Absicherung von Diensten - Übersicht
Das folgende Kapitel gibt eine Übersicht über die zur Absicherung von Diensten erforderlichen Schritte. Die Schritte werden in nachfolgenden Kapiteln detaillierter behandelt.
Einrichten eines geschützten Dienstes
Zum Schutz eines Dienstes ist für den gewünschten Dienst im security.manager zunächst ein „Geschützter Dienst" (Enforcement Point) im WSS anzulegen. Dazu wird die Administrator Website verwendet. Genauere Informationen hierzu sind im Abschnitt Administration von geschützten Diensten zu finden.
Absicherung gegen direkten Zugriff
Wurde mit dem security.manager ein Enforcement Point (WSS) für den geschützten Zugriff auf einen Dienst angelegt, so ist hierdurch nicht die originäre Dienst-URL gesperrt. Folgende Möglichkeiten gibt es zum Schutz der Dienste:
-
Installation der Dienste in einem eigenen Web-Server, der auf einer Server-Maschine ohne Internet-Zugang operiert, während der WSS auf einer Maschine mit Internet-Zugang arbeitet und gleichzeitig Zugriff auf den internen Dienste-Server besitzt.
-
Installation der Dienste in einem eigenen Web-Server, der auf der gleichen Maschine wie der WSS mit Internet-Zugang operiert, aber einen eigenen Port verwendet. Dieser Port wird über die Netzwerk- oder Firewall-Einstellungen für Zugriffe aus dem Internet gesperrt.
-
Konfiguration einer Zugangsbeschränkung mit Standard-Werkzeugen des jeweiligen Web-Servers. Hierbei ist wichtig, dass der WSS jederzeit Vollzugriff auf den geschützten Dienst haben muss, alle anderen Prozesse und Nutzer (vor allem aus dem Internet) jedoch nicht.
-
Der Abschnitt Absicherung gegen direkten Zugriff im Anhang dieses Dokuments enthält konkrete Anweisungen für die Absicherung bei Verwendung von Microsoft Internet Information Services (IIS) oder Apache Tomcat.
Einrichten von Nutzern und Rollen
Das Einrichten neuer Nutzer und Rollen für einen geschützten Dienst ist optional, da vorhandene Nutzer verwendet werden können. Für weitere Details zur Verwendung des Administrators, siehe Einrichten von Benutzern.
Einrichten von Berechtigungen
Zum Anlegen von Berechtigungen wird der Administrator verwendet. Dort wird im Bereich des Rechtemanagements ein neues Rechteset für den geschützten Dienst erstellt. Als „Ressource" ist dort die URL des hier geschützten Dienstes einzutragen. Für weitere Details zur Verwendung des Administrators, siehe Administration von Berechtigungen.
Zugriff über das Gateway
Die Funktionalität der Gateways ("Zugänge") ist abgekündigt und wird künftig entfallen. |
Das Gateway wird während der Installation in einem eigenen Tomcat-Kontext eingerichtet.
Der Zugriff kann jetzt erfolgen, in dem ein Browser geöffnet und die Adresse des Gateway eingetragen wird (z.B. https://<SERVER>/gateway
).
In dem sich öffnenden Dialog geben Sie folgende Werte ein:
-
WSS-URL: URL des WSS, der den Dienst schützt, für den ein Gateway erzeugt werden soll, z.B.
https://<SERVER>/wss/service/brd_wms/WSS
-
Nutzername und Passwort: hier geben Sie einen Account an, dem eine Rolle zugeordnet wurde, für die im Rechtemanagement Zugriffsrechte für diesen Dienste eingetragen wurden.
Nach erfolgter Anmeldung stellt das Gateway einen temporären Account-spezifischen Zugang für den geschützten Dienst zur Verfügung. Diese URL können Sie in jeden beliebigen Client einladen, der für den Typ des geschützten Dienstes geeignet ist (z.B. Esri ArcMap). Der temporäre Zugang ist aus Sicherheitsgründen auf die nach außen sichtbare IP-Adresse des Rechners beschränkt, der den Dialog zur Erstellung eines Gateways aufgerufen hat.
Zudem steht das Gateway über die security.manager-Administrationsoberfläche allen Nutzern der Rolle ‚sM_Administrator' im Tab ‚Zugänge' zur Verfügung. Hier können temporäre und persistente Gates konfiguriert werden.