16.20 - Data Moverのセキュリティ - Teradata Data Mover

Teradata® Data Mover ユーザー ガイド

Product
Teradata Data Mover
Release Number
16.20
Published
2021年11月
Content Type
ユーザー ガイド
Publication ID
B035-4101-107K-JPN
Language
日本語 (日本)

Data Moverには、セキュリティ権限の使用方法を制御できる構成パラメータがあります。セキュリティの管理が有効になっている場合、デーモンおよび個々のジョブのユーザーが使用できるアクセス権限は、指定されたセキュリティ設定によって異なります。セキュリティの管理が有効になっていない場合は、ViewpointユーザーはData Moverポートレット内のどのジョブのどの操作でも実行できます。

セキュリティ構成パラメータ

list_configurationコマンドを使用して生成したconfiguration.xmlファイルに、次のセキュリティ構成パラメータを設定できます。
パラメータ 説明
job.useSecurityMgmt セキュリティの管理を使用するかどうかを指定します。trueに設定すると、セキュリティ フレームワークが有効になり、以下の2つのセキュリティ パラメータが適用されます。デフォルトはtrueです。
job.securityMgmtLevel セキュリティ管理のレベルを指定します。有効な選択肢はdaemonjobです。デフォルトはjobです。
job.allowCommandLineUser セキュリティ レベルがdaemonに設定された場合に、デーモンで常にコマンドライン リクエストを許可するかどうかを指定します。trueに設定すると、ポートレットでセキュリティが有効になっていても、コマンドラインでセキュリティ チェックは実行されません。デフォルトはfalseです。

ユーザー プロファイル

ユーザーがData Moverポートレットにログオンすると、ユーザー プロファイルが許可されます。ユーザー プロファイルには、ユーザー名が1つと、ユーザーが属するロールのリストが含まれています。ユーザー プロファイルにより、適用される権限がグローバル レベルかジョブ レベルかに応じてユーザーが実行できるアクションが決まります。

デーモン レベルの権限

job.useSecurityMgmtパラメータがdaemonに設定されている場合は、デーモン レベル権限が使用されます。ユーザー プロファイルでは、デーモンの読み取り、実行、および書き込みの権限がチェックされます。ユーザー プロファイルのユーザー名またはロールに権限(読み取り、実行、または書き込み)がある場合、ユーザー プロファイルはその権限を持っています。権限はデーモンのすべてのジョブに適用されます。

ジョブ レベル権限

job.useSecurityMgmtパラメータがjobに設定された場合は、デーモン レベル権限とジョブ レベル権限の両方が評価されます。ユーザー プロファイルは、デーモン権限およびジョブに対するジョブ レベル権限がある場合にのみ、特定のジョブに対する権限を持ちます。ユーザー プロファイルのユーザー名またはロールにジョブ レベル権限(読み取り、実行、または書き込み)がある場合、その特定のジョブに対する権限がユーザー プロファイルに付与されます。

読み取り、書き込み、および実行の権限は、いずれも個別に評価されます。例えば、ユーザーまたはロールにデーモン レベルとジョブ レベルの両方で実行権限がある場合にのみ、ユーザーまたはロールはジョブの実行権限を持ちます。読み取り権限と書き込み権限についても同様に適用されます。ユーザー プロファイルに複数のロールが含まれているときは、その中にデーモン権限があるロールおよびジョブ レベル権限のロールがある場合、ユーザー プロファイルに権限が付与されます。

Viewpointユーザーによるコマンドラインの使用

セキュリティの管理が有効になっている場合、ViewpointユーザーはData Moverコマンドライン インターフェースを使用して認証を実行できます。次のスニペットのように、daemon.propertiesファイルにViewpointのホスト名とポートを構成する必要があります。
# Purpose: The hostname or IP address for the ViewPoint Authentication server.
# Default: https://localhost
viewpoint.url=https://localhost
# Purpose: The port number for the ViewPoint Authentication server.
# Default: 443
viewpoint.port=443
認証に使用されるViewpointサーバーはこのデーモンをモニタリングする唯一のViewpointサーバーである必要があります。複数のViewpointサーバーでの同じデーモンのモニタリングはサポートされておらず、認証およびジョブ権限の問題が発生する可能性があります。この制限は、セキュリティの管理が現在デーモンに有効かどうかに関係なく適用されます。

Viewpoint認証サーバーでHTTPSが有効でない場合に、HTTP経由で認証するには、viewpoint.urlhttp://localhostに、およびviewpoint.port80に設定します。

Data Moverデーモンは、Webサービスを呼び出してユーザーを認証します。HTTPベースのサービス呼び出しURLの形式はhttp://hostname: port /ws/security/rolesForCurrentUserです。