La page d'authentification de la console d'administration Omnissa Horizon (/admin) est, par défaut, accessible à tous le monde.
En modifiant la configuration du serveur Tomcat, il est possible de restreindre l'accès à certains subnets IP afin de renforcer la sécurité.
Cette opération est documentée chez Apache Tomcat mais pas chez Omnissa, donc non officiellement supportée.
Configuration
Sur les Connection Servers, éditer le fichier web.xml situé dans le répertoire :
C:\Program Files\VMware\VMware View\Server\broker\webapps\admin\WEB-INF
Dans l'exemple ci-dessous, nous allons autoriser uniquement les accès depuis localhost (le Connection Server) et le sous-réseau 192.168.1.0/24.
Ajouter le code suivant :
<filter>
<filter-name>Remote CIDR Filter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteCIDRFilter</filter-class>
<init-param>
<param-name>allow</param-name>
<param-value>127.0.0.0/8,192.168.1.0/24</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Remote CIDR Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Enregistrer le fichier, le filtre sera automatiquement actif au bout de quelques secondes.
Les autres solutions possibles pour restreindre les accès sont :
- Mise en oeuvre d'une UAG interne
- Firewall Layer 7
Ludovic
Consultant @ Dell Technologies
Laisser un commentaire