Замечания о защите для IBM Rational Publishing Engine

Можно обеспечить безопасность экземпляра, а также настроить параметры защиты и права доступа пользователей. Кроме того, можно получить общее представление об ограничениях защиты, связанных с этим приложением.

Включение защиты в ходе установки

В случае установки только приложения Document Studio или Панель запуска активация защиты на этапе установки не требуется. В случае установки удаленных служб на сервере приложений необходимо настроить защиту сервера.
  • В случае применения сервера приложений WebSphere Application Server в ходе развертывания веб-приложений Rational Publishing Engine необходимо включить несколько параметров защиты, таких как административная защита и защита приложений. Дополнительная информация приведена в разделе Развертывание приложения Удаленные службы вручную на сервере WebSphere Application Server.
    Внимание: Установка временного исправления WebSphere Application Server для PM44303 или пакета исправлений, содержащего PM44303, может привести к возникновению уязвимости защиты в отдельных версиях WebSphere Application Server. Требуется установить исправление, предназначенное для конкретной версии WebSphere Application Server и операционной системы. Дополнительная информация приведена в техническом комментарии Потенциальная уязвимость защиты IBM WebSphere Application Server влияет на Rational Publishing Engine.
  • Если в качестве сервера приложений применяется Apache Tomcat, то обязательные параметры защиты не предусмотрены, однако при необходимости можно настроить конфигурацию SSL. Дополнительная информация приведена в разделе с инструкциями по настройке SSL для версии 6.0 или версии 7.0 на веб-сайте Apache Tomcat.
  • Дополнительная информация о способе хранения имен пользователей и паролей приведена в документации по серверу приложений.

После развертывания приложения Удаленные службы можно разрешить или запретить применение клиентских приложений с защищенными или незащищенными URL компонента удаленного создания документов. Защищенный URL указан в документации в этой справочной системе Information Center. Дополнительная информация приведена в разделе URL удаленных служб. Если выбран незащищенный режим создания документов, то любой пользователь сможет просмотреть созданные документы даже в том случае, если он не обладает правами доступа к источнику данных.

Настройка защищенного взаимодействия между несколькими приложениями

Если на одном сервере установлено несколько приложений, то дополнительная настройка не требуется, поскольку Rational Publishing Engine и источник данных не взаимодействуют напрямую. Схема источника данных и данные применяются из источника данных в Rational Publishing Engine, однако в Rational Publishing Engine нет изменений, требующих обращения к источнику данных.

Порты, протоколы и службы

Можно настроить соединение с прокси-сервером.

Транспортный порт HTTPS административной консоли сервера приложений:
  • Порт WebSphere Application Server по умолчанию: 9043.
  • Порт Apache Tomcat по умолчанию: 8080.
Транспортный порт HTTP сервера приложений:
  • Порт WebSphere Application Server по умолчанию: 9080.
  • Порт Apache Tomcat по умолчанию: 8080, если не настроен протокол SSL (в этом случае, как правило, применяется номер порта 8443).

Настройка параметров защиты

Имена пользователей и пароли для веб-приложений не создаются в автоматическом режиме. Rational Publishing Engine использует имена пользователей и пароли для подключения к удаленным службам, но не для применения приложений-клиентов Document Studio и Панель запуска.

Источникам данных может потребоваться отдельная идентификация Rational Publishing Engine, чтобы получить доступ к данным. Проверьте защиту источника данных и не используйте ненадежные источники данных в Rational Publishing Engine. Если требуется идентификация в источнике данных, то имена пользователей и пароли для источников данных можно сохранить на удаленном сервере Rational Publishing Engine, в файлах спецификаций документов или в файлах шаблонов.

Rational Publishing Engine обеспечивает шифрование паролей. Если пароли хранятся в файлах шаблонов и на удаленном сервере, то вместо символов отображаются маркеры. Если пароли хранятся в файлах спецификации документов, то символы маскируются маркерами при вводе и переключаются на звездочки после перехода курсора к другому значению.

Шаблоны и спецификации документов можно сделать общими, сохранив их в компоненте Централизованное управление или отправив за пределы Rational Publishing Engine. Перед предоставлением общего доступа к шаблону или спецификации документа необходимо должен принять решение о сохранении или удалении идентификационных данных из файла. В большинстве случае рекомендуется удалять идентификационные данные пользователя из файлов. При наличии зашифрованного пароля пользователи смогут создавать документы, получив тем самым несанкционированный доступ к данным.

Дополнительная информация об удалении идентификационных данных из шаблонов и спецификаций документов приведена в разделе Сохранение спецификации документа.

Настройка ролей пользователя и доступа

Rational Publishing Engine использует роли администраторов и пользователей компонентов удаленных служб, включая Удаленное создание документа, Система централизованного управления, Мониторинг и управление, а также Планирование отчетов. Обзор ролей пользователей приведен в разделе Настройка приложения Удаленные службы.

Можно настроить роли пользователей и предоставить доступ пользователям на сервере приложений WebSphere Application Server или Apache Tomcat. Идентификационные данные рекомендуется указывать на уровне отдельных пользователей, а не группы. Такой подход позволяет избежать несанкционированного доступа пользователей к данным в отчетах.

Замечания о правилах работы с личными данными

Это программное предложение не использует cookie и другие технологии для сбора личной информации. Дополнительная информация о cookie приведена в разделе Примечания к документации по IBM Rational Publishing Engine.

Ограничения защиты

  • Создание документов без защиты: Если при создании документов не применяется защита, то вывод сможет просмотреть любой пользователь.
  • Неудачные попытки входа в систему: Apache Tomcat не блокирует пользователей после нескольких неудачных попыток входа в систему.
  • Общий доступ к шаблонам и спецификациям документов: если из общих шаблонов и спецификаций документов не удалить идентификационные данные, то пользователи смогут получить несанкционированный доступ к данным в создаваемых документах.
  • Защита источника данных: защита данных обеспечивается приложением, в котором они сохранены. Rational Publishing Engine не обеспечивает защиту данных.

Комментарии