IBM Rational Publishing Engine 的安全性注意事项

您可以执行操作以确保您的安装安全,定制安全设置,并设置用户访问控制。还可以确保了解您可能遇到的此应用程序的任何安全性限制。

启用安装过程期间的安全性

如果仅要安装 Document Studio 或 Launcher 应用程序,那么不需要执行任何步骤即可在安装期间启用安全性。如果要在应用程序服务器上安装远程服务,那么必须完成若干步骤,才能保护服务器。
  • 如果要将 WebSphere® Application Server 用作应用程序服务器,那么在部署 Rational® Publishing Engine Web 应用程序时,必须启用若干安全设置(如管理安全性和应用程序安全性)。 有关更多信息,请参阅WebSphere Application Server 上手动部署远程服务应用程序
    警告: 如果安装了 WebSphere Application Server 临时修订 (PM44303) 或修订包(包含 PM44303),那么 WebSphere Application Server 的某些版本会存在潜在安全漏洞。 必须安装特定于您的 WebSphere Application Server 版本和操作系统的修订。 有关更多信息,请参阅 IBM WebSphere Application Server 的潜在安全漏洞影响 Rational Publishing Engine 技术说明。
  • 如果要将 Apache Tomcat 用作应用程序服务器,那么不存在任何必须设置的必需安全设置,尽管可选择设置 SSL 配置。有关更多信息,请参阅 Apache Tomcat Web 站点上的 V6.0V7.0 的 SSL 配置 How-To 信息。
  • 要了解有关用户名和密码的存储方式的更多信息,请参阅应用程序服务器的文档。

为阻止点击劫持,缺省情况下,远程服务应用程序中的 X-Frame-Options 头设置为 DENY。有关点击劫持和此设置的更多信息,请参阅 WebSphere Application ServerApache Tomcat 的主题。

在部署远程服务应用程序之后,可选择为客户机应用程序中的远程文档生成组件输入安全 URL 还是不安全的 URL。安全 URL 包括在此信息中心内的文档中。有关更多信息,请参阅远程服务 URL。如果选择设置不安全的文档生成,那么任何用户都可查看所生成输出文档,即使他们对数据源中的数据没有访问权限。

启用多个应用程序之间的安全通信

在一台服务器上运行多个应用程序时,不需要任何其他配置,因为在 Rational Publishing Engine 与正使用的数据源之间不存在任何直接通信。使用的数据源模式和数据来自 Rational Publishing Engine 中的数据源,但是对于 Rational Publishing Engine 中的数据,不存在任何要求向该数据源反馈的变更。

端口、协议和服务

可设置代理连接。

应用程序服务器的管理控制台的 HTTPS 传输端口。
  • WebSphere Application Server 的缺省端口为 9043
  • Apache Tomcat 的缺省端口为 8080
应用程序服务器的 HTTP 传输端口:
  • WebSphere Application Server 的缺省端口为 9080
  • 除非您使用配置了 SSL 的端口,否则 Apache Tomcat 的缺省端口为 8080,在这种情况下,端口号通常为 8443

定制安全设置

Web 应用程序的用户名和密码不会自动创建。Rational Publishing Engine 需要用户名和密码是为了连接至远程服务,而不是为了使用计算机上的 Document Studio 和 Launcher 客户机应用程序。

数据源可能要求针对 Rational Publishing Engine 的单独认证,才能访问这些数据源内的数据。请验证数据源的安全性,并且不要将不可信数据源与 Rational Publishing Engine 配合使用。如果数据源要求认证,那么可将数据源的用户名和密码存储在 Rational Publishing Engine 远程服务器上、文档规范文件中或模板文件中。

Rational Publishing Engine 中,密码已加密。如果密码存储在模板文件中以及远程服务器上,那么会使用项目符号来屏蔽这些字符。如果密码存储在文档规范文件中,那么当输入这些字符时,会使用项目符号来进行屏蔽,并且将光标从值移开之后,会将其切换为星号。如果在浏览器或 XML 编辑器中打开文档规范,那么会对密码进行编码。

可通过将模板或文档规范存储在“中央管理”组件中或通过在 Rational Publishing Engine 外部使用某种方法来发送模板或文档规范来对它们进行共享。在共享模板或文档规范之前,必须决定是保留用户名和密码还是将它们从这些文件中移除。在大多数情况下,建议将用户名和密码从文件中移除。即使密码由于已加密而无法识别,其他用户也仍然能够生成一些文档,这些文档可能包括其他用户在未经允许的情况下无法看到的数据。

有关将凭证从模板和文档规范中移除的更多信息,请参阅保存文档规范

设置用户角色和访问

Rational Publishing Engine 具有对应于远程服务组件(其中包括远程文档生成、“中央管理”系统、“监视和控制”以及报告计划安排)的管理员和用户的角色。在配置远程服务应用程序中,提供了用户角色的概述。

然后,可设置这些用户角色并在 WebSphere Application ServerApache Tomcat 应用程序服务器上向用户提供访问权限。请向个人用户提供其单独的用户名和密码,而不是与一组人员共享用户名。个人用户凭证确保用户仅可访问包含他们具有查看许可权的数据的报告。

隐私策略注意事项

本软件产品不会使用 cookie 或其他技术来收集个人可标识信息。有关 cookie 的更多信息,请参阅IBM Rational Publishing Engine 文档声明

安全性限制

  • 不安全的文档生成:如果选择不使用安全文档生成,那么任何用户都可查看生成的输出。
  • 失败的登录尝试:在多次失败的登录尝试之后,Apache Tomcat 不会锁定用户。
  • 共享模板和文档规范:如果没有将凭证从共享的模板和文档规范中移除,那么用户可生成有关他们在其他情况下可能不具有访问许可权的数据的文档。
  • 数据源安全性:数据由存储它的应用程序保护。Rational Publishing Engine 不会保护数据。

反馈