17.10 - Seguridad de Data Mover - Teradata Data Mover

Teradata® Data Mover Guía del usuario

Product
Teradata Data Mover
Release Number
17.10
Release Date
Junio de 2021
Content Type
Guía del usuario
Publication ID
B035-4101-061K-ESN
Language
Español (España)

Data Mover proporciona parámetros de configuración que controlan cómo se utilizan los permisos de seguridad. Cuando se habilita la administración de seguridad, los privilegios de acceso disponibles para un usuario, para el daemon y para trabajos individuales dependen de la configuración de seguridad designada. Si la administración de seguridad no está habilitada, un usuario de Viewpoint puede realizar cualquier operación en cualquier trabajo en el portlet de Data Mover.

Parámetros de configuración de seguridad

Se pueden establecer los siguientes parámetros de configuración de seguridad en el archivo configuration.xml que se genera utilizando el comando list_configuration.
Parámetro Descripción
job.useSecurityMgmt Determina si se utiliza la administración de seguridad. Cuando se establece como true, se habilita el marco de seguridad y se aplican los dos parámetros de seguridad que se muestran a continuación. El valor predeterminado es true.
job.securityMgmtLevel Determina el nivel de administración de seguridad. Las opciones válidas son daemon y job. El valor predeterminado es job.
job.allowCommandLineUser Determina si el daemon permite siempre solicitudes de la línea de comandos cuando el nivel de seguridad está establecido como daemon. Cuando está establecido como true, la línea de comandos no impone la comprobación de seguridad, aunque esté activada la seguridad para el portlet. El valor predeterminado es false.

Perfiles de usuario

Cuando un usuario inicia sesión en el portlet de Data Mover, se autoriza un perfil de usuario. El perfil de usuario contiene un nombre de usuario y una lista de roles a las que pertenece el usuario. El perfil de usuario determina las acciones que puede llevar a cabo un usuario, según se apliquen permisos globales o a nivel de trabajo.

Permisos a nivel de daemon

Cuando el parámetro job.useSecurityMgmt se establece como daemon, se utilizan permisos a nivel de daemon. Se comprueba si un perfil de usuario tiene permisos de lectura, ejecución y escritura en el daemon. Si el nombre de usuario o cualquier rol de un perfil de usuario tiene un permiso (de lectura, ejecución o escritura), el perfil de usuario tiene el permiso. El permiso se aplica a todos los trabajos en el daemon.

Permisos a nivel de trabajo

Cuando el parámetro job.useSecurityMgmt se establece como job, se evalúan tanto el daemon, como los permisos a nivel de trabajo. Un perfil de usuario tiene permiso en un trabajo específico solo si el perfil de usuario tiene ese permiso en el daemon y el permiso a nivel de trabajo en ese trabajo. Si el nombre de usuario o cualquier rol de un perfil de usuario tiene un permiso a nivel de trabajo (lectura, ejecución o escritura), se otorgará permiso al perfil del usuario en ese trabajo concreto.

Los permisos de lectura, escritura y ejecución se evalúan independientemente entre sí. Por ejemplo, un usuario o rol tienen permisos de ejecución para un trabajo solo si ese usuario o rol tienen permiso de ejecución tanto en el nivel de daemon como en el nivel de trabajo. Lo mismo se aplica a los permisos de lectura y escritura. Si un perfil de usuario contiene varios roles, se conceden permisos al perfil de usuario si un rol tiene permisos de daemon y otro tiene permisos de nivel de trabajo.

Uso de la línea de comandos por usuarios de Viewpoint

Cuando se habilita la administración de seguridad, los usuarios de Viewpoint se pueden autenticar para que utilicen la interfaz de línea de comandos de Data Mover. El nombre del host y el puerto de Viewpoint se deben configurar en el archivo daemon.properties, como se muestra en este fragmento de código:
# Purpose: The hostname or IP address for the ViewPoint Authentication server.
# Default: https://localhost
viewpoint.url=https://localhost
# Purpose: The port number for the ViewPoint Authentication server.
# Default: 443
viewpoint.port=443
El servidor Viewpoint que se utiliza para la autenticación debe ser el único servidor Viewpoint que supervise este daemon. Supervisar el mismo daemon en más de un servidor Viewpoint no es compatible y podría crear problemas de autenticación y de permisos de trabajo. Esta restricción se aplica independientemente de si la administración de seguridad está habilitada en ese momento en el daemon o no.

Si el servidor de autenticación de Viewpoint no tiene habilitado HTTPS, puede establecer los siguientes valores si prefiere autenticar usando HTTP: viewpoint.url en http://localhost y viewpoint.port en 80.

El daemon de Data Mover realiza la llamada a los servicios web para autenticar al usuario. La URL de llamada de servicio basada en HTTP tiene este formato: http://hostname: port /ws/security/rolesForCurrentUser.