Cómo restringir el acceso de permiso a archivos de Managed Reporting
Para los entornos de desarrollo situados de forma segura detrás de un cortafuegos, el resto del capítulo es opcional.
En entornos de producción, tiene la opción de mejorar la seguridad de Managed Reporting, restringiendo el acceso a sus datos y evitando que los usuarios puedan entrar desde el sistema de archivos. Debe evitar el acceso a los datos de Managed Reporting desde el sistema de archivos, ya que puede dejar al descubierto información sensible, permitir la alteración de informes de producción, o provocar que Managed Reporting quede en un estado inoperativo.
Managed Reporting mantiene la mayoría de sus archivos en su directorio de repositorio:
drive:\ibi\WebFOCUS77\basedir
También utiliza el directorio siguiente para el procesamiento:
drive:\ibi\WebFOCUS77\temp
Cuando el funcionamiento es normal, solo las cuentas que ejecutan miniservidores WebFOCUS deben tener acceso a estos directorios. Puede aumentar la seguridad garantizando que Windows evite que otros ids. de usuario puedan entrar a estos directorios. También puede dar acceso al sistema de archivos a un grupo de administradores, para que puedan prestar ayuda y colaborar en la depuración de errores.
Las cuentas obligatorias pueden variar considerablemente, dependiendo de su servidor de aplicaciones y otras configuraciones. Para más información, consulte la documentación de su servidor de aplicaciones y del sistema operativo.
- En Tomcat, con o sin ISS, consulte el procedimiento siguiente.
- En otros servidores Web y servidores de aplicaciones, consulte la documentación correspondiente para determinar los ids. de usuario. Otorgue a estos ids. de usuario el control completo sobre los directorios basedir y temp. A continuación, elimine el resto de ids. y grupos, exceptuando aquellos a los que quiera tener acceso.
Nota: Normalmente, el único que requiere acceso a basedir es el servidor de aplicaciones. El servidor Web no suele requerir acceso a basedir.
x
Procedimiento: Cómo Cómo asegurar un repositorio de Managed Reporting con Tomcat
La restricción del permiso NTSF durante el uso de Tomcat, varía en función del id. de usuario que esté ejecutando Tomcat:
-
Sistema local. Tomcat se ejecuta por defecto como la cuenta del sistema local creada con Windows. Para restringir el acceso, elimine todas las cuentas excepto el grupo SYSTEM, y añada el grupo SERVICE. Puede añadir un id. de usuario adicional que desempeñe tareas administrativas. Debe efectuarse en los directorios basedir y temp, como se indica a continuación.
Si no está seguro sobre cómo establecer el permiso NTFS, revise Sugerencias de seguridad Tomcat, o póngase en contacto con su administrador. Para eliminar un id. de usuario, anule la selección de la casilla Permitir permisos no heredables.
-
Id. de usuario Tomcat restringido. Aunque Tomcat se ejecuta como sistema local, por defecto, puede configurarlo para que lo haga como un id. de usuario con restricciones. Cree el id. de usuario y configure Tomcat para que lo utilice. Después, establezca los permisos NTFS para que el id. de usuario de Tomcat tenga un control completo sobre los directorios de Tomcat y WebFOCUS. Este id. de usuario debe ser capaz de leer y ejecutar directorios Java y cualquier controlador JDBC. Hay más información disponible en Sugerencias de seguridad Tomcat. Después de asegurar que el id. de usuario de Tomcat tenga acceso a todos los recursos necesarios, puede evitar que cualquier otro id. entre al directorio basedir.
Si emplea Tomcat con IIS, este no requiere acceso a basedir.