Suivez les recommandations relatives à la sécurité d'AX Serveur afin de contrôler l'accès à Analytics Exchange et de garantir la sécurité des données d'audit sensibles.
De manière générale, nous vous recommandons d'accorder l'accès à AX Serveur au nombre minimum de comptes requis, avec le minimum de droits et d'autorisations requis.
Utilisez un compte utilisateur d'un domaine dédié uniquement pour exécuter le compte « Service AX ». N'utilisez aucun des types de compte suivants :
Remarque
Le compte utilisateur de domaine dédié que vous spécifiez requiert l'accès au contrôleur de domaine Active Directory afin d'authentifier les utilisateurs qui se connectent à Analytics Exchange. Si le compte que vous spécifiez utilise un mot de passe qui expire, assurez-vous qu'un processus est mis en place pour garder le mot de passe à jour.
Utilisez le même compte utilisateur de domaine que vous utilisez pour exécuter le service Analytics Exchange.
Les autorisations requises pour exécuter le Nœud moteur d'AX et le service Analytics Exchange sont les mêmes. Si vous utilisez le même compte pour les deux, cela signifie que vous devez suivre uniquement un compte.
Gérez les droits et les autorisations des utilisateurs sur AX Serveur en ajoutant tout d'abord les comptes utilisateur individuels à un groupe d'utilisateurs Windows. Lorsque vous accordez des droits et des autorisations sur AX Serveur pour les comptes utilisateur individuels, deux options liées aux groupes d'utilisateurs s'offrent à vous :
Remarque
La première option est plus sûre, car :
Les droits de connexion et les autorisations de dossier de chaque type de groupe sont spécifiés dans les sections qui suivent.
Ne désactivez pas la limitation des connexions pour les tentatives de connexion administrateur ou utilisateur d'AX Serveur. Pour atténuer le risque de tentatives en force brute au décodage du mot de passe, Analytics Exchange active la limitation de connexion par défaut :
Ces valeurs par défaut peuvent être modifiées dans le fichier de configuration deployerConfigContext.xml.
Ces valeurs par défaut peuvent être modifiées dans le fichier de configuration admin-security.xml.
Sécurisez toute information sensible en rapport avec votre installation d'AX Serveur. Pendant le processus d'installation, si vous avez créé des fichiers contenant des informations sensibles comme des informations d'identification de compte ou des paramètres de configuration, vous devez stocker ces fichiers dans un emplacement sécurisé.
Les pages Configuration du serveur exigent une authentification avec un nom d'utilisateur et un mot de passe d'administrateur :
Vous pouvez accroître la sécurité de ces pages en limitant l'accès à ces pages à un sous-ensemble d'adresses IP.
Remarque
Si vous limitez l'accès à votre localhost, vous devez saisir 127.0.0.1 dans l'adresse de votre navigateur lorsque vous accédez aux pages de configuration.
Pour limiter l'accès à ces pages, ajoutez les fichiers suivants au répertoire ACL\App\Tomcat\conf\Catalina\localhost et spécifiez les adresses IP de requêtes autorisées dans une liste séparée par des virgules :
<Context path="/manager" debug="0" privileged="true"> <!-- Limite l'accès à localhost. --> <!-- Les serveurs autorisés doivent être ajoutés à une liste séparée par des virgules --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
<Context path="/aclconfig" debug="0" privileged="true"> <!-- Limite l'accès à localhost. --> <!-- Les serveurs autorisés doivent être ajoutés à une liste séparée par des virgules --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
Remarque
Pour annuler cette modification et supprimer les restrictions IP, vous devez sauvegarder votre répertoire ACL\App\Tomcat\webapps\manager, arrêter le service Tomcat, puis supprimer les fichiers que vous avez ajoutés à ACL\App\Tomcat\conf\Catalina\localhost. Une fois que vous avez suivi ces étapes, écrasez votre dossier manager avec la sauvegarde, puis redémarrez le service.
Le tableau suivant décrit les droits de connexion nécessaires pour les comptes qui nécessitent un accès à AX Serveur. N'accordez aucun droit de connexion à un compte au-delà de ce qui est spécifié ci-dessous. Les droits de connexion sont spécifiés dans la zone Attribution des droits utilisateurs de la stratégie de sécurité de Windows.
La restriction des droits de connexion diminue le risque que quelqu'un obtienne un accès non autorisé à AX Serveur.
|
Droit de connexion |
Compte de Service AX (y compris tous les nœuds moteur) |
Compte PostgreSQL (non applicable si le serveur de base de données est Oracle) |
Compte du groupe d'utilisateurs AX (groupe d'utilisateurs Windows pour le Client AX, le Client Web d'AX et les compléments AX) |
Compte de connecteur AX (utilisateurs ACL Analytics) |
|---|---|---|---|---|
|
Autoriser la connexion locale |
Non |
Non |
Non |
Oui (doit être affecté manuellement) |
|
Refuser la connexion locale |
Oui (doit être affecté manuellement) |
Oui (doit être affecté manuellement) |
Oui (doit être affecté manuellement) |
Non |
|
Se connecter en tant que service |
Oui (affecté automatiquement par le programme d'installation AX) |
Oui (affecté automatiquement par le programme d'installation AX) |
Non |
Non |
Attention
N'attribuez pas d'autorisations de groupes d'utilisateurs ou d'utilisateurs individuels à tout le répertoire « ACL » sur AX Serveur ou aux répertoires du système d'exploitation d'AX Serveur. Ce type de configuration crée un risque de sécurité majeur et n'est pas recommandé.
Le tableau qui suit décrit les autorisations de dossier que vous devez accorder aux comptes qui nécessitent un accès à AX Serveur. N'accordez aucune autorisation de dossier à un compte au-delà de ce qui est spécifié ci-dessous.
Limiter l'accès aux dossiers aux seuls comptes et aux seuls dossiers requis diminue le risque que quelqu'un obtienne un accès non autorisé à AX Serveur. Cela empêche également qu'un script ACL accède aux fichiers ou les modifie en dehors des dossiers appropriés.
|
Dossier sur AX Serveur |
Compte de Service AX (y compris tous les nœuds moteur) |
Compte PostgreSQL (non applicable si le serveur de base de données est Oracle) |
Compte du groupe d'utilisateurs AX (groupe d'utilisateurs Windows pour le Client AX, le Client Web d'AX et les compléments AX) |
Compte de connecteur AX (utilisateurs ACL Analytics) |
|---|---|---|---|---|
|
ACL\App |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Pas d'autorisations |
|
ACL\App\analytic_engine\aclse\conf (le dossier de configuration de Connecteur AX) |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Lecture |
|
ACL\App\TomCat\conf (le dossier de configuration pour le serveur d'application TomEE) Ce sous-répertoire contient les fichiers de configuration qui contrôlent la fonctionnalité d'Analytics Exchange. Après l'installation d'AX Serveur, il se peut que les fichiers de configuration contiennent des informations sensibles comme des informations d'identification hachées et des noms d'hôte. |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Pas d'autorisations |
|
ACL\Data |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Pas d'autorisations |
|
ACL\Data\aclse\<nom de l'utilisateur> (si vous utilisez un groupe d'utilisateurs de domaine pour les utilisateurs AX) |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Contrôle total des utilisateurs pour leur propre sous-répertoire |
|
ACL\Data\aclse (si vous utilisez le groupe « Utilisateurs » local d'AX Serveur pour les utilisateurs AX) |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Contrôle total si pas sécurisé Aucune autorisation si sécurisé |
|
ACL\Data\jobs |
Contrôle total |
Pas d'autorisations |
Pas d'autorisations |
Pas d'autorisations |
|
ACL\Data\savedfailedjobs |
Contrôle total |
Pas d'autorisations |
Pas d'autorisations |
Pas d'autorisations |
|
ACL\Data\repository |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Lecture |
|
ACL\Data\repository\datafiles (contient les fichiers de données source stockés dans Analytics Exchange) |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Lecture |
|
ACL\Data\repository\upload |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Lecture |
|
dossier de fichiers de données partagé (si vous utilisez un nœud moteur ou un serveur de fichiers de données différent) |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Lecture |
|
répertoire d'archivage et de restauration des données |
Lecture Écriture |
Pas d'autorisations |
Pas d'autorisations |
Pas d'autorisations |