Siga las recomendaciones de seguridad del Servidor de AX para controlar el acceso a Analytics Exchange y mantener la seguridad de los datos de auditoría confidenciales.
Como regla general, debe otorgarle acceso al Servidor de AX a la menor cantidad de cuentas necesarias, con la menor cantidad de derechos y permisos necesarios.
Utilice una cuenta de usuario de dominio dedicado solo para ejecutar la cuenta "Servicio de AX". No utilice ninguno de los siguientes tipos de cuentas:
Nota
La cuenta de usuario de dominio dedicado que especifique necesita acceso al controlador de dominios de Active Directory para autenticar a los usuarios que inician sesión en Analytics Exchange. Si la cuenta que especifica utiliza una contraseña que caduca, asegúrese de contar con un procedimiento establecido para mantener actualizada la contraseña.
Utilice la misma cuenta de usuario de dominio que utiliza para ejecutar el servicio Analytics Exchange
Los permisos necesarios para ejecutar el Nodo del motor de AX y el servicio Analytics Exchange Service son los mismos. Si usa la misma cuenta para ambos, solo debe hacer el seguimiento de una cuenta.
Administre los permisos y derechos de los usuarios en el Servidor de AX agregando primero cuentas de usuario individuales a un grupo de usuarios de Windows Existen dos opciones de grupo de usuarios al otorgar permisos y derechos en el Servidor de AX para las cuentas de usuario individuales:
Nota
La primera opción es más segura porque:
Los derechos de inicio de sesión y los permisos para la carpeta de cualquiera de los dos grupos se especifican en las próximas secciones.
No deshabilite el límite de inicio de sesión para los intentos de inicio de sesión de un usuario o administrador de Servidor de AX. Para reducir el riesgo de intentos de descifrar las contraseñas por la fuerza, Analytics Exchange permite limitar los inicios de sesión de forma predeterminada:
Estos valores predeterminados se pueden modificar en el archivo de configuración deployerConfigContext.xml.
Estos valores predeterminados se pueden modificar en el archivo de configuración admin-security.xml.
Proteja toda la información confidencial relacionada con la instalación del Servidor de AX. Durante el proceso de instalación, si creó archivos que contienen información sensible, como credenciales de cuentas o ajustes de configuración, debe almacenar los archivos en una ubicación segura.
Las siguientes páginas de configuración del Servidor requieren la autenticación del nombre de usuario y la contraseña del administrador:
Puede incrementar la seguridad de estas páginas limitando también el acceso a la página a un subconjunto de direcciones IP.
Nota
Si restringe el acceso a su host local, debe introducir 127.0.0.1 en la dirección de su navegador al acceder a estas páginas de configuración.
Para restringir el acceso a estas páginas, agregue los siguientes archivos al directorio ACL\App\Tomcat\conf\Catalina\localhost y especifique las direcciones IP que tienen permitido el acceso en una lista delimitada por comas:
<Context path="/manager" debug="0" privileged="true"> <!-- Restringe el acceso al localhost. --> <!-- Los servidores permitidos se deben agregar en una lista delimitada por comas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
<Context path="/aclconfig" debug="0" privileged="true"><!-- Restringe el acceso al localhost --> <!-- Los servidores permitidos se deben agregar en una lista delimitada por comas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
Nota
Para revertir este cambio y eliminar las restricciones de IP, debe hacer una copia de seguridad de su directorio ACL\App\Tomcat\webapps\manager, detener el servicio Tomcat y, a continuación, eliminar los archivos que agregó en ACL\App\Tomcat\conf\Catalina\localhost. Una vez que haya completado estos pasos, sobrescriba su carpeta manager con la copia de seguridad y reinicie el servicio.
La siguiente tabla describe los derechos de inicio de sesión necesarios para las cuentas que necesitan acceder al Servidor de AX. No otorgue a ninguna cuenta un derecho de inicio de sesión que supere lo que se especifica a continuación. Los derechos de inicio de sesión se especifican en el área de Asignación de derechos de usuario de la política de seguridad de Windows.
La restricción de los derechos de inicio de sesión reduce el riesgo de que alguna persona obtenga acceso no autorizado al Servidor de AX.
|
Derecho de inicio de sesión |
Cuenta de Servicio de AX (incluidos todo los Nodos del motor) |
Cuenta de PostgreSQL (no es aplicable si el servidor de base de datos es Oracle) |
Cuenta de grupo de usuarios de AX (grupo de usuario de Windows para AX Cliente, Cliente Web AX y usuarios de Complementos de AX) |
Cuenta del Conector de AX (usuarios de ACL Analytics) |
|---|---|---|---|---|
|
Permitir el inicio de sesión local |
No |
No |
No |
Sí (se debe asignar manualmente) |
|
Denegar el inicio de sesión local |
Sí (se debe asignar manualmente) |
Sí (se debe asignar manualmente) |
Sí (se debe asignar manualmente) |
No |
|
Iniciar sesión como servicio |
Sí (asignado automáticamente por el instalador de AX) |
Sí (asignado automáticamente por el instalador de AX) |
No |
No |
¡Precaución!
No les asigne permisos a los usuarios individuales o a los grupos de usuarios para que accedan a todo el directorio “ACL” en el Servidor de AX o a los directorios del sistema operativo del Servidor de AX. Este tipo de configuración crea un gran riesgo de seguridad y no es recomendable.
La siguiente tabla describe los permisos de carpeta que debe asignar a las cuentas que necesitan acceder al Servidor de AX. No otorgue a ninguna cuenta permisos para carpetas que superen lo que se especifica a continuación.
La restricción del acceso a las carpetas únicamente para las cuentas y carpetas necesarias reduce el riesgo de que alguien obtenga acceso no autorizado al Servidor de AX. También impide que un script de ACL modifique o acceda a archivos que no se encuentran en las carpetas adecuadas.
|
Carpeta en el Servidor de AX |
Cuenta de Servicio de AX (incluidos todo los Nodos del motor) |
Cuenta de PostgreSQL (no es aplicable si el servidor de base de datos es Oracle) |
Cuenta de grupo de usuarios de AX (grupo de usuario de Windows para AX Cliente, Cliente Web AX y usuarios de Complementos de AX) |
Cuenta del Conector de AX (usuarios de ACL Analytics) |
|---|---|---|---|---|
|
ACL\App |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\App\analytic_engine\aclse\conf (la carpeta de configuración del Conector de AX) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
ACL\App\TomCat\conf (La carpeta de configuración del servidor de aplicaciones TomEE) Esta subcarpeta contiene los archivos de configuración que controlan la funcionalidad Analytics Exchange. Una vez que se ha instalado el Servidor de AX, los archivos de configuración pueden contener información confidencial, como las credenciales y los nombres de host codificados. |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data\aclse\<nombre de usuario> (si está usando un grupo de usuarios de dominio para los usuarios de AX) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Control absoluto para usuarios en su propia subcarpeta |
|
ACL\Data\aclse (si está usando un grupo "Usuarios" local del Servidor de AX para los usuarios de AX) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Control absoluto si no está asegurado Sin permisos se está asegurado |
|
ACL\Data\jobs |
Control absoluto |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data\savedfailedjobs |
Control absoluto |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data\repository |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
ACL\Data\repository\datafiles (contiene los archivos de datos de origen almacenados en Analytics Exchange) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
ACL\Data\repository\upload |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
carpeta de archivos de datos compartidos (si utiliza el Nodo del motor o un servidor de archivos de datos independiente) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
directorio de datos Archivar y Restaurar |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |