L'installation du serveur Sentinel Rapid Deployment crée un utilisateur et un groupe système qui sont les propriétaires des fichiers installés dans le répertoire <répertoire_installation>. Si l'utilisateur n'existe pas, il est créé et son répertoire privé est défini sur <répertoire_installation>. Si un nouvel utilisateur est créé, son mot de passe n'est pas défini par défaut afin d'optimiser la sécurité. Si vous souhaitez vous loguer au système avec les références de l'utilisateur créé lors de l'installation, vous devez définir son mot de passe après l'installation.
Le niveau de sécurité des utilisateurs peut varier en fonction du système d'exploitation sur lequel le gestionnaire des collecteurs est installé.
Linux : le programme d'installation vous invite à indiquer le nom de l'utilisateur système qui est le propriétaire des fichiers installés, ainsi que l'emplacement de création de son répertoire privé. Par défaut, l'utilisateur système est esecadm, mais vous pouvez le renommer. Si l'utilisateur n'existe pas, il est créé, ainsi que son répertoire privé. Si un nouvel utilisateur est créé, son mot de passe n'est pas défini lors de l'installation afin d'optimiser la sécurité. Si vous souhaitez vous loguer au système avec les références de l'utilisateur, vous devez définir son mot de passe après l'installation. Le groupe par défaut est esec.
Au cours de l'installation du client, si l'utilisateur existe, le programme d'installation ne redemande pas de l'indiquer. Ce comportement est semblable à celui qui se produit pendant la désinstallation et la réinstallation du logiciel. Si vous souhaitez que le programme d'installation demande de nouveau d'indiquer l'utilisateur, procédez comme suit :
Supprimez l'utilisateur et le groupe créés lors de la première installation.
Supprimez les variables d'environnement ESEC_USER à partir de /etc/profile.
Windows : aucun utilisateur n'est créé.
Les stratégies de mot de passe des utilisateurs système sont définies par le système d'exploitation utilisé.
Tous les utilisateurs des applications Sentinel Rapid Deployment sont des utilisateurs des bases de données natives et leurs mots de passe sont protégés par l'utilisation de procédures, suivies de la plate-forme des bases de données natives. Ces utilisateurs n'ont qu'un accès en lecture seule à certaines tables de la base de données et peuvent interroger cette dernière.
Le programme d'installation crée et configure une base de données PostgreSQL avec les utilisateurs suivants :
admin : l'utilisateur admin est l'administrateur de toutes les applications Sentinel auxquelles il se logue.
dbauser: l'utilisateur dbauser est créé en tant que superutilisateur qui peut gérer la base de données. Le mot de passe de l'utilisateur dbauser est défini au moment de l'installation du serveur Sentinel Rapid Deployment. Ce mot de passe est stocké dans le fichier <répertoire privé de l'utilisateur>/.pgpass. Le système suit les stratégies relatives aux mots de passe de bases de données PostgreSQL. Pour plus d'informations, reportez-vous à la Section 5.3.3, Application des stratégies de mot de passe pour les utilisateurs.
appuser :
appuser est l'utilisateur non-superutilisateur utilisé par toutes les applications Sentinel pour établir la connexion à la base de données. Par défaut, l'utilisateur appuser utilise un mot de passe généré de façon aléatoire lors de l'installation, qui est stocké et codé dans les fichiers XML (das_core.xml, das_binary.xml et advisor_client.xml) dans le répertoire <répertoire_installation>/config. Pour changer le mot de passe de l'utilisateur appuser, employez l'utilitaire <répertoire_installation>/bin/dbconfig. Pour plus d'informations, reportez-vous à la section Fichiers du conteneur DAS
du Guide de référence de Sentinel Rapid Deployment.
REMARQUE :il existe également un utilisateur de base de données PostgreSQL propriétaire de l'intégralité de la base de données, y compris des tables de la base de données système. Par défaut, l'utilisateur de la base de données PostgreSQL est défini sur NOLOGIN de manière à ce qu'aucun utilisateur ne puisse se loguer en tant qu'utilisateur PostgreSQL.
Sentinel Rapid Deployment utilise des mécanismes basés sur des normes pour faciliter l'application des stratégies de mot de passe.
Le programme d'installation crée et configure une base de données PostgreSQL avec les utilisateurs suivants :
dbauser : propriétaire de la base de données (utilisateur administrateur de la base de données). Son mot de passe est défini lors du processus d'installation.
appuser : l'utilisateur d'applications servant à se loguer à la base de données depuis Sentinel Rapid Deployment. Le mot de passe est généré de manière aléatoire lors du processus d'installation et est réservé à une utilisation interne uniquement.
admin : les références de l'administrateur peuvent être utilisées pour se loguer à l'interface Web de Sentinel Rapid Deployment. Son mot de passe est défini lors du processus d'installation.
Par défaut, les mots de passe utilisateur sont stockés dans la base de données PostgreSQL, intégrée à Sentinel Rapid Deployment. PostgreSQL permet d'utiliser plusieurs mécanismes d'authentification basés sur des normes, tels que décrits dans la section Authentification des clients de la documentation PostgreSQL.
L'utilisation de ces mécanismes affecte tous les comptes utilisateur de Sentinel Rapid Deployment, y compris les utilisateurs d'applications Web et les comptes utilisés uniquement par les services principaux, comme dbauser et appuser.
Il est plus simple d'utiliser un annuaire LDAP pour authentifier les utilisateurs d'applications Web. Pour activer cette option sur le serveur Sentinel Rapid Deployment, reportez-vous à la Section 3.7, Authentification LDAP. Cette option n'affecte pas les comptes utilisés par les services principaux, qui continuent à procéder aux authentifications via PostgreSQL, sauf si vous avez modifié les paramètres de configuration de PostgreSQL.
Vous pouvez appliquer la stratégie de mot de passe de Sentinel Rapid Deployment de façon rigoureuse en utilisant à la fois ces mécanismes basés sur des normes et les mécanismes existant dans votre environnement, comme votre annuaire LDAP.