Siga as recomendações de segurança do Servidor AX para controlar o acesso ao Analytics Exchange e manter dados de auditoria confidenciais seguros.
Como diretriz geral, você deve garantir acesso ao Servidor AX ao número mínimo necessário de contas, com o mínimo necessário de direitos e permissões.
Use uma conta de usuário de domínio dedicado somente para executar a conta do "Serviço AX". Não use nenhum dos tipos de conta a seguir:
Nota
A conta de usuário dedicada do domínio especificada exige acesso ao controlador do domínio do Active Directory para autenticar usuários que fazem login no Analytics Exchange. Se a conta especificada usa uma senha que expira, não deixe de implementar um processo para manter a senha atualizada.
Use a mesma conta de usuário de domínio usada para executar o serviço Analytics Exchange.
As permissões necessárias para executar o Nó do Motor AX e o serviço Analytics Exchange são as mesmas. Se você usar a mesma conta para os dois, terá de controlar apenas uma conta.
Para gerenciar os direitos e permissões de usuários no Servidor AX, adicione primeiro contas de usuários individuais a um grupo de usuários do Windows. Na concessão de direitos e permissões do Servidor AX para contas de usuários individuais, há duas opções de grupo de usuários:
Nota
A primeira opção é mais segura porque:
Os direitos de login e as permissões de pasta para os dois tipos de grupo são especificados nas próximas seções.
Não desative o controle de login para tentativas de login do usuário ou do administrador do Servidor AX. Para reduzir o risco de tentativas de força bruta na quebra da senha, o Analytics Exchange ativa o controle de login por padrão:
Esses valores padrão podem ser alterados no arquivo de configuração deployerConfigContext.xml.
Esses valores padrão podem ser alterados no arquivo de configuração admin-security.xml.
Proteja informações confidenciais relacionadas à instalação do Servidor AX. Durante o processo de instalação, se você criou qualquer arquivo que contém informações confidenciais como credenciais de conta ou definições de configuração, deve armazenar os arquivos em um local seguro.
As páginas de configuração do servidor a seguir exigem autenticação de nome de usuário e senha administrativos:
Você pode aumentar a segurança dessas páginas limitando o acesso à página a um subconjunto de endereços IP.
Nota
Se você restringir o acesso ao localhost, deve inserir 127.0.0.1 no endereço do navegador para acessar as páginas de configuração.
Para restringir o acesso a essas páginas, adicione os seguintes arquivos ao diretório ACL\App\Tomcat\conf\Catalina\localhost e especifique os endereços IP solicitantes permitidos em uma lista delimitada por vírgulas:
<Context path="/manager" debug="0" privileged="true"> <!-- Restringe acesso ao localhost. --> <!-- Os servidores permitidos devem ser adicionados em uma lista delimitada por vírgulas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
<Context path="/aclconfig" debug="0" privileged="true"> <!-- Restringe acesso ao localhost. --> <!-- Os servidores permitidos devem ser adicionados em uma lista delimitada por vírgulas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
Nota
Para desfazer essa alteração e remover as restrições de IP, é necessário fazer backup do diretório ACL\App\Tomcat\webapps\manager, interromper o serviço do Tomcat e excluir os arquivos adicionados em ACL\App\Tomcat\conf\Catalina\localhost. Após concluir essas etapas, substitua a pasta manager com o backup e reinicie o serviço.
A tabela a seguir descreve os direitos de login necessários para as contas que exigem acesso ao Servidor AX. Não conceda nenhum direito de login a uma conta além dos especificados abaixo. Os direitos de login são especificados na área Atribuições de direitos de usuário da política de segurança do Windows.
A restrição de direitos de login reduz o risco de que alguém obtenha acesso não autorizado ao Servidor AX.
|
Direito de login |
Conta do Serviço AX (incluindo todos os nós do motor) |
Conta do PostgreSQL (não se aplica se o servidor de banco de dados é Oracle) |
Conta do grupo de usuários do AX (grupo de usuários do Windows Cliente AX, Cliente Web AX e usuários de suplementos do AX) |
Conta do Conector do AX (usuários do ACL Analytics) |
|---|---|---|---|---|
|
Permitir login local |
Não |
Não |
Não |
Sim (deve ser atribuído manualmente) |
|
Negar login local |
Sim (deve ser atribuído manualmente) |
Sim (deve ser atribuído manualmente) |
Sim (deve ser atribuído manualmente) |
Não |
|
Fazer logon como um serviço |
Sim (atribuída automaticamente pelo instalador do AX) |
Sim (atribuída automaticamente pelo instalador do AX) |
Não |
Não |
Cuidado
Não conceda a usuários individuais ou a grupos de usuários permissões para todo o diretório "ACL" no Servidor AX, nem para os diretórios do sistema operacional do Servidor AX. Esse tipo de configuração cria um risco de segurança considerável e não é recomendada.
A tabela a seguir descreve as permissões de pasta necessárias para as contas que exigem acesso ao Servidor AX. Não conceda nenhuma permissão de pasta a uma conta além das especificados abaixo.
A restrição de acesso à pasta para apenas as contas e pastas necessárias reduz o risco de que alguém obtenha acesso não autorizado ao Servidor AX. Além disso, evita que um script do ACL obtenha acesso ou modifique arquivos fora das pastas adequadas.
|
Pasta no Servidor AX |
Conta do Serviço AX (incluindo todos os nós do motor) |
Conta do PostgreSQL (não se aplica se o servidor de banco de dados é Oracle) |
Conta do grupo de usuários do AX (grupo de usuários do Windows Cliente AX, Cliente Web AX e usuários de suplementos do AX) |
Conta do Conector do AX (usuários do ACL Analytics) |
|---|---|---|---|---|
|
ACL\App |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\App\analytic_engine\aclse\conf (a pasta de configuração do AX Connector) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
ACL\App\TomCat\conf (a pasta de configuração de servidor do aplicativo TomEE) Esse subdiretório contém arquivos de configuração que controlam a funcionalidade do Analytics Exchange. Após a instalação do Servidor AX, os arquivos de configuração podem conter informações confidenciais, como credenciais e nomes de host no formato hash. |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data\aclse\<nome do usuário> (se você está usando um grupo de usuários de domínio para usuários do AX) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Controle total para usuários no seu próprio subdiretório |
|
ACL\Data\aclse (se você está usando o grupo local "Usuários" do Servidor AX para usuários do AX) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Controle total, se não seguro Sem permissão, se seguro |
|
ACL\Data\jobs |
Controle total |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data\savedfailedjobs |
Controle total |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data\repository |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
ACL\Data\repository\datafiles (contém os arquivos de dados de origem armazenados no Analytics Exchange) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
ACL\Data\repository\upload |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
pasta de arquivos de dados compartilhados (se você usa nó do motor, ou um servidor de arquivos de dados separado) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
diretório de dados arquivar e restaurar |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |