_IP) en el archivo de configuración de comunicaciones del Servidor de informes (odin.cfg).

Por ejemplo:

NODE=LST_TCP
BEGIN
 PROTOCOL=TCP
 SERVICE=8100
 CLASS=AGENT
 RESTRICT_TO_IP=172.16.*.*,172.16.22.33
END

Si el IP que está conectándose no es admitido por alguna de las máscaras especificadas, se le rechaza con un mensaje de violación de seguridad que queda escrito en el registro del Servidor de informes (edaprint.log) como conexión interrumpida. La ausencia de la palabra clave RESTRICT_TO_IP indica que se admite cualquier dirección IP. La palabra clave puede especificar hasta ocho máscaras, usando una coma (sin espacios delante o detrás) como separador.

Esto puede configurarse mediante la Consola Web del servidor de informes o editando manualmente el archivo de configuración de comunicaciones del servidor.

Cómo obtener la identidad del usuario

Para acceder al identificador de usuario en una solicitud de informe, emplee la variable protegida &FOCSECUSER del Servidor de informes. Esta variable contiene el id. del usuario que se está conectando, excepto cuando la seguridad del Servidor de informes se encuentra desactivada. Recomendamos el uso de &FOCSECUSER antes que otros métodos como las subrutinas GETUSER y CNCTUSR.

Para establecer una contraseña DBA a partir del Id. del usuario conectado, que no pueda cambiarse en un procedimiento o archivo de configuración, coloque el código de ejemplo siguiente en cualquier lugar del perfil del servidor de informes (edasprof.prf):

SET PERMPASS = &&FOCSECUSER

Para más información sobre la seguridad DBA, consulte el manual Cómo describir datos con el lenguaje WebFOCUS.