Betriebssystemprofile für den Datenintegrationsdienst
Ein Betriebssystemprofil ist ein Sicherheitstyp, den der Datenintegrationsdienst zum Ausführen von Zuordnungen, Arbeitsabläufen und Profiling-Jobs verwendet. Verwenden Sie Betriebssystemprofile, um die Sicherheit zu erhöhen und die Laufzeitumgebung für Benutzer zu isolieren. Wenn der Datenintegrationsdienst unter UNIX oder Linux ausgeführt wird, erstellen Sie Betriebssystemprofile und konfigurieren Sie den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen.
Das Betriebssystemprofil enthält den Namen des Betriebssystembenutzers, Dienstprozessvariablen, Eigenschaften des Hadoop-Identitätswechsels und des Analyst-Diensts, Umgebungsvariablen und Berechtigungen.
Zur Verbesserung der Sicherheit erstellen Sie Betriebssystemprofile, um Benutzer in bestimmte Gruppen aufzuteilen. Jede Gruppe wird durch das Betriebssystemprofil und den konfigurierten Betriebssystembenutzer definiert. Die Gruppen verwalten Zuordnungsläufe und steuern den Zugriff auf Verzeichnisse, indem sie Berechtigungen für den Betriebssystembenutzer im jeweiligen Betriebssystemprofil angeben. Der Betriebssystembenutzer verfügt über Lese- und Schreibberechtigungen für bestimmte gesteuerte Verzeichnisse. In der Konfiguration des Betriebssystemprofils müssen die Verzeichnisse, in denen Benutzer Lese- und Schreibrechte aufweisen, entsprechend kontrolliert werden, um Angriffe auf die Sicherheit zu minimieren, die aufgrund von Verzeichniswechseln (Directory Traversal) auftreten können. Wenn beispielsweise im Betriebssystemprofil Verzeichnisberechtigungen nicht ordnungsgemäß zugewiesen wurden, können bestimmte Benutzer auf Dateien in nicht zugewiesenen Verzeichnissen zugreifen.
Wenn Sie den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen konfigurieren, führt der Datenintegrationsdienst Jobs mit den Berechtigungen des Betriebssystembenutzers aus, den Sie im Betriebssystemprofil definieren. Der Betriebssystembenutzer muss Zugriff auf die Ordner haben, die Sie im Profil konfigurieren, sowie auf die Ordner, auf die der Datenintegrationsdienst während der Laufzeit zugreift.
Standardmäßig führt der Datenintegrationsdienst alle Jobs, Zuordnungen und Arbeitsabläufe mit den Berechtigungen des Betriebssystembenutzers aus, der Informatica-Dienste startet. Die Jobs können nur auf die Verzeichnisse zugreifen, in denen der Benutzer des Betriebssystems über Lese- und Schreibrechte verfügt. Der Datenintegrationsdienst schreibt Ausgabedateien in ein einzelnes freigegebenes Verzeichnis, das in den Ausführungsoptionen des Datenintegrationsdiensts angegeben ist.
Stellen Sie vor dem Ausführen einer Zuordnung mit einer Lookup-Umwandlung, einer Sqoop-Quelle oder einem Sqoop-Ziel in der Hadoop-Laufzeitumgebung sicher, dass der Betriebssystembenutzer über Lese-, Schreib- und Ausführungsberechtigungen für folgendes Verzeichnis verfügt:
<Informatica installation directory>/tomcat/temp/<Data Integration Service name>/temp
HINWEIS: Wenn der Analyst- und der Datenintegrationsdienst auf verschiedenen Knoten ausgeführt werden, müssen die Betriebssystemprofile für beide Knoten konfiguriert werden.
Betriebssystemprofil - Beispiel
Ein IT-Unternehmen beschäftigt einige Entwickler, die mit vertraulichen Daten aus der Personalabteilung arbeiten. Das Unternehmen muss den Zugriff anderer Entwickler im Unternehmen auf alle Personalabteilungsdateien oder -verzeichnisse einschränken, die Eigentum der Personalabteilungsentwickler sind.
Das Unternehmen aktiviert Betriebssystemprofile, um den Datenzugriff zu beschränken. Jede Entwicklergruppe verfügt über ein Betriebssystemprofil. Die Entwickler mit dem Betriebssystemprofil für die Personalabteilung können Daten in den eingeschränkten Verzeichnissen auf dem UNIX-Computer lesen und schreiben.
