Cet article fournit des informations d’introduction qui vous aideront à préparer le renforcement de votre environnement AEM Forms. Elle inclut des informations prérequises sur la sécurité d’AEM Forms sur JEE, des systèmes d’exploitation, des serveurs d’applications et des bases de données. Consultez ces informations avant de continuer à verrouiller votre environnement.

Informations de sécurité spécifiques aux revendeurs

Cette section contient des informations sur la sécurité des systèmes d’exploitation, des serveurs d’applications et des bases de données intégrés à votre solution AEM Forms sur JEE.

Utilisez les liens proposés dans cette section pour accéder à des informations de sécurité spécifiques au revendeur de votre système d’exploitation, de votre base de données et de votre serveur d’applications.

Informations sur la sécurité des systèmes d’exploitation

Lorsque vous sécurisez votre système d’exploitation, veillez à implémenter soigneusement les mesures indiquées par le revendeur de votre système d’exploitation, parmi lesquelles :

  • définir et contrôler les utilisateurs, les rôles et les droits ;

  • surveiller les journaux et les journaux d’audit ;

  • supprimer les services et les applications inutiles ;

  • sauvegarder les fichiers.

Pour plus de détails sur la sécurité des systèmes d’exploitation pris en charge par AEM Forms sur JEE, reportez-vous aux ressources indiquées dans le tableau ci-dessous.

Système d’exploitation

Ressource de sécurité

IBM® AIX® 5.3 et 6.1

Avantages de la sécurité IBM AIX

Microsoft® Windows® XP SP 2 (pour les environnements de non-production uniquement)

Guide de sécurité Windows XP

Microsoft Windows 7, 32 et 64 bits (pour les environnements de non-production uniquement)

Guide de sécurité Windows 7

Microsoft Windows Server® 2003 Editions Enterprise ou Standard

Recherchez « Guide de sécurité Windows Server 2003 » sur le site Web Microsoft.com

Microsoft Windows Server® 2008 Editions Enterprise ou Standard

Recherchez « Guide de sécurité Windows Server 2008 » sur le site Web Microsoft.com

Microsoft Vista™ SP1, toutes versions, 32 et 64 bits (pour les environnements de non-production uniquement)

Recherchez « Guide de sécurité Windows Vista » sur le site Web Microsoft.com

Red Hat® Linux® AP ou ES

Guide de sécurité Linux pour Red Hat Enterprise

Sun Solaris 10

Guide d’administration système : services de sécurité

Informations sur la sécurité des serveurs d’applications

Lorsque vous sécurisez votre serveur d’applications, veillez à implémenter soigneusement les mesures indiquées par le revendeur de votre serveur, parmi lesquelles :

  • utiliser un nom d’utilisateur administrateur difficilement identifiable ;

  • désactiver les services inutiles ;

  • sécuriser le gestionnaire de console ;

  • autoriser les cookies sûrs ;

  • fermer les ports inutiles ;

  • restreindre les clients par adresses ou domaines IP ;

  • utiliser Java™ Security Manager pour limiter les droits par programme.

Pour plus de détails sur la sécurité des serveurs d’applications pris en charge par AEM Forms sur JEE, reportez-vous aux ressources indiquées dans le tableau ci-dessous.

Serveur d’applications

Ressource de sécurité

Oracle WebLogic®

Recherchez « Understanding WebLogic Security » sur http://download.oracle.com/docs/.

IBM WebSphere®

Sécurisation des applications dans leur environnement

Red Hat® JBoss®

Security on JBoss

Informations sur la sécurité des bases de données

Lorsque vous sécurisez votre base de données, veillez à implémenter soigneusement les mesures indiquées par le revendeur de votre base de données, parmi lesquelles :

  • restreindre les opérations avec des listes de contrôle d’accès (ACL) ;

  • utiliser des ports non standard ;

  • masquer la base de données derrière un pare-feu ;

  • chiffrer les données sensibles avant de les écrire dans la base de données (consultez la documentation du fabricant de la base de données).

Pour plus de détails sur la sécurité des bases de données prises en charge par AEM Forms sur JEE, reportez-vous aux ressources indiquées dans le tableau ci-dessous.

Base de données

Ressource de sécurité

IBM DB2® 9.1 ou 9.5

Bibliothèque de la famille de produits DB2

Microsoft SQL Server 2005 SP2 ou 2008

Recherchez « SQL Server 2005 : sécurité » sur le Web.

Recherchez « SQL Server 2008 : sécurité » sur le Web.

MySQL 5

MySQL 5.0 General Security Issues

MySQL 5.1 General Security Issues

Oracle® 10g ou 11g

Reportez-vous au chapitre Security dans Oracle 11g Documentation

Ce tableau décrit les ports par défaut devant être ouverts pendant le processus de configuration d’AEM Forms sur JEE. Si vous vous connectez via https, reparamétrez les informations de port et les adresses IP en conséquence. Pour plus de détails sur la configuration des ports, reportez-vous au document Installation et déploiement d’AEM Forms sur JEE de votre serveur d’applications.

Produit ou service

le numéro de port ;

JBoss

8080

WebLogic

7001

Serveur géré WebLogic

Défini par l’administrateur lors de la configuration

WebSphere

9060 ; si la sécurité globale est activée, la valeur de port SSL par défaut est 9043.

9080

Serveur BAM

7001

SOAP

8880

MySQL

3306

Oracle

1521

DB2

50000

SQL Server

1433

LDAP

port sur lequel le serveur LDAP fonctionne. Il s’agit généralement du port 389. Toutefois, si vous sélectionnez l’option SSL, le port par défaut est habituellement le port 636. Vous devez vérifier auprès de votre administrateur LDAP le numéro de port à utiliser..

Configuration de JBoss pour utiliser un port HTTP qui n’est pas un port par défaut

Le serveur d’applications JBoss utilise 8080 en tant que port HTTP par défaut. JBoss possède également des ports 8180, 8280 et 8380 préconfigurés ; ils sont mis en commentaires dans le fichier jboss-service.xml. Si vous possédez sur votre ordinateur une application qui utilise déjà ce port, vous devez modifier celui qui est utilisé par AEM Forms sur JEE comme suit :

  1. Ouvrez le fichier jboss-service.xml dans un éditeur.

    Installation clé en main de JBoss : [racine JBoss]/server/lc_turnkey/conf/

    Installation manuelle de JBoss : [racine serveur d’applications]/server/all/conf/

  2. Recherchez et annulez la mise en commentaire du mbean suivant :

    <mbean code="org.jboss.services.binding.ServiceBindingManager"

    name="jboss.system:service=ServiceBindingManager">

    <attribute name="ServerName">ports-01</attribute>

    <attribute name="StoreURL">${jboss.home.url}/docs/examples/binding-manager/sample-bindings.xml</attribute>

    <attribute name="StoreFactoryClassName">

    org.jboss.services.binding.XMLServicesStoreFactory

    </attribute>

    </mbean>

  3. Enregistrez le fichier, puis fermez-le.

  4. Redémarrez JBoss.

JBoss est maintenant configuré pour utiliser le port 8180. Si vous souhaitez utiliser les ports 8280 ou 8380, modifiez la valeur de l’attribut ServerName pour utiliser l’un des ports suivants :

  • Pour 8280 : ports-02

  • Pour 8380 : ports-03

Si vous souhaitez configurer un numéro de port différent de ceux qui sont préconfigurés pour JBoss, exécutez les étapes suivantes :

  1. Recherchez et ouvrez le fichier deploy/jboss-web.deployer dans [racine JBoss] (clé en main) ou [racine serveur d’applications] (installation manuelle de JBoss).

  2. Recherchez et annulez la mise en commentaire du mbean comme décrit dans l’étape 2 ci-dessus.

  3. Remplacez la valeur ServerName par le numéro de port à utiliser.

  4. Enregistrez le fichier, puis fermez-le.

  5. Redémarrez JBoss.

Considérations sur la sécurité d’AEM Forms sur JEE

Cette section décrit certains problèmes de sécurité d’AEM Forms sur JEE que vous devez connaître.

Informations d’identification de courrier électronique non chiffrées dans la base de données

Les informations d’identification stockées par les applications ne sont pas chiffrées avant d’être enregistrées dans la base de données d’AEM Forms sur JEE. Lorsque vous configurez un point de fin de service pour utiliser le courrier électronique, les informations de mot de passe utilisées pour configurer ce point de fin ne sont pas chiffrées lorsqu’elles sont enregistrées dans la base de données.

Contenu sensible pour Rights Management dans la base de données

AEM Forms sur JEE utilise sa base de données pour stocker des informations clés sur des documents sensibles, ainsi que d’autres données cryptographiques utilisées pour les documents de règle. Le fait de sécuriser la base de données contre les intrusions contribue à la protection de ces informations sensibles.

Mot de passe au format texte en clair dans adobe-ds.xml

Le serveur d’applications utilisé pour exécuter AEM Forms sur JEE nécessite sa propre configuration pour accéder à votre base de données via une source de données configurée sur le serveur d’applications. Veillez à ce que votre serveur d’applications n’expose pas le mot de passe de votre base de données en texte lisible dans le fichier de configuration de sa source de données.

Le fichier adobe-ds.xml contient des mots de passe au format texte en clair. Consultez le revendeur de votre serveur d’applications pour savoir comment chiffrer ces mots de passe pour votre serveur d’applications. Par exemple, les instructions pour JBoss® sont dans Chiffrement des mots de passe de la source de données.

Remarque :

Le programme d’installation de la clé en main de Jboss d’AEM Forms sur JEE chiffre le mot de passe de la base de données.

Il est possible que le serveur d’applications IBM WebSphere et qu’Oracle WebLogic Server chiffrent les mots de passe des sources de données par défaut. Vérifiez ce point dans la documentation de votre serveur d’applications.

Protection de la clé privée stockée dans Trust Store

Les clés privées ou les informations d’identification importées dans Trust Store sont stockées dans la base de données d’AEM Forms sur JEE. Vous devez prendre des mesures de sécurité appropriées pour sécuriser la base de données et pour limiter l’accès aux seuls administrateurs indiqués.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne