Sicurezza WebFOCUS Reporting Server

I seguenti argomenti descrivono i concetti di sicurezza rilevanti al WebFOCUS Reporting Server.

Modalità di sicurezza di WebFOCUS Reporting Server

La Sicurezza di WebFOCUS Reporting Server viene eseguita in una delle seguenti modalità:

Sicurezza OPSYS. Le credenziali utente dalla connessione di WebFOCUS Client vengono autenticate dal sistema di sicurezza nativo del sistema operativo. Il Reporting Server, quindi, assegna un agente di accesso dati in grado di impersonificare quell'utente in modo completo, cosicché il controllo d'accesso e gli altri oggetti vengano garantiti dal sistema nativo.
DBMS sicurezza. Gli utenti vengono autenticati utilizzando un elenco di ID utenti memorizzati in un'origine dati relazionale. In questa modalità, non è presente alcuna impersonificazione o autenticazione al livello di sicurezza del sistema operativo per nessuna credenziale utente, fornita dalla connessione di WebFOCUS Client. Invece, gli utenti potrebbero essere definiti sul server DBMS o sul subserver di WebFOCUS. Questa tecnica viene chiamata passaggio alla parola d'ordine, poiché gli ID e le parole d'ordine utente, fornite dal Client, vengono passate al prossimo livello per l'autenticazione.
Sicurezza PTH. L'accesso alla Console web di Reporting Server è controllato tramite l'autenticazione rispetto all'elenco utente definito al livello di configurazione (gli ID e le parole d'ordine utente devono essere configurate nel file admin.cfg). Quando viene impostata la sicurezza su PTH, non è presente alcuna impersonificazione o autenticazione al livello del sistema operativo. Tutte le procedure del server vengono eseguite come un ID utente singolo dal punto di vista del sistema operativo. Non è presente alcuna impersonificazione di agent dati.
Sicurezza LDAP. Le credenziali utente dalla connessione di WebFOCUS Client vengono autenticate tramite i servizi di directory stabiliti. L'impersonificazione non è applicabile per questa modalità di sicurezza.
Sicurezza OFF. L'utente non viene autenticato dalla sicurezza incorporata di WebFOCUS Reporting Server e tutti gli agent creati dal server verranno eseguiti con il profilo sicurezza dell'utente che ha avviato il server. È possibile utilizzare un plug-in di sicurezza come mezzo alternativo per l'autenticazione dell'utente.
Sicurezza personalizzata. L'utente viene autenticato da una procedura personalizzata.

Il comportamento di sicurezza della procedura dell'agent dell'utente varia a seconda delle proprie impostazioni di WebFOCUS Reporting Server. Per ulteriori informazioni, vedere il manuale Gestione del server per UNIX, Windows, OpenVMS, IBM i e z/OS.

Filtraggio di restrizione IP

Per un livello di sicurezza ulteriore, il Reporting Server potrebbe limitare alcuni indirizzi IP originari per richieste di servizio ai blocchi di comunicazione per Listener TCP (LST_TCP) e Listener HTTP (LST_HTTP). Questa funzione viene compiuta utilizzando la parola chiave (RESTRICT_TO_IP) nel file di configurazione delle comunicazioni del Reporting Server (odin.cfg).

Per esempio:

NODE=LST_TCP
BEGIN
 PROTOCOL=TCP
 SERVICE=8100
 CLASS=AGENT
 RESTRICT_TO_IP=172.16.*.*,172.16.22.33
END

Se l'IP in connessione non viene consentito da nessuna delle maschere specificate, questo viene respinto con un messaggio di violazione di sicurezza scritto alla registrazione del Reporting Server (edaprint.log), come una connessione eliminata. L'assenza della parola chiave RESTRICT_TO_IP, significa che è consentito qualsiasi indirizzo IP. La parola chiave potrebbe specificare fino ad otto maschere, utilizzando una virgola (,) (senza spazi né prima, né dopo) come il separatore.

Questa funzione potrebbe essere configurata utilizzando la Console web del Reporting Server, o modificando manualmente il file di configurazione delle comunicazioni del Reporting Server.

Ottenimento dell'identità dell'utente

Per accedere all'ID utente in una richiesta del prospetto, utilizzare la variabile attendibile del Reporting Server &FOCSECUSER. Questa variabile contiene l'ID utente di connessione, tranne quando la sicurezza del Reporting Server è impostata su OFF. &FOCSECUSER è consigliato su approcci precedenti, come le subroutine GETUSER e CNCTUSR.

Per impostare una parola d'ordine DBA dall'ID utente connesso che non può essere modificata in una procedura o in un file di configurazione, è possibile posizionare il seguente codice di esempio, ovunque nel profilo del Reporting Server (edasprof.prf):

SET PERMPASS = &&FOCSECUSER

Per ulteriori informazioni sulla sicurezza DBA, consultare il manuale Descrizione dei dati con la lingua di WebFOCUS .