Zur Vermeidung möglicher Sicherheitsrisiken müssen sich Benutzer von DIVAnet mit der Authentifizierung und Autorisierung des Systems befassen.
Diese Sicherheitsrisiken können durch ordnungsgemäße Konfiguration und Befolgen der Prüfliste nach Abschluss der Installation in Anhang A minimiert werden.
Die folgenden kritischen Sicherheitsfunktionen bieten Schutz vor Sicherheitslücken:
Authentifizierung - Dadurch wird sichergestellt, dass nur berechtigten Personen Zugriff auf System und Daten gewährt wird.
Autorisierung - Der Zugriff auf Systemberechtigungen und -daten wird kontrolliert. Diese Funktion baut auf der Authentifizierung auf, um zu gewährleisten, dass Benutzer nur den für sie vorgesehenen Zugriff erhalten.
DIVAnet-Services können über mehrere Methoden eine Authentifizierung ausführen:
SSL/TLS-Zertifikate - Beim Herstellen einer ausgehenden Verbindung zu einem Remote-DIVAnet-Service konsultiert DIVAnet einen Zertifikats-Truststore. Dadurch wird sichergestellt, dass DIVAnet eine Verbindung zu authentischen DIVAnet-Services herstellt. Um eine sichere Verbindung vom DIVAnet ClientAdapter zu einer DIVArchive-Instanz aufzubauen, müssen Sie die Verbindung über den ManagerAdapter mit einem <ConnectionType> herstellen, der als WebServices identifiziert wird.
Zugriffsregeln - Zugriffsregeln, die streng genommen eine Art der Zugriffskontrolle darstellen, können eingehende Verbindungen anhand der eingehenden IP-Adressen filtern. Diese Funktion ist erforderlich, um sicherzustellen, dass nur zugelassene Systeme entsprechenden Zugriff auf DIVAnet-Services erhalten.
WARNUNG:
DIVAnet-Services verwenden Datenbankpasswörter als Teil ihrer Konfiguration. Passwörter müssen umgehend nach der Installation und danach (mindestens) alle 180 Tage geändert werden. Nach der Änderung müssen Sie die Passwörter an einem sicheren Ort offline aufbewahren und Oracle Support bei Bedarf vorlegen können.
Mit Zugriffsregeln können Sie die Vorgänge einschränken, die bestimmte Benutzer oder Systeme im verteilten Archivsystem ausführen dürfen. Zugriffsregeln können auf folgende Arten ausgeführt werden:
ClientAdapter-/MultiDiva-Modus - Schränkt ein, welche Arten von DIVAnet-Anforderungen ausgeführt werden können.
ManagerAdapter - Schränkt ein, welche Arten von DIVArchive-Anforderungen zur Erfüllung einer DIVAnet-Anforderung (möglicherweise von einem Remote-System) ausgeführt werden können.
Zugriffsregeln können sich auf Anforderungen auswirken, die über die DIVAnetUI oder über eine API-Socket-Verbindung (möglicherweise über ein MAM- oder Automatisierungssystem) ausgelöst wurden.
Für eine DIVAnet-Anforderung können Zugriffsregeln auf DIVAnet-Ebene oder auf DIVArchive-Ebene ausgeführt werden. Auf DIVAnet-Ebene verarbeitet der ClientAdapter die Anforderung dort, wo sie empfangen wurde. Auf DIVArchive-Ebene verarbeitet ein Remote-ManagerAdapter DIVArchive-Anforderungen, die zur Erfüllung der DIVAnet-Anforderung ausgegeben werden.
Oracle empfiehlt, einen Satz Regeln mit den für die Erfüllung Ihrer Anwendungsanforderungen größtmöglichen Einschränkungen zu erstellen. Beispiel: Wenn globale Löschvorgänge nur von Administratoren ausgeführt werden müssen, stellen Sie sicher, dass anderen Benutzern der Zugriff auf diese Funktionalität verweigert wird. Wenn eine Gruppe von Systembenutzern nur Zugriff auf eine begrenzte Liste von Quellen und Zielen benötigt, stellen Sie sicher, dass diese Benutzer nur Anforderungen zu diesen jeweiligen Quellen und Zielen ausgeben können.
Überlegen Sie auch, welche Sites zur Erfüllung von Anforderungen benötigt werden. Beispiel: Wenn Benutzer auf der lokalen Site keinen Grund haben, Kopiervorgänge vorzunehmen, bei denen weder die Quell- noch die Zielsite die lokale Site sind (dies ist mit DIVAnet möglich), konfigurieren Sie diese Regeln in der ClientAdapter-Konfiguration.
Erwägen Sie auch bestimmte Konstrukte in Anforderungen, die Sie generell ausschließen möchten. Beispiel: Wenn Objekte nicht nur mit dem Objektnamen (ohne Kategorie) adressiert werden müssen, schließen Sie alle Anforderungen aus, bei denen die Kategorie nicht angegeben ist.
Darüber hinaus enthält jedes ClientAdapter WorkflowProfile die Liste gültiger Nachrichten, die durch Anforderungen, die dem WorkflowProfile zugewiesen sind, verarbeitet werden können. Im MultiDiva-Modus können Sie dadurch bestimmte Nachrichten von der Verarbeitung ausschließen (einschließlich Informationsnachrichten).
Oracle empfiehlt, zu Anfang die in der Datei AccessRules.xml.ini definierten Standardregeln zu verwenden, auch wenn Sie keine eigenen Zugriffsregeln definieren. Weitere Informationen zu den DIVAnet-Zugriffskontrollfunktionen finden Sie im Oracle DIVAnet - Installations-, Konfigurations- und Betriebshandbuch unter:
SSL/TLSDIVAnet enthält an zwei Stellen Zertifikatdaten: in einem privaten Keystore, der für auf dem lokalen System gehostete Webservices verwendet wird, und in einem öffentlichen Keystore, mit dem per Remote-Zugriff aufgerufene Webservices verifiziert werden. Mit dem Java Keytool-Dienstprogramm können Sie das Passwort des Keystores ändern und Zertifikate hinzufügen und löschen.
Weitere Informationen zum Erstellen von Keystores finden Sie unter:
http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore
Nur die DIVAnet-Webservicesverbindungen verwenden SSL/TLS. In diesem Release wird für Verbindungen zu DIVArchive oder DIVAnet über eine DIVArchive-API-Socket-Verbindung nicht SSL/TLS verwendet.
Private Key-Daten zu DIVAnet-Zertifikaten werden gespeichert in:
$DIVANET_HOME/Program/divanet/lib/diva129.jks
In diesem Keystore muss genau ein Zertifikat enthalten sein. Dieses Zertifikat wird für Webservices verwendet, die von Services gehostet werden, die über dieses $DIVANET_HOME-Verzeichnis ausgeführt werden. Es wird empfohlen, das mitgelieferte Zertifikat durch ein neues Zertifikat zu ersetzen und für jede DIVAnet-Site in Ihrem Netzwerk ein eigenes Zertifikat zu verwenden.
Sie müssen das Passwort dieses Keystores ändern. Speichern Sie die Passwortinformationen in einer neuen Datei namens $DIVANET_HOME/Program/divanet/lib/diva129.properties, und machen Sie diese Datei für DIVAnet-Services (in Linux ist dieser Benutzer divanetsvc), jedoch nicht für gelegentliche Benutzer des Systems (z.B. den diva-Benutzer in Linux) lesbar. Verwenden Sie folgendes Format für die Datei:
keystorePassword=newpassword
Diese gelegentlich auch als Truststore bezeichneten Daten befinden sich in:
$DIVANET_HOME/Java/lib/security/cacerts2
Diese Zertifikatdaten werden in ausgehenden Webserviceaufrufen (einschließlich DIVAnetUI) verwendet. In diesen Keystore können mehrere Public Keys geladen werden.
Wenn Sie zum privaten DIVAnet Keystore ein neues selbstsigniertes Zertifikat hinzugefügt haben, exportieren Sie das Zertifikat mit dem Keytool-Dienstprogramm. Alle Anwendungen (DIVAnet-Services, DIVAnetUI usw.), die auf dieser Site WebServices aufrufen, müssen das exportierte Zertifikat dann in ihren eigenen öffentlichen Keystore aufnehmen.