Conseils de sécurité pour Tomcat

Dans cette section :

Cette section fournit quelques conseils de base sur les soucis de sécurité lorsque vous exécutez Tomcat dans un environnement de production WebFOCUS. Pour les environnements de développement qui sont derrière un pare-feu en toute sécurité, cette section est facultative normalement. Vous devez être un administrateur à l'ordinateur Windows pour effectuer des tâches dans cette section.

Haut de page
x
Identifiant utilsateur Tomcat et les autorisations NTFS

Comment :

Référence :

Par défaut, lorsque Tomcat s'exécute comme un service Windows, il s'exécute comme le compte Système local créé avec Windows. Le compte Système local a un accès complet à votre système Windows. Dans un environnement de production, il est recommandé d'exécuter Tomcat comme un utilisateur qui a un accès plus restreint. Pour le faire, créez un identifiant utilisateur pour Tomcat, configurez Tomcat pour utiliser cet identifiant, et définissez les autorisations NTFS pour accorder à cet identifiant un accès complet vers Tomcat, WebFOCUS, et autres répertoires dont il a besoin.
x
Comment : Créer un identifiant utilisateur Tomcat
  1. Ouvrez le panneau de configuration Windows, Outils d'administration, et Gestion de l'ordinateur.
  2. En dessous de Outils Système, déployer Utilisateurs et groupes locaux.
  3. Faites un clic droit sur Utilisateurs et sélectionnez Nouvel utilisateur.
  4. Nommez le nouvel utilisateur et fournissez un mot de passe.
  5. Désélectionnez L'utilisateur doit changer le mot de passe à la prochaine session, puis sélectionnez Le mot de passe n'expire jamais.
  6. Cliquez sur Créer.

    L'utilisateur Tomcat est créé et ajouté au groupe des utilisateurs. Un administrateur peut déplacer Tomcat dans un groupe spécial avec encore moins d'accès au système. Cependant, si vous effectuez cette opération, vous devez vérifier que Tomcat puisse lire et exécuter depuis tous les répertoires Java et tout pilote JDBC nécessaire.

  7. Cliquez sur Fermer pour fermer la fenêtre Nouvel utilisateur.
x
Comment : Configurer Tomcat pour utiliser l'identifiant utilisateur Tomcat
  1. Ouvrez la fenêtre Services Windows.
  2. Si Tomcat est en cours d'exécution, faites un clic droit sur Apache Tomcat et sélectionnez Arrêter.
  3. Faites un clic droit sur Apache Tomcat et sélectionnez Propriétés.

    La fenêtre Propriétés Apache Tomcat s'affiche.

  4. Cliquez sur l'onglet Se connecter.

    Par défaut, ceci est défini sur le compte Système local.

  5. Cliquez sur Ce compte.
  6. Spécifiez l'ID utilisateur Tomcat dans le champ Ce compte.
  7. Saisissez et confirmez le mot de passe que vous avez défini pour l'identifiant utilisateur Tomcat. Si jamais vous modifiez ce mot de passe, vous devez le modifier ici aussi.
  8. Cliquez sur OK.

    Un message semblable au suivant doit s'afficher : 

    This account .\Tomcat has been granted Log On As a Service right.
x
Comment : Définir les autorisations NTFS pour Tomcat

Après avoir configuré Tomcat pour qu'il s'exécute avec cet ID, vous devez donner à cet ID des permissions NTFS complètes sur les répertoires Tomcat et WebFOCUS

  1. Ouvrez Explorateur Windows et faites un clic-droit sur le répertoire d'installation de Tomcat : 
    C:\Program Files\Apache Software Foundation\Tomcat 8.0

    ou

    C:\ibi\tomcat
  2. Sélectionnez Propriétés et cliquez sur l'onglet Sécurité.
  3. Cliquez sur Ajouter.
  4. Affichez tous les utilisateurs sur l'ordinateur local.
    1. Cliquez sur Avancé dans la fenêtre qui apparaît.
    2. S'il ne pointe pas sur votre nom d'hôte, cliquez sur le bouton Emplacement, sélectionnez votre nom d'hôte, et cliquez sur OK.
    3. Cliquez sur Trouver maintenant pour afficher tous les utilisateurs sur la machine locale.
  5. Défilez vers le bas pour sélectionner l'identifiant utilisateur que vous avez défini pour exécuter Tomcat.
  6. Cliquez sur OK.
  7. Cliquez sur OK pour revenir à la fenêtre de propriétés principale pour le répertoire.
  8. Sélectionnez l'ID utilisateur Tomcat, et cochez la case Permettre pour Contrôle complet.
  9. Cliquez sur OK.
  10. Répétez cette procédure pour WebFOCUS81 et les répertoires des applications : 
    drive:\ibi\WebFOCUS81
    drive:\ibi\apps

    Si nécessaire, vous pourrez restreindre les permissions plus tard.
x
Référence : Problèmes des autorisations

Les autorisations NTFS requises et les identifiants utilisateur varient selon votre système, environnement, besoins de sécurité, et vos préférences de l'administrateur. Tomcat, IIS et le serveur d'applications WebFOCUS sont généralement exécutés en tant que comptes séparés et il existe des cas où ils lisent ou écrivent tous vers le même répertoire ou fichier. C'est une bonne idée de créer un groupe contenant tous les identifiants utilisateur requis.

Le manuel Sécurité et administration WebFOCUS contient des informations supplémentaires sur les permissions.

Si l'utilisateur Tomcat n'est pas dans le groupe d'utilisateurs par défaut et/ou que vous avez restreint les permissions sur votre système, assurez-vous que l'ID utilisateur Tomcat peut lire depuis ces répertoires contenant des pilotes JDBC. Vérifiez également que Tomcat puisse lire et exécuter les répertoires contenant le Java JDK.

WebFOCUS