Segurança do WebFOCUS Reporting Server

Os tópicos a seguir descrevem conceitos de segurança relevantes para o Servidor de Relatório do WebFOCUS.

Modos de Segurança do WebFOCUS Reporting Server

A Segurança do WebFOCUS Reporting Server pode ser executada em um dos seguintes modos:

Segurança OPSYS. As credenciais de usuário da conexão do Cliente WebFOCUS são autenticadas pelo sistema de segurança nativo do sistema operacional. O Reporting Server, então, aloca um agente de acesso de dados que "imita" este usuário para que o controle de acesso a arquivos e outros objetos seja garantido pelo sistema nativo.
Segurança DBMS. Usuários são autenticados através de uma lista de IDs armazenada em uma fonte de dados relacional. Neste modo, não há imitação nem autenticação no nível da segurança do sistema operacional para qualquer credencial de usuário fornecida pela conexão do Cliente WebFOCUS. Em vez disso, os usuários podem ser definidos no servidor DBMS ou no subservidor WebFOCUS. Esta técnica é chamada de passagem de senha, pois os IDS e senhas fornecidos pelo cliente são passados para o próximo nível para autenticação.
PTH de Segurança. O acesso ao Console da Web do Reporting Server é controlado através da autenticação na lista de usuários definida no nível de configuração (IDs e senhas de usuários têm que ser configurados no arquivo admin.cfg). Quando a segurança é definida como PTH, não há imitação ou autenticação no nível do sistema operacional. Todos os processos de servidores são executados com um ID único de usuário a partir do ponto de vista do sistema operacional. Não há imitação de agentes de dados.
Segurança LDAP. As credenciais de usuário da conexão do Cliente WebFOCUS são autenticadas pelos serviços de diretório estabelecidos. A imitação não é aplicável para este modo de segurança.
Segurança OFF. O usuário não é autenticado pela segurança integrada do WebFOCUS Reporting Server, e todos os agentes criados pelo Servidor serão executados com o perfil de segurança do usuário que iniciou o Servidor. Um plug-in de segurança pode ser utilizado como um meio alternativo para a autenticação do usuário.
Segurança personalizada. O usuário é autenticado por um procedimento personalizado.

O comportamento da segurança do processo do agente do usuário varia dependendo da sua configuração de segurança do WebFOCUS Reporting Server. Para obter mais informações sobre JSCOM, consulte o manual Administração de Servidor para UNIX, Windows, OpenVMS, IBM i e z/OS.

Filtragem de Restrição de IP

Para se obter um nível adicional de segurança, o Reporting Server pode restringir certos endereços de IP de origem para solicitações de serviço para bloqueios de comunicação do Listener do TCP (LST_TCP) e do Listener do HTTP (LST_HTTP). Isto é alcançado através da utilização da palavra chave (RESTRICT_TO_IP) no arquivo de configuração de comunicação do Servidor de Relatório (odin.cfg).

Por exemplo:

NODE=LST_TCP
BEGIN
 PROTOCOL=TCP
 SERVICE=8100
 CLASS=AGENT
 RESTRICT_TO_IP=172.16.*.*,172.16.22.33
END

Se o IP para conexão não for permitido por alguma das máscaras especificadas, ele será rejeitado com uma mensagem de violação de segurança gravada no log do Servidor de Relatório (edaprint.log) como uma conexão perdida. A ausência da palavra chave RESTRICT_TO_IP significa que qualquer endereço de IP é permitido. A palavra chave pode especificar até oito máscaras utilizando uma vírgula (,) como separador, sem espaços antes ou depois.

Isto pode ser configurado através da utilização do Console da Web do Reporting Server ou manualmente, através da edição do arquivo de configuração de comunicação do Servidor de Relatório.

Como Obter a Identidade do Usuário

Para acessar o ID de usuário em uma solicitação de relatório, utilize a variável protegida do Servidor de Relatório &FOCSECUSER. Esta variável contém o ID de usuário para conexão, exceto quando a segurança do Servidor de Relatório está marcada como OFF. A variável &FOCSECUSER é recomendada em abordagens anteriores, como as subrotinas GETUSER e CNCTUSR.

Para configurar uma senha DBA a partir do ID de usuário conectado que não pode ser alterada em um procedimento ou arquivo de configuração, você pode inserir o seguinte código de exemplo em qualquer lugar no perfil do Servidor de Relatório (edasprof.prf):

SET PERMPASS = &&FOCSECUSER

Para obter mais informações sobre a segurança do DBA, ver o Descrevendo Dados com Linguagem WebFOCUS .