Komponenten des Betriebssystemprofils
Konfigurieren Sie die folgenden Komponenten in einem Betriebssystemprofil:
- •Benutzername des Betriebssystems. Geben Sie einen Betriebssystembenutzer an, der sich auf dem System befindet, auf dem der Datenintegrationsdienst ausgeführt wird. Der Datenintegrationsdienst verwendet die Systemberechtigungen dieses Betriebssystembenutzers zum Ausführen von Mappings, Arbeitsabläufen und Profiling-Jobs.
- •Dienstprozessvariablen Konfigurieren Sie Dienstprozessvariablen im Betriebssystemprofil, um verschiedene Speicherorte für die Ausgabedatei basierend auf dem Betriebssystemprofil anzugeben, das dem Benutzer oder der Gruppe zugewiesen ist.
- •Hadoop-Identitätswechseleigenschaften. Konfigurieren Sie den Datenintegrationsdienst zur Verwendung eines Hadoop-Benutzers für Identitätswechsel, um Zuordnungen, Arbeitsabläufe und Profile in einer Hadoop-Umgebung auszuführen.
- •Umgebungsvariablen Konfigurieren Sie die Umgebungsvariablen, die der Datenintegrationsdienst zur Laufzeit verwendet.
- •Analyst-Dienst-Eigenschaften. Konfigurieren Sie das Verzeichnis des Einfachdatei-Cache für das Analyst Tool, um hochgeladene Einfachdateien zu speichern.
- •Berechtigungen Konfigurieren Sie Berechtigungen für Benutzer und Gruppen zur Verwendung von Betriebssystemprofilen.
Konfigurieren des Datenintegrationsdiensts zur Verwendung von Betriebssystemprofilen
Konfigurieren Sie den Datenintegrationsdienst zum Ausführen von Mappings, Arbeitsabläufen und Profiling-Jobs mit Betriebssystemprofilen.
Der im Betriebssystemprofil definierte Betriebssystembenutzer muss Zugriff auf die im Betriebssystemprofil konfigurierten Verzeichnisse sowie auf die Verzeichnisse haben, auf die der Datenintegrationsdienst zur Laufzeit zugreift. pmsuid ist beispielsweise ein Tool, das vom DTM-Prozess, den Befehlsaufgaben und Parameterdateien zum Wechseln zwischen den Betriebssystembenutzern verwendet wird. Sie müssen Betriebssystembenutzern Berechtigungen bereitstellen, um den Befehl pmsuid mit den Berechtigungen des Administratorbenutzers des Datenintegrationsdiensts auszuführen.
HINWEIS: Wenn Sie den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen aktivieren, können Sie die Cache-Verbindung, das SQL-Dienstmodul und das Webdienstmodul nicht aktivieren.
Führen Sie die folgenden Schritte durch, um den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen zu konfigurieren:
1Konfigurieren Sie Systemberechtigungen für die Dateien und Verzeichnisse, auf die der Betriebssystemprofilbenutzer zur Laufzeit zugreifen muss.
2Aktivieren Sie im Administrator Tool den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen.
3Erstellen Sie auf der Seite „Sicherheit“ des Administrator Tools Betriebssystemprofile.
Weitere Informationen zum Erstellen und Verwalten von Betriebssystemprofilen finden Sie im Informatica-Sicherheitshandbuch.
Konfigurieren von Systemberechtigungen für die Betriebssystemprofilbenutzer
Konfigurieren Sie Systemberechtigungen für die Dateien und Verzeichnisse, auf die Betriebssystemprofilbenutzer zur Laufzeit zugreifen müssen.
1Stellen Sie unter UNIX oder Linux sicher, dass setuid auf dem Dateisystem mit der Informatica-Installation aktiviert ist.
Falls erforderlich, installieren Sie das Dateisystem mit aktivierter setuid neu.
2Stellen Sie sicher, dass alle Bibliotheksdateien in folgendem Verzeichnis mindestens 755 Berechtigungen aufweisen:
<Informatica installation directory>/services/shared/bin
3Stellen Sie sicher, dass die Benutzer des Betriebssystemprofils über 777 Berechtigungen im Verzeichnis $DISTempDir und mindestens 750 Berechtigungen im Verzeichnis $DISLogDir verfügen.
4Stellen Sie sicher, dass die Betriebssystemprofilbenutzer mindestens 755 Berechtigungen in dem Verzeichnis, in dem sich die Datei „pmsuid“ befindet, sowie in allen übergeordneten Verzeichnissen aufweisen.
Die Datei „pmsuid“ befindet sich in folgendem Verzeichnis:
<Informatica installation directory>/services/shared/bin
5Legen Sie den Besitzer und die Gruppe von pmsuid auf Root fest und richten Sie die Berechtigungen ein. Führen Sie die folgenden Schritte auf jedem Knoten aus, auf dem der Datenintegrationsdienst ausgeführt wird:
- aWechseln Sie an der Befehlsaufforderung in folgendes Verzeichnis:
<Informatica installation directory>/services/shared/bin
- bGeben Sie die folgenden Informationen an der Befehlszeile ein, um sich als Root anzumelden:
su root
- cGeben Sie den folgenden Befehl ein, um eine Gruppe für den Administratorbenutzer zu erstellen:
sudo groupadd <group name>
- dGeben Sie den folgenden Befehl ein, um den Administratorbenutzer zur Gruppe hinzuzufügen:
sudo usermod -G <group name> <Informatica administrator user>
Der Administratorbenutzer ist der Linux-Benutzer, dessen Berechtigungen für alle Informatica-Dienste verwendet werden.
- eGeben Sie den folgenden Befehl ein, um den Besitzer und die Gruppe von pmsuid in Root und die erstellte Gruppe zu ändern:
chown root:<group name> pmsuid
- fLegen Sie die folgenden Berechtigungen fest:
chmod 6710 pmsuid
- gStellen Sie sicher, dass die Berechtigungen für die Datei „pmsuid“ folgendermaßen angezeigt werden:
rws--s---
6Legen Sie den Demaskierungswert der Verzeichnisse, auf die das Betriebssystemprofil zugreift, zur Optimierung der Sicherheit auf 0027 oder 0077 fest.
Wenn Sie diese Verzeichnisse unter UNIX oder Linux erstellen, ist der standardmäßige Demaskierungswert auf 0222 gesetzt.
Aktivieren des Datenintegrationsdiensts zur Verwendung von Betriebssystemprofilen
Aktivieren Sie nach der Konfiguration von Systemberechtigungen für die Betriebssystemprofilbenutzer den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen.
1Klicken Sie im Administrator Tool auf die Registerkarte Verwalten > Ansicht Dienste und Knoten.
2Wählen Sie den Datenintegrationsdienst im Domänennavigator aus.
3Klicken Sie in der Ansicht Eigenschaften des Datenintegrationsdiensts auf Ausführungsoptionen bearbeiten.
4Wählen Sie Betriebssystemprofile und Identitätswechsel verwenden aus.
In einer Warnmeldung wird angezeigt, dass die Cache-Verbindung, das SQL-Dienstmodul und das Webdienstmodul nicht verfügbar sind, wenn der Datenintegrationsdienst Betriebssystemprofile verwendet.
5Starten Sie den Datenintegrationsdienst neu, um die Änderungen zu übernehmen.
Fehlerbehebung in Betriebssystemprofilen
Beachten Sie die folgenden Tipps zur Fehlerbehebung, wenn Sie den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen konfigurieren:
- Nachdem ich den Datenintegrationsdienst zur Verwendung von Betriebssystemprofilen konfiguriert habe, kann der Datenintegrationsdienst nicht mehr gestartet werden.
Der Datenintegrationsdienst startet nicht, wenn Betriebssystemprofile unter Windows oder auf einem Gitter aktiviert sind, das einen Windows-Knoten enthält. Sie können Betriebssystemprofile in Datenintegrationsdiensten aktivieren, die unter UNIX oder Linux ausgeführt werden.
Oder pmsuid wurde nicht konfiguriert. Zur Verwendung von Betriebssystemprofilen müssen Sie den Besitzer und die Gruppe von pmsuid auf Administrator festlegen und das Setuid-Bit für pmsuid aktivieren.