Mit wenig Aufwand unterstützt Dich der Passwort Protected Mode dabei!
Warum ist es wichtig den Passwort Protected Mode zu aktivieren?
Es ist Dir sicherlich bekannt, dass es im USU Service Management viele nützliche Standard- und Testbenutzer gibt. Neben den vielen Testbenutzern gibt es auch solche, die notwendig sind, damit die Process-Engine überhaupt läuft oder das Generic Interface richtig funktionieren kann. Diese haben eine Gemeinsamkeit:
sehr schwache Passwörter, die vielen Leuten bekannt sind.
Dies bringt ein großes Risiko mit sich, da unbefugte Personen sich in Deiner Umgebung anmelden könnten.
Bereits im Release 5.2 Hotfix 8 wurde dieser ins Leben gerufen. Die folgende Erklärung wurde dazu geliefert:
Es wurde eine neue Sicherheitsfunktion eingeführt: Geschützter Modus.
Er kann durch eine Java-Eigenschaft (-DprotectedMode=true) aktiviert werden, typischerweise auf dem Produktionsanwendungsserver.
In diesem Modus:
- Benutzer mit Anmeldenamen, die in ‘forbiddenusernames.txt’ aufgeführt sind, oder mit Passwörtern, die in ‘forbiddenpasswords.txt’ aufgelistet sind, können sich nicht anmelden
- Benutzer, deren Passwörter mit MD5 gehasht sind, können sich nicht anmelden
- Workflows, die in der Datei “forbiddenworkflows.txt” aufgeführt sind, können nicht ausgeführt werden.
Die Dateien werden mit einigen vordefinierten Werten geliefert, können aber individuell erweitert; ergänzt oder modifiziert werden. Ebenso ist es möglich den Pfad zu diesen Dateien durch anpassen der Java-Eigenschaften zu ändern:
- DforbiddenUsernames=<Pfad>
- DforbiddenPasswords=<Pfad>
- DforbiddenWorkflows=<Pfad>
Ein neuer Metamodell-Check wird erstellt: UserCheck.
Sie prüft, ob verbotene Benutzernamen und Passwörter vorhanden sind und ob die Passwörter den korrekten Hash verwenden.
Diese Probleme werden gemeldet.
Die Dateien ‘forbiddenusernames.txt, ‘forbiddenpasswords.txt und forbiddenWorkflows.txt liefert USU bereits mit aus.
Wie läuft die Einrichtung ab?
Super einfach!
Dafür gehst Du in die jeweiligen Tomcat Einstellungen und trägst in die Java Options „-DprotectedMode=true“ ein. Im classes Verzeichnis des Tomcats liegen die Dateien bereits ab.
Gibt es vorher noch etwas zu beachten?
Die User TASKEXECUTOR01, TASKEXECUTOR02 und PROCESSINTERPRETER haben alle das Passwort Default-Passwort, welche im Auslieferungszustand gesetzt wird. Dieses muss zwingend zuvor in der jeweiligen USU Service Management-Umgebung in ein sicheres Passwort geändert werden, da sonst die Process-Engine nach der Einrichtung nicht mehr funktioniert. Bitte beachte auch, dass dieses Passwort mithilfe des eigenen Crypto-Tools erstellt werden muss und in der Datei Processengineconfiguration.json im Tomcat-CONF-Verzeichnis hinterlegt wird.
Alle weiteren User, die ein schwaches Passwort haben und sich ohne SSO anmelden können, sollten ebenfalls ein komplexeres Passwort erhalten.
Wir wünschen Dir ein sicheres USU Service Management System.