Schutz der Oracle E-Business Suite: Aktivieren Sie die Serversicherheit

Wie die meisten unserer regelmäßigen Leser vielleicht wissen, arbeiten die Onapsis Research Labs seit mehreren Monaten an der Entwicklung von Oracle Security. Dies haben wir erreicht, indem wir unsere Leser mit Analysen zu vierteljährlichen Patch-Updates auf dem Laufenden gehalten und bis heute über hundert Advisories für diese Plattform veröffentlicht haben. In unserem kontinuierlichen Ziel, der Branche mehr Ressourcen zum Schutz ihrer geschäftskritischen Anwendungen zur Verfügung zu stellen, werden wir ab heute eine Reihe wöchentlicher Blogbeiträge veröffentlichen, die sich auf verschiedene Bereiche des Schutzes der Oracle E-Business Suite konzentrieren.

Oracle E-Business Suite wird in einer mehrschichtigen Konfiguration mit einem Datenbankserver und vielen möglichen Anwendungsservern der mittleren Schicht bereitgestellt. Zu den Anwendungsservern können unter anderem Apache JSP/Servlet, Forms und Discoverer gehören. Jedes Programm, das eine SQLNet-Verbindung zur Oracle Applications-Datenbank herstellt, muss auf einer bestimmten Ebene vertrauenswürdig sein. Die Serversicherheitsfunktion stellt sicher, dass Anmeldeverbindungen (FNDLogin) von vertrauenswürdigen Computern stammen. Im Folgenden werden wir uns eingehend mit der Funktionsweise und den Vorteilen befassen.

Serversicherheitsfunktion

Die Anwendungsserver-Sicherheitsfunktion ist standardmäßig aktiviert. Sie sollten daher lediglich überprüfen, ob die Einstellung aktiviert ist SICHER: Dies bedeutet, dass nur registrierte Anwendungsserver und vertrauenswürdige Codemodule eine Verbindung herstellen dürfen.

Die anderen beiden Werte, die Sie finden können, sind AUS und ON. Wenn ein Wert auf eingestellt ist AUS, bedeutet dies, dass es nicht aktiviert ist und dass keine Server oder Code-IDs überprüft werden (nur für Entwicklungssysteme ohne Produktionsdaten empfohlen). Wenn ein Wert auf eingestellt ist ON, ist die Situation etwas schwieriger: Dies bedeutet nicht, dass die Sicherheit aktiviert ist, und trotz dieser Einschränkungen gibt es Server, die laut Oracle eine Verbindung herstellen können (beschränkt auf Anwendungsserver, die bei der Datenbank oder bestimmten vertrauenswürdigen Modulen registriert sind). wird aus Sicherheitsgründen für Produktionsserver nicht empfohlen.

Die Serversicherheitsfunktion der Anwendungsobjektbibliothek unterstützt die Authentifizierung von Anwendungsservermaschinen und Codemodulen für den Zugriff auf die Datenbank. Wenn die Serversicherheit aktiviert ist, müssen Anwendungsserver Server-IDs (z. B. Passwörter) und/oder Code-IDs bereitstellen, um auf einen Datenbankserver zuzugreifen. Server-IDs identifizieren den Computer, von dem die Verbindung stammt. Code-IDs identifizieren das Modul und die Patch-Ebene, von der die Verbindung stammt, und werden bei der Entwicklung in den Anwendungscode aufgenommen.

Der Datenbankserver kann so eingestellt werden, dass der Zugriff nur von bestimmten Computern und/oder per Code auf einer gewünschten Patch-Ebene möglich ist.

Beispiele & Schritt-für-Schritt-Anleitung

Sehen wir uns also ein Beispiel dafür an, wie das funktioniert. Oracle EBS bietet die Möglichkeit, über die URL http://hostname.domain:port/forms/frmservlet eine direkte Verbindung zu Forms herzustellen

oracle3
Beispiel: mit Sicherheitskonfigurationssatz „SECURE“

In diesem Fall bestätigt die Fehlermeldung, dass wir die Datenbank nicht von einem nicht autorisierten Knoten aus verwenden können. Dieser Fehler bleibt bei jeder Anwendung bestehen. Wenn die Serversicherheit ausgeschaltet ist, können Sie direkt auf alle Formulare zugreifen (siehe Bild mit der unsicheren Konfiguration über dasselbe System):

oracle4

So überprüfen und ändern Sie die Konfiguration

Sie können den Status der Serversicherheit mit dem Befehl STATUS im Dienstprogramm AdminAppServer überprüfen, bevor Sie die Serversicherheit aktivieren, um sicherzustellen, dass alle gewünschten Anwendungsserver registriert wurden.


$ java oracle.apps.fnd.security.AdminAppServer apps/
STATUS DBC=$FND_SECURE/$TWO_TASK.dbc

Datenbankserver
-----
DATABASE_ID: EBS1224
AUTHENTIFIZIERUNG: AUS
Anwendungsserver
------
APPL_SERVER_STATUS: GÜLTIG
APPL_SERVER_ID: 4FBCDB3F320276DAE05367E1A4C0B0C782575937229267617094091991671493

Eine andere Möglichkeit, zu überprüfen, ob die Serversicherheit auf „Sicher“ eingestellt ist, besteht darin, die folgende SQL-Abfrage auszuführen, während eine APPS-Verbindung besteht: (schneller)

oracle5

Wie kann ich diese Konfigurationen ändern?

Um die Serversicherheit ordnungsgemäß zu konfigurieren, führen Sie die folgenden Schritte aus:

oracle7

Konklusion

Zusammenfassend lässt sich sagen, dass dies eine nützliche Funktion ist, die einige Unternehmen deaktivieren, um den Entwicklungsprozess zu beschleunigen. Es wird jedoch dringend empfohlen, diese Funktion aktiviert zu lassen, um die Sicherheit Ihrer Informationen und geschäftskritischen Anwendungen zu gewährleisten. Oracle empfiehlt dringend, diese Funktion in Produktionsumgebungen nicht zu deaktivieren. Weitere Informationen finden Sie in den folgenden Referenzhinweisen:

In den folgenden Wochen werden wir weitere Informationen über Oracle E-Business Suite Security veröffentlichen. Bleiben Sie auf dem Laufenden in unserem Blog!

  • So greifen Sie direkt auf Formulare in Oracle Applications R12 zu (Doc ID 552301.1)
  • So verwalten Sie die Serversicherheit in Version 12 (Doc ID 443978.1)