Sicurezza

In questa sezione:

 

x

Una contraffazione della richiesta del sito incrociato, anche conosciuta come attacco con un click o session riding, abbreviato con CSRF, è un tipo di sfruttamento malizioso di un sito web, quindi non i comandi non autorizzati sono trasmessi da un utente di cui il sito web si fida.

Il token CSRF impedisce attacchi selezionando un valore codificato, generato a caso e memorizzato nella sessione web dell'effettivo utente autenticato.

x

Se un utente fa clic sul link, il codice si inoltra come parte della richiesta utente.

x

Per assicurarsi che il server venga sempre avviato in modo sicuro, il fornitore di sicurezza predefinito configurato dal processo di installazione è ora il fornitore PTH (server interno). Durante l'installazione del server, si crea un ID utente di amministratore in admin.cfg. L'installatore è in grado di accettare l'ID utente predefinito (srvadmin) o di cambiarlo, ma l'installatore deve fornire una password per questo ID. L'ID utente verrà creato come nome a due parti nella forma security_provider\user_ID, per esempio, PTH\srvadmin.

Con questo fornitore di sicurezza configurato, il server si avvia con la sicurezza attiva (con il fornitore PTH), immediatamente dopo l'installazione, senza bisogno di configurare ulteriori privilegi.

Quando il server inizia con sicurezza PTH, l'ID utente PTH\srvadmin (o quello configurato durante l'installazione) è l'utente amministratore server, usato per connettersi alla console web server e quell'utente è in grado di eseguire ulteriori modifiche di sicurezza al server, cme l'aggiunta e la modifica di fornitori di sicurezza attivi e la modifica dei privilegi di controllo accesso per utenti, gruppi e ruoli. Si consiglia di mnatenere il fornitore PTH come fornitore di sicurezza attivo, per consentire l'uso di utente PTH\srvadmin come Amministratore Server di backup.

LDAP01\grp1

OPSYS\IBI\user1

Nota: Se si usa l'installazione silenziosa,è necessario fornire l'ID utente dell'amministratore server con password associata.

x

  1. Sulla pagina Controllo Accesso, fare clic su Impostazioni sul nastro, o fare clic con il tasto destro del mouse sulla cartella Controllo Accesso e selezionare Impostazioni Codifica dal menu contestuale.

    Si apre la pagina Codifica e Decodifica.

  2. Selezionare y dall'elenco a discesa io_encryption, come mostrato nella seguente immagine.

  3. Fare clic su Applica e Riavvia server.
x

Alcune delle funzioni che verranno nascoste quando ci si connette alla console web o console di gestione dati (DMC) sono la versione server, il nome e release server, le informazioni di accesso e l'elenco di privilegi per l'utente. Per utenti che si connettono da applicazioni front-end (Console Web, DMC, WebFOCUS), si visualizzeranno messaggi generici piuttosto che messaggi di errore server dettagliati.

Se una procedura genera un errore, l'utente visualizzerà il seguente messaggio:

(FOC1240) Please contact your WebFOCUS Administrator

Per impostare il privilegio UINFO per un ruolo, gruppo o utente:

  1. Si visualizza la pagina Proprietà.
x
Convalida Parametro Console Web

Ogni parametro di ogni forma visualizzata dalla console web viene registrata con una tabella interna che documenta i valori validi per ogni parametro e i permessi necessari per cambiarlo.

x
Calcolo dei privilegi per qualsiasi utente o gruppo registrato o non registrato

L'amministratore server è in grado di calcolare i privilegi di qualsiasi utente o gruppo registrato o non registrato sul server, facendo clic con il tasto destro del mouse sulla cartella Controllo Accesso e selezionando Mostra Privilegi dal menu contestuale.

Si apre la pagina Mostra Privilegi, come mostrato nella seguente immagine.

È possibile selezionare un fornitore di sicurezza e se visualizzare i privilegi di un utente o gruppo, nel fornitore di sicurezza, o se visualizzare i privilegi di qualsiasi ruolo di sicurezza.

Quindi, il server calcolerà i privilegi, a seconda dell'appartenenza utente e alla propria registrazione al gruppo.

Quando si fa clic su Avanti, il server calcola i privilegi appropriati e restituisce una pagina di proprietà per l'utente, gruppo o ruolo scelto con schede per Privilegi Generali e Privilegi Directory/File. Se il proprio server è configurato con profile_setting=all e si seleziona un utente che appartiene a multipli gruppi registrati, tutti i privilegi verranno combinati nella visualizzazione.
x

  1. Sulla pagina Workspace, o fare clic con il tasto destro del mouse sull'albero Workspace o fare clic sull'elenco a discesa Impostazioni sul nastro, selezionare Impostazioni e quindi Impostazioni Varie.

    Si apre la pagina Impostazioni Varie, come mostrato nella seguente immagine.

  3. Fare clic su Salva.
x

Per visualizzare il prospetto delle funzioni di sicurezza e sistema, fare clic sul pulsante Informazioni Funzioni Sicurezza/Sistema sul nastro della pagina Controllo Accesso, o fare clic con il tasto destro del mouse sulla cartella Controllo Accesso e selezionare Funzioni Sicurezza/Sistema sul menu contestuale.
x
x

La nuova funzione CHECKPRIVS, dato un codice privilegio generale (per esempio, NODPT), restituisce il valore Y (sì) o N (no), a seconda se l'utente connesso presenta quel privilegio. L'elenco completo dei privilegi generali è disponibile dalla pagina Controllo Accesso Console Web, in Proprietà Gruppo/Utente/Ruolo o dal pulsante C nella Console Web, nell'opzione My Console-/Show My General Privileges.

x

Nota: La variabile &FOCSECGROUP restituisce solo un gruppo principale, non un elenco di gruppi.

Se il server è configurato con profile_setting=all, la connessione alla console web o la console di gestione dati restituirà l'elenco di gruppi per l'utente connesso, se l'utente è un membro di più gruppi.

  1. Per visualizzare l'elenco dei gruppi, dalla pagina Workspace, fare clic con il tasto destro del mouse sull'albero Workspace o fare clic su Impostazioni sul nastro, selezionare Impostazioni e quindi Variabili Sistema Motore Principale.

    Si apre la pagina Variabili Sistema Principale, come mostrato nella seguente immagine.

  2. Selezionare Informazioni Sicurezza dall'elenco a discesa Servizio Impostazioni, o immettere &FOCSECGROUPS nella casella di testo Nome Impostazione e fare clic su Avanti.

    Si visualizza la pagina dell'elenco gruppi, come mostrato nella seguente immagine.
x

Per disabilitare un account PTH:

  2. Selezionare un utente e fare clic su Proprietà .

    Si apre la finestra di dialogo delle proprietà Utente PTH.

  3. Fare clic su Account disabilitato, come mostrato nell'immagine seguente:

  4. Fare clic su OK.

  5. Fare clic su Salva.
x

Le impostazioni SESSION_EXPIRATION e foccache_maxage sono state combinate nell'impostazione foccache_maxage. Quando una sessione scade, anche i file foccache di sessione scadono e sono rimossi dal sistema operativo,quindi nessun file non scaduto viene lasciato nelle directory foccache, dopo la scadenza della sessione utente.

Se si sta usando un file odin.cfg da un release precedente e presenta una impostazione SESSION_EXPIRATION, si sceglie l'intervallo più lungo dei due (foccache_maxage or SESSION_EXPIRATION), per far scadere sia il file foccache di sessione che il file di sessione.

Per impostare la scadenza di una sessione, usare l'impostazione foccache_maxage.

x
Eliminazione del parametro IBIF_cmd

Un utente che presenta solo i privilegi per eseguire procedure server predefinite non sarà in grado di eseguire direttamente la sintassi WebFOCUS, dal browser, usando ibiweb.exe con il parametro IBIF_cmd.

x

Quando si configurano più fornitori di sicurezza, è necessario identificarne uno come fornitore predefinito per connessioni protette, quando WebFOCUS o un altro software client invia un ID gruppo sicuro, senza un fornitore di sicurezza al server.

Per impostare il fornitore predefinito per gruppi protetti:

  1. Sulla pagina Controllo Accesso, fare clic su Impostazioni sul nastro, o fare clic con il tasto destro del mouse sulla cartella Controllo Accesso e selezionare Impostazioni dal menu contestuale.

    Si apre la pagina Impostazioni Controllo Accesso, come mostrato nella seguente immagine.

WebFOCUS