Data Mover 提供配置参数来控制如何使用安全权限。启用安全管理功能后,用户对守护程序和单个作业拥有的可用访问权限将取决于指定的安全设置。如果不启用安全管理功能,Viewpoint 用户可以在 Data Mover 门户组件中对任何作业执行任何操作。
安全配置参数
参数 | 说明 |
---|---|
job.useSecurityMgmt | 决定是否使用安全管理功能。设置为 true 时,将启用安全框架,并应用下面两个安全参数。缺省值为 true。 |
job.securityMgmtLevel | 决定安全管理级别。有效选项为 daemon 和 job。缺省值为 job。 |
job.allowCommandLineUser | 安全级别设置为 daemon 时,决定守护程序是否始终允许命令行请求。如果设置为 true,即使为门户组件启用了安全功能,命令行也不会强制执行安全检查。缺省值为 false。 |
用户配置文件
用户登录到 Data Mover 门户组件后,将获得一个授权的用户配置文件。该用户配置文件包含一个用户名和一份用户所属角色的列表。用户配置文件根据所应用的是全局权限还是作业级权限来决定用户可以执行的操作。
守护程序级权限
如果 job.useSecurityMgmt 参数设置为 daemon,则会使用守护程序级权限。系统会检查用户配置文件是否具有该守护程序的读取、执行和写入权限。如果用户配置文件的用户名或任何角色具有某个权限(读取、运行或写入),则表示该用户配置文件具有该权限。该权限适用于该守护程序上的所有作业。
作业级权限
如果 job.useSecurityMgmt 参数设置为 job,则会同时评估守护程序级权限和作业级权限。仅当用户配置文件同时对某个作业具有守护程序级权限和作业级权限时,它才对该特定作业具有权限。如果用户配置文件的用户名或任何角色具有作业级权限(读取、运行或写入),则会向用户配置文件授予对该特定作业的权限。
读取、写入和运行权限将彼此单独接受评估。例如,仅当用户或角色同时在守护程序级别和作业级别具有执行权限时,该用户或角色才对某个作业具有执行权限。此规则同样适用于读取和写入权限。如果某个用户配置文件包含多个角色,而一个角色具有守护程序级权限,另一角色具有作业级权限,则会向该用户配置文件授予权限。
Viewpoint 用户对命令行的使用
# Purpose: The hostname or IP address for the ViewPoint Authentication server. # Default: https://localhost viewpoint.url=https://localhost # Purpose: The port number for the ViewPoint Authentication server. # Default: 443 viewpoint.port=443
在 Viewpoint 身份验证服务器未启用 HTTPS 的情况下,如果您想要改为使用 HTTP 进行身份验证,可以进行以下设置:将 viewpoint.url 设置为 http://localhost 并将 viewpoint.port 设置为 80。
Data Mover 守护程序通过调用 Web 服务对用户进行身份验证。基于 HTTP 的服务调用 URL 时采用以下格式:http://hostname: port /ws/security/rolesForCurrentUser。