Sécurité du serveur d'applications WebFOCUS

Les rubriques suivantes décrivent les concepts de sécurité relatives au Serveur de Rapports WebFOCUS.

La sécurité du serveur d'applications s'exécute dans un des modes suivants :

Sécurité OPSYS. Les informations de connexion utilisateur au client WebFOCUS sont authentifiées par le système de sécurité natif du système d'exploitation. Le Serveur de Rapports attribue ensuite un agent d'accès aux données qui emprunte pleinement l'identité cet utilisateur afin que le contrôle d'accès aux fichiers ou à tout autre objet soit garanti par le système natif.
Sécurité DBMS. Les utilisateurs sont authentifiés à l'aide d'une liste d'identifiants d'utilisateur qui est stockée dans une source de données relationnelle. Dans ce mode, il n'ya pas d'imitation ou d'authentification au niveau de sécurité du système d'exploitation pour les informations de tout utilisateur par la connexion du client WebFOCUS. au contraire, les utilisateurs peuvent être définis sur le serveur DBMS ou sur le sous-serveur WebFOCUS. Cette technique est appelée passerelle mot de passe, au fur et à mesure que les identifiants utilisateurs et les mots de passe fournis par le client sont passés au prochain niveau pour authentification.
Sécurité PTH. L'accès à la console Web du Serveur de Rapports est contrôlé par une authentification via la liste d'utilisateur définie au niveau configuration (les IDs utilisateur et mots de passe doivent être configurés dans le fichier admin.cfg). Lorsque la sécurité est définie sur PTH, il n' y a pas d'imitation ou d'authentification au niveau du système d'exploitation. Tous les traitements du serveur sont exécutés en tant qu'identifiant utilisateur à partir du point de vue du système d'opération. Il n'y a pas d'impersonnation des agents de données.
Sécurité LDAP. Les informations utilisateur pour la connexion client WebFOCUS sont authentifiées grâce aux services de répertoire établis. L'imitation n'est pas applicable pour ce mode de sécurité.
Sécurité OFF. L'utilisateur n'a pas été authentifié par la sécurité intégrée des serveurs de rapports WebFOCUS et que tous les agents créés par le serveur vont être exécutés avec le profil de sécurité de l'utilisateur qui a démarré le serveur. Un plug-in de sécurité peut être utilisé de façon alternative pour l'authentification de l'utilisateur.
Sécurité personnalisation. L'utilisateur est authentifié par une procédure personnalisée.

Le comportement de sécurité du traitement de l'agent de l'utilisateur varie selon le paramètre de sécurité de votre serveur d'applications. Pour plus d'informations, consultez le manuel Administration du serveur pour UNIX, Windows, OpenVMS, IBM i et z/OS.

Restriction de filtre IP

Pour un niveau supplémentaire de sécurité, un Serveur de Rapports peut restreindre certaines générateurs d'adresses IP pour des requêtes de services vers les blocs de communication pour l'auditeur TCP (LST_TCP) et l'auditeur HTTP (LST_HTTP). Vous y parvenez en utilisant le mot-clé RESTRICT_TO_IP dans le fichier de configuration des communications avec le Serveur de Rapports (odin.cfg).

Par exemple :

NODE=LST_TCP
BEGIN
 PROTOCOL=TCP
 SERVICE=8100
 CLASS=AGENT
 RESTRICT_TO_IP=172.16.*.*,172.16.22.33
END

Si l'IP qui se connecte n'est pas autorisé par tous les masques spécifiés, il est rejeté avec un message de violation de sécurité rédigé dans le journal du Serveur de Rapports (edaprint.log) en tant qu'une connexion interrompue. L'absence du mot clé RESTRICT_TO_IP signifie que toute adresse IP est permise. Le mot clé peut spécifié jusqu'à huit masques à l'aide d'une virgule (sans espace avant et après chque masque spécifié) en tant que délimiteur.

Ceci peut être configuré en utilisant la console Web du Serveur de Rapports ou manuellement, en éditant le fichier de configuration de communication du Serveur de Rapports.

Obtenir l'identité de l'utilisateur

Pour accéder à l'ID utilisateur dans une requête de rapport, utiliser la variable protégée du Serveur de Rapports &FOCSECUSER. Cette variable contient l'ID utilisateur qui se connect, sauf si la sécurité du Serveur de Rapports est désactivée (OFF). &FOCSECUSER est la méthode recommandée, plutôt que les sous-routines GETUSER et CNCTUSR.

Pour définir un mot de passe DBA à partir d'un identifiant utilisateur qui ne peut être modifié dans une procédure ou un fichier de configuration, vous pouvez placez l'exemple suivant partout sur le profil du Serveur de Rapports WebFOCUS (edasprof.prf).

SET PERMPASS = &&FOCSECUSER

Pour en savoir plus sur SET HOLDSTAT, reportez-vous au manuel Description de données en langage WebFOCUS .