Einführung / Konfiguration des FirstSpirit-Servers / Zusätzliche Sicherheitsmechanismen / Authentifizierung aller internen Verbindungen

Zusätzliche Sicherheitsmechanismen

Authentifizierung aller internen Verbindungen zum FirstSpirit-Server

Ab FirstSpirit-Version 5.2 werden die Sicherheitsanforderungen für die interne Kommunikation zwischen den FirstSpirit-Server-Komponenten angehoben. Für alle Verbindungen zum FirstSpirit-Server ist dann eine Authentifizierung erforderlich. Das bedeutet, alle Webanwendungen (und Cluster-Knoten, siehe Clustering: Lastverteilung bei der Generierung), die mit dem FirstSpirit-Server kommunizieren, müssen sich zuvor authentifizieren.

Zur Authentifizierung der Webanwendungen am FirstSpirit-Server können App-Passwörter (applikationsspezifische Passwörter) innerhalb der Servereigenschaften hinterlegt werden. Diese Passwörter können für alle FirstSpirit-Webanwendungen (fs5root, fs5webmon,…) und für alle Cluster-Knoten konfiguriert werden. Dazu muss das vorkonfigurierte Standard-Passwort überschrieben werden. Neue Passwörter werden einmalig generiert und nicht gespeichert (siehe Hinweis). Sie müssen also nach ihrer Anzeige im Konfigurationsdialog direkt in die entsprechende Webanwendung bzw. den Cluster-Knoten übernommen werden. 

Hinweis: Die Passwörter selbst werden von FirstSpirit nicht gespeichert, sondern nur der Salted Hash-Wert der App-Passwörter (nach dem Verfahren SHA-2 mit 384 Bit Länge) im Server Repository abgelegt. Ein Auslesen der Originalpasswörter ist somit mit aktueller Technik nicht möglich.

Das vorkonfigurierte Standard-Passwort ist innerhalb der Datei fs-isolated-server.jar hinterlegt und sorgt dafür, dass ältere FirstSpirit-Installationen nach einem Update auf FirstSpirit-Version 5.2 kompatibel sind, ohne dass direkt alle Webanwendungen und Clusterknoten mit den neuen App-Passwörtern konfiguriert werden müssen.

Wichtig Das Standard-Passwort wird bei jedem FirstSpirit-Build neu vergeben. Bei einem FirstSpirit-Update (bzw. einer Aktualisierung der Datei fs-isolated-server.jar) müssen immer alle Webanwendungen aktualisiert werden. Das gilt insbesondere auch für alle auf einem externen Webserver installierten Web-Applikationen (vgl. Aktualisieren einer Web-Komponente). In diesem Fall ist sichergestellt, dass das Standard-Passwort in den Dateien fs-isolated-server.jar (FirstSpirit-Server) und fs-isolated-webrt.jar (Application Server) identisch ist. Andernfalls ist eine Authentifizierung nach dem Update nicht mehr möglich.  

Um eine vollständig, gesicherte Verbindung zu gewährleisten, sollte das Standard-Passwort deaktiviert werden. (Hintergrund: Das vorkonfigurierte Standard-Passwort ist innerhalb der Jar-Datei gespeichert und somit nicht vollständig gegen unbefugten Zugriff gesichert.)

Für den sicheren Betrieb des FirstSpirit-Servers wird empfohlen:

  • Die direkte Kommunikation von ServerManager und SiteArchitect zum FirstSpirit-Server ausschließlich über HTTPS erlauben (siehe dazu Verbindungseinstellungen konfigurieren). In diesem Fall sind alle Zugriffe auf den FirstSpirit-Server nur nach einer vorherigen Benutzer-Authentifizierung mit den entsprechenden Rechten möglich.
  • Die interne Kommunikation der FirstSpirit-Webanwendungen (fs5root, fs5webmon, fs5webedit, fs5preview, fs5staging) mit dem FirstSpirit-Server erfolgt ausschließlich über den Socket-Modus. Hier wird für den sicheren Betrieb empfohlen, App-Passwörter für diese Kommunikationswege einzurichten.

Wichtig App-Passwörter wirken sich nur auf Socket-Verbindungen zwischen FirstSpirit-Server und den FirstSpirit-Webanwendungen bzw. Cluster-Knoten aus. Andere FirstSpirit-interne Kommunikationswege sind nicht betroffen.

Weiterführende Informationen zur Konfiguration von App-Passwörtern siehe App-Passwörter

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.3 | Datenschutz