16.20 - Data Mover 安全性 - Teradata Data Mover

Teradata® Data Mover 用户指南

Product
Teradata Data Mover
Release Number
16.20
Published
2021 年 11 月
Content Type
用户指南
Publication ID
B035-4101-107K-CHS
Language
中文 (简体)

Data Mover 提供配置参数来控制如何使用安全权限。启用安全管理功能后,用户对守护程序和单个作业拥有的可用访问权限将取决于指定的安全设置。如果不启用安全管理功能,Viewpoint 用户可以在 Data Mover 门户组件中对任何作业执行任何操作。

安全配置参数

您可以在使用 list_configuration 命令生成的 configuration.xml 文件中设置以下安全配置参数。
参数 说明
job.useSecurityMgmt 决定是否使用安全管理功能。设置为 true 时,将启用安全框架,并应用下面两个安全参数。缺省值为 true
job.securityMgmtLevel 决定安全管理级别。有效选项为 daemonjob。缺省值为 job
job.allowCommandLineUser 安全级别设置为 daemon 时,决定守护程序是否始终允许命令行请求。如果设置为 true,即使为门户组件启用了安全功能,命令行也不会强制执行安全检查。缺省值为 false

用户配置文件

用户登录到 Data Mover 门户组件后,将获得一个授权的用户配置文件。该用户配置文件包含一个用户名和一份用户所属角色的列表。用户配置文件根据所应用的是全局权限还是作业级权限来决定用户可以执行的操作。

守护程序级权限

如果 job.useSecurityMgmt 参数设置为 daemon,则会使用守护程序级权限。系统会检查用户配置文件是否具有该守护程序的读取、执行和写入权限。如果用户配置文件中的用户名或任何角色具有某个权限(读取、执行或写入),则表示该用户配置文件具有该权限。该权限适用于该守护程序上的所有作业。

作业级权限

job.useSecurityMgmt 参数设置为 job 时,将同时评估守护程序级权限和作业级权限。仅当用户配置文件同时对某个作业具有守护程序级权限和作业级权限时,它才对该特定作业具有权限。如果用户名或用户配置文件的任一角色具有作业级权限(读取、执行或写入),将向用户配置文件授予对该特定作业的权限。

读取、写入和执行权限将彼此单独接受评估。例如,只有当用户或角色同时在守护程序级别和作业级别拥有执行权限时,该用户或角色才拥有对某个作业的执行权限。此规则同样适用于读取和写入权限。如果某个用户配置文件包含多个角色,而一个角色具有守护程序级权限,另一角色具有作业级权限时,则会向该用户配置文件授予权限。

Viewpoint 用户对命令行的使用

启用安全管理功能后,Viewpoint 用户可在经过身份验证后使用 Data Mover 命令行界面。必须在 daemon.properties 文件中配置 Viewpoint 主机名和端口,如下列片段所示:
# Purpose: The hostname or IP address for the ViewPoint Authentication server.
# Default: https://localhost
viewpoint.url=https://localhost
# Purpose: The port number for the ViewPoint Authentication server.
# Default: 443
viewpoint.port=443
用于进行身份验证的 Viewpoint 服务器必须是监控此守护程序的唯一 Viewpoint 服务器。不支持在多个 Viewpoint 服务器上监控同一守护程序,否则,可能会引发身份验证和作业权限问题。无论守护程序当前是否已启用安全管理功能,此限制均适用。

在 Viewpoint 身份验证服务器未启用 HTTPS 的情况下,如果您想要改为使用 HTTP 进行身份验证,可以进行以下设置:将 viewpoint.url 设置为 http://localhost 并将 viewpoint.port 设置为 80

Data Mover 守护程序通过调用 Web 服务对用户进行身份验证。基于 HTTP 的服务调用 URL 时采用以下格式:http://hostname: port /ws/security/rolesForCurrentUser