Sugerencias de seguridad Tomcat

En esta sección:

Esta sección ofrece algunas sugerencias básicas sobre cuestiones de seguridad, a la hora de ejecutar Tomcat en un entorno de producción de WebFOCUS. Para los entornos de desarrollo situados de forma segura detrás de un cortafuegos, la sección suele ser opcional. Debe ser administrador del equipo Windows, para llevar a cabo las tareas de esta sección.

Principio de página
x
Id. de usuario Tomcat y permisos NTFS

Cómo:

Referencia:

Por defecto, cuando Tomcat se ejecuta como un servicio Windows, lo hace como la cuenta del sistema local creada con Windows. La cuenta Sistema local tiene un acceso completo a su sistema Windows. En un entorno de producción, es aconsejable ejecutar Tomcat como un usuario con acceso restringido. Para ello, cree un id. de usuario de Tomcat, configure Tomcat para que use este id., y establezca los permisos NTFS para que permitan el acceso completo del id. a los directorios de Tomcat, WebFOCUS y otros que le resulten necesarios.
x
Procedimiento: Cómo Crear un id. de usuario de Tomcat
  1. Abra el Panel de control de Windows, las Herramientas administrativas y Administración de equipos.

    Nota: En equipos XP, puede que tenga que pulsar Cambiar a vista clásica en la esquina superior izquierda.

  2. Bajo Herramientas del sistema, amplíe Usuarios y grupos locales.
  3. Pulse con el botón derecho sobre Usuarios y elija Nuevo usuario.
  4. Ponga un nombre al nuevo usuario y proporcione una contraseña.
  5. Anule la sección de El usuario debe cambiar la contraseña en el siguiente inicio de sesión, y seleccione La contraseña nunca caduca.
  6. Pulse Crear.

    Se crea el usuario de Tomcat, que queda añadido al grupo de usuarios. Como administrador, puede mover Tomcat a un grupo especial, con un acceso al sistema aún más restringido. Sin embargo, si elige esta opción, debe comprobar que Tomcat puede leer y ejecutar desde todos los directorios Java y cualquier controlador JDBC obligatorio.

  7. Pulse Cerrar para cerrar la ventana Nuevo usuario.
x
Procedimiento: Cómo Configurar Tomcat para que utilice el id. de usuario Tomcat
  1. Abra la ventana Windows Services.
  2. Si Tomcat está abierto, pulse con el botón derecho sobre Apache Tomcat y elija Detener.
  3. Pulse con el botón derecho sobre Apache Tomcat, y elija Propiedades.

    Aparece la ventana Propieades de Apache Tomcat.

  4. Seleccione la pestaña Inicio de sesión.

    Se encuentra establecido por defecto en la cuenta Sistema local.

  5. Pulse Esta cuenta.
  6. Especifique el id. de usuario de Tomcat en el campo Esta cuenta.
  7. Introduzca y confirme la contraseña que ha definido para el id. de usuario de Tomcat. Si alguna vez decide cambiar esta contraseña, también debe hacerlo aquí.
  8. Pulse Aceptar.

    Debe aparecer un mensaje parecido a este:

    This account .\Tomcat has been granted Log On As a Service right.
x
Procedimiento: Cómo Establecer permisos NTFS para Tomcat

Después de configurar Tomcat para que se ejecute con este id. de usuario, debe concederle los permisos NTFS completos para los directorios de Tomcat y WebFOCUS.

  1. Abra el Explorador de Windows y pulse con el botón derecho sobre el directorio de instalación de Tomcat: 
    C:\Program Files\Apache Software Foundation\Tomcat 5.5
  2. Elija Propiedades y pulse la pestaña Seguridad.

    Si la pestaña Seguridad no aparece (en algunos equipos XP), puede que tenga que desactivar la opción Uso compartido simple de archivos. Puede desactivarla desde el Explorador de Windows, pulsando Herramientas, Opciones de carpeta, Ver, y anulando Uso compartido simple de archivos.

  3. Pulse Añadir.
  4. Mostrar todos los usuarios en el equipo local.
    1. Pulse Avanzado en la ventana que aparece.
    2. Si no se encuentra establecido en su nombre de host, pulse el botón Ubicaciones, seleccione su nombre de host y pulse Aceptar.
    3. Pulse Buscar ahora, para mostrar todos los usuarios en el equipo local.
  5. Désplacese hacia abajo para seleccionar el id. de usuario que va a ejecutar Tomcat.
  6. Pulse Aceptar.
  7. Pulse sobre Aceptar para regresar a la ventana de propiedades principales del directorio.
  8. Seleccione el id. de usuario de Tomcat y marque la casilla Permitir de Control completo.
  9. Pulse Aceptar.
  10. Repita este procedimiento con las aplicaciones y directorios de WebFOCUS77: 
    drive:\ibi\WebFOCUS77
    drive:\ibi\apps

    Más adelante, podrá restringir aún más los permisos.
x
Referencia: Cuestiones sobre los permisos

Los permisos NTFS e ids. de usuario obligatorios varían dependiendo de su sistema, entorno, requisitos de seguridad y preferencias de administrador. Normalmente, Tomcat, IIS y el servidor de informes WebFOCUS se ejecutan como cuentas independientes, y existen casos en que todos leen o escriben en el mismo directorio o archivo. Es aconsejable crear un grupo que contenga todos los id. de usuario obligatorios.

El manual Seguridad y administración de WebFOCUS contiene información adicional sobre los permisos.

Si el usuario de Tomcat no se encuentra en el grupo de usuarios predeterminado, o ha establecido permisos restringidos en el sistema, compruebe que el id. de usuario puede leer los directorios que incluyen controladores JDBC. Además, asegúrese de que Tomcat puede leer y ejecutar los directorios que contienen el Java JDK.

WebFOCUS