La page d'authentification de la console d'administration Omnissa Horizon (/admin) est, par défaut, accessible à tous le monde.
En modifiant la configuration du serveur Tomcat, il est possible de restreindre l'accès à certains subnets IP afin de renforcer la sécurité.
Cette opération est documentée chez Apache Tomcat mais pas chez Omnissa, donc non officiellement supportée.

Configuration

Sur les Connection Servers, éditer le fichier web.xml situé dans le répertoire :
C:\Program Files\VMware\VMware View\Server\broker\webapps\admin\WEB-INF

Dans l'exemple ci-dessous, nous allons autoriser uniquement les accès depuis localhost (le Connection Server) et le sous-réseau 192.168.1.0/24.
Ajouter le code suivant :

<filter>
      <filter-name>Remote CIDR Filter</filter-name>
      <filter-class>org.apache.catalina.filters.RemoteCIDRFilter</filter-class>
      <init-param>
      <param-name>allow</param-name>
      <param-value>127.0.0.0/8,192.168.1.0/24</param-value>
      </init-param>
      </filter>
      <filter-mapping>
      <filter-name>Remote CIDR Filter</filter-name>
      <url-pattern>/*</url-pattern>
</filter-mapping>
web.xml

Enregistrer le fichier, le filtre sera automatiquement actif au bout de quelques secondes.


Les autres solutions possibles pour restreindre les accès sont :
- Mise en oeuvre d'une UAG interne
- Firewall Layer 7

Ludovic

Consultant @ Dell Technologies

Partagez cet article