遵照 AX 服务器安全建议,控制对 Analytics Exchange 的访问并保持敏感审核数据安全。
作为一般性准则,您应该将 AX 服务器访问权限授予最少数量的必需帐户,并为其配置所需的最小权利和权限。
只能使用专门域用户帐户运行“AX 服务”帐户。不要使用如下任一帐户类型:
说明
您指定的专用域用户帐户需要对 Active Directory 域控制器的访问权限,以便认证登录 Analytics Exchange 的用户。如果您指定的帐户使用过期的密码,请确保您已准备好可使密码保持最新的过程。
使用您用来运行 Analytics Exchange 服务的同一域用户帐户
运行 AX 引擎节点和 Analytics Exchange 服务的许可是相同的。对您拥有的两种手段使用同一帐户来仅跟踪一个帐户。
通过首先将单个用户帐户添加到 Windows 用户组来管理 AX 服务器上的用户权利和权限。在为单个用户帐户授予 AX 服务器上的权利和权限时,有两个用户组选项:
说明
第一个选项更安全,原因如下:
以后各节指定了任一类型组的登录权限和文件夹权限。
不要禁用用户或 AX 服务器管理员的登录尝试限制。要减轻在破解密码时进行野蛮尝试的风险,Analytics Exchange 默认情况下会启用登录抑制:
这些默认值可在 deployerConfigContext.xml 配置文件中进行更改。
这些默认值可在 admin-security.xml 配置文件中进行更改。
请保护与您的 AX 服务器安装有关的任何敏感信息。在安装过程中,如果您创建了任何包含敏感信息(如帐户凭证或配置设置)的文件,您应该将这些文件存储在安全位置。
以下服务器配置页面要求验证管理员用户名和密码:
您还可以通过限制对 IP 地址子集的页面访问权限来增强这些页面的安全性。
说明
如果限制对本地主机的访问权限,则必须在访问配置页面时在浏览器地址中输入 127.0.0.1。
要限制对这些页面的访问权限,请将下列文件添加到 ACL\App\Tomcat\conf\Catalina\localhost 目录,并且在逗号分隔列表中指定允许的请求 IP 地址:
<Context path="/manager" debug="0" privileged="true"> <!-- 限制访问本地主机。--> <!-- 必须将允许的服务器添加到逗号分隔列表中 --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
<Context path="/aclconfig" debug="0" privileged="true"> <!—限制访问 localhost. --> <!-- 必须将允许的服务器添加到逗号分隔列表中 --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
说明
要复原此变更并移除 IP 限制,您必须备份 ACL\App\Tomcat\webapps\manager 目录,停止 Tomcat 服务,然后删除已添加到 ACL\App\Tomcat\conf\Catalina\localhost 的文件。完成这些步骤后,请立即用备份覆盖 manager 文件夹,然后重启该服务。
下表概述了需要访问 AX 服务器的帐户所需的登录权限。请勿将任何超越以下所指定权限的登录权限授予某个帐户。登录权限是在 Windows 安全策略的”用户权限分配“区域指定的。
限制登录权限可减轻有人获取未经授权访问 AX 服务器的权限的风险。
|
登录权限 |
AX 服务帐户 (包括任何引擎节点) |
PostgreSQL 帐户 (如果数据库服务器是 Oracle,则不适用) |
AX 用户组帐户 (AX 客户端、AX Web 客户端和 AX 加载项用户的 Windows 用户组) |
AX 连接器帐户 (ACL Analytics 用户) |
|---|---|---|---|---|
|
允许本地登录 |
否 |
否 |
否 |
是 (必须手动分配) |
|
拒绝本地登录 |
是 (必须手动分配) |
是 (必须手动分配) |
是 (必须手动分配) |
否 |
|
作为服务登录 |
是 (由 AX 安装程序自动分配) |
是 (由 AX 安装程序自动分配) |
否 |
否 |
注意
请勿将单个用户或用户组权限授予 AX 服务器上的整个“ACL”目录或 AX 服务器操作系统目录。此类型的配置会产生重大安全风险,建议不要这么做。
下表概述了您需要授予帐户以便其访问 AX 服务器的文件夹权限。请勿将任何超越以下所指定权限的文件夹权限授予某个帐户。
将文件夹访问权限仅授予所需的帐户和所需的文件夹可减轻有人获取未经授权访问 AX 服务器的权限的风险。它还能够防止 ACL 脚本访问或修改适当文件夹外部的文件。
|
AX 服务器上的文件夹 |
AX 服务帐户 (包括任何引擎节点) |
PostgreSQL 帐户 (如果数据库服务器是 Oracle,则不适用) |
AX 用户组帐户 (AX 客户端、AX Web 客户端和 AX 加载项用户的 Windows 用户组) |
AX 连接器帐户 (ACL Analytics 用户) |
|---|---|---|---|---|
|
ACL\App |
读取 写入 |
无权限 |
无权限 |
无权限 |
|
ACL\App\analytic_engine\aclse\conf (AX 连接器配置文件夹) |
读取 写入 |
无权限 |
无权限 |
读取 |
|
ACL\App\TomCat\conf (TomEE 应用程序服务器配置文件夹) 此子文件夹包含控制 Analytics Exchange 功能的配置文件。安装 AX 服务器之后,配置文件可能包含敏感信息,如哈希凭据和主机名。 |
读取 写入 |
无权限 |
无权限 |
无权限 |
|
ACL\Data |
读取 写入 |
无权限 |
无权限 |
无权限 |
|
ACL\Data\aclse\<用户名> (如果您对 AX 用户使用域用户组) |
读取 写入 |
无权限 |
无权限 |
用户对于自己的子文件夹的完全控制 |
|
ACL\Data\aclse (如果您对 AX 用户使用 AX 服务器本地“用户”组) |
读取 写入 |
无权限 |
无权限 |
如果不安全,则为完全控制 如果安全,则无权限 |
|
ACL\Data\jobs |
完全控制 |
无权限 |
无权限 |
无权限 |
|
ACL\Data\savedfailedjobs |
完全控制 |
无权限 |
无权限 |
无权限 |
|
ACL\Data\repository |
读取 写入 |
无权限 |
无权限 |
读取 |
|
ACL\Data\repository\datafiles (包含存储在 Analytics Exchange 中的源数据文件) |
读取 写入 |
无权限 |
无权限 |
读取 |
|
ACL\Data\repository\upload |
读取 写入 |
无权限 |
无权限 |
读取 |
|
共享数据文件文件夹 (如果使用引擎节点,或单独的数据文件服务器) |
读取 写入 |
无权限 |
无权限 |
读取 |
|
存档和恢复数据目录 |
读取 写入 |
无权限 |
无权限 |
无权限 |