Handbuch für Informatica-Anwendungsdienst > Metadaten-Zugriffsdienst > Betriebssystemprofile für den Metadaten-Zugriffsdienst
  

Betriebssystemprofile für den Metadaten-Zugriffsdienst

Ein Betriebssystemprofil stellt eine Art Sicherheit dar, die der Metadaten-Zugriffsdienst verwendet, um Metadaten zur Entwurfszeit zu importieren und in der Vorschau anzuzeigen. Erstellen Sie Betriebssystemprofile und konfigurieren Sie den Metadaten-Zugriffsdienst für die Verwendung von Betriebssystemprofilen.
Das Betriebssystemprofil enthält den Betriebssystem-Benutzernamen, die Hadoop-Identitätswechseleigenschaften sowie Berechtigungen.
Zur Verbesserung der Sicherheit erstellen Sie Betriebssystemprofile, um Benutzer in bestimmte Gruppen aufzuteilen. Jede Gruppe wird durch das Betriebssystemprofil und den konfigurierten Betriebssystembenutzer definiert. Die Gruppen verwalten Mapping-Läufe und steuern den Zugriff auf Verzeichnisse, indem sie Berechtigungen für den Betriebssystembenutzer im jeweiligen Betriebssystemprofil angeben. Der Betriebssystembenutzer verfügt über Lese- und Schreibberechtigungen für bestimmte gesteuerte Verzeichnisse. In der Konfiguration des Betriebssystemprofils müssen die Verzeichnisse, in denen Benutzer Lese- und Schreibrechte aufweisen, entsprechend kontrolliert werden, um Angriffe auf die Sicherheit zu minimieren, die aufgrund von Verzeichniswechseln (Directory Traversal) auftreten können. Wenn beispielsweise Verzeichnisberechtigungen im Betriebssystemprofil nicht ordnungsgemäß zugewiesen wurden, können bestimmte Benutzer auf Dateien in nicht zugewiesenen Verzeichnissen zugreifen.
Wenn Sie den Metadaten-Zugriffsdienst zur Verwendung der Betriebssystemprofile konfigurieren, importiert der Metadaten-Zugriffsdienst die Metadaten und zeigt sie in der Vorschau an. Dabei nutzt er die Berechtigungen des Betriebssystembenutzers, die Sie im Betriebssystemprofil definieren. Der Betriebssystembenutzer muss Zugriff auf die Verzeichnisse haben, die Sie im Profil konfigurieren, sowie auf die Verzeichnisse, auf die der Metadaten-Zugriffsdienst zur Entwurfszeit zugreift.
Standardmäßig importiert der Metadaten-Zugriffsdienstprozess Metadaten und zeigt diese in der Vorschau an. Dazu verwendet er die Berechtigungen des Betriebssystembenutzers, der die Informatica-Dienste startet. Der Metadaten-Zugriffsdienst hat nur Zugriff auf die Verzeichnisse, auf die der Betriebssystembenutzer Lese- und Schreibberechtigungen hat. Der Metadaten-Zugriffsdienst stellt dem Developer Tool die Objektmetadaten zur Verfügung.

Komponenten des Betriebssystemprofils

Konfigurieren Sie die folgenden Komponenten in einem Betriebssystemprofil:

Konfigurieren des Metadaten-Zugriffsdiensts zur Verwendung von Betriebssystemprofilen

Konfigurieren