Sécurisation de la console d'administration de Solr

Protégez l'accès au service de recherche documentaire en sécurisant la console d'administration de Solr.

Pourquoi et quand exécuter cette tâche

La console d'administration de Solr, hébergée par la console d'administration IBM WebSphere Application Server, n'est pas protégée par défaut. Si vous déployez le serveur Solr hors de votre pare-feu et ne sécurisez pas l'accès à la console avant d'indexer la base de données IBM Rational ClearQuest, quiconque connaît l'URL de la console peut faire une recherche documentaire sans authentification. Par exemple, dans ce scénario, un utilisateur qui connaît l'URL de la console Solr peut rechercher un numéro de sécurité sociale et obtenir une liste des DBID d'enregistrement ClearQuest le contenant. Même si l'utilisateur ne peut pas accéder à la base de données ClearQuest à l'aide des DBID renvoyés dans les résultats de la recherche, il sait désormais que le numéro de sécurité sociale existe dans la base de données.

Si vous avez déployé le serveur Solr hors de votre pare-feu, suivez la procédure indiquée dans cette rubrique pour sécuriser le profil WebSphere Application Server de recherche documentaire ClearQuest et empêcher les accès non autorisés à l'indice de recherche.

Procédure

  1. Démarrez la console d'administration de Solr sur le serveur sur lequel est installé la fonction de recherche documentaire ClearQuest. Par exemple, pour sécuriser la console d'administration de Solr pour le profil par défaut cqsearchprofile, entrez l'adresse suivante dans votre navigateur Web :
    http://localhost:14060/ibm/console

    Si vous avez activé la recherche documentaire sur au moins deux bases de données ClearQuest, chacune d'elles comporte son profil, chacun se trouvant sur un port différent. Vous devez sécuriser la console d'administration de Solr pour chaque profil.

  2. Connectez-vous à la console. Par défaut, l'accès restreint à la console est désactivé. Vous pouvez donc vous connecter en entrant l'ID administrateur et en cliquant sur Connexion. Si l'accès restreint est activé, vous êtes invité à entrer le mots de passe d'administration. Voir l'aide WebSphere Application Server sur Enabling securing pour plus de détails.

    La boîte de dialogue Bienvenue s'ouvre.

  3. Développez la section Servers (Serveurs), puis sélectionnez Application servers (Serveurs d'application). Le panneau des serveurs d'applications s'ouvre.
  4. Sélectionnez server1. La page Configuration s'ouvre.
  5. Dans la section Container Settings (Paramètres de conteneur), développez Web Container Settings (Paramètres de conteneur Web), puis sélectionnez Web container transport chains (Chaînes de transport de conteneur Web). La pages des chaînes de transport de conteneur Web s'ouvre.
  6. Cliquez sur WCInboundDefault.
  7. Dans la section Transport Channels (Canaux de transport) de la page WCInboundDefault, sélectionnez TCP inbound channel (TCP 2) (Canal d'entrée TCP (TCP 2)).
  8. Définissez la chaîne de transport dans les zones Address exclude list (Liste d'exclusion d'adresse), Address include list (Liste d'inclusion d'adresse), Host name exclude list (Liste d'exclusion de nom d'hôte) et Host name include list (Liste d'inclusion de nom d'hôte), selon le cas, pour spécifier les adresse et nom d'hôte à inclure et exclure.

    Par exemple, considérez les entrées suivantes de la page de configuration WCInboundDefault :

    Address include list (Liste d'inclusion d'adresse)
    192.168.1.2,192.128.2.*

    Host name include list (Liste d'inclusion de nom d'hôte)

    *.mydomain.sample

    Dans cet exemple, l'adresse IP hôte 192.168.1.2 et les hôtes renvoyés par l'expression 192.168.2.* sont inclus dans la chaîne de transport. Son également inclus les hôtes renvoyés par l'expression *.mydomain.sample.

    Voir l'aide WebSphere Application Server sur TCP transport channel settings pour obtenir des informations de configuration.

    Avertissement : Les besoins de sécurité varient. Pour le moins, incluez tous les hôtes CM Server (Change Management Server) qui servent ClearQuest Web, de manière à permettre à l'utilisateur final d'accéder à la base de données utilisateur et au service de recherche documentaire associé. Si vous ne le faites pas, les résultats de la requête de recherche documentaire en seront affectés.

    Les hôtes risquent d'inclure CM Servers aux emplacements IBM Rational ClearQuest MultiSite lors de l'utilisation d'un seul service de recherche documentaire pour une famille ou un ensemble de CM Servers à équilibrage de charge.

  9. Cliquez sur Valider, puis sur Sauvegarde pour sauvegarder ces changements de configuration principale.
  10. Redémarrez le profil WebSphere Application Server.

Commentaires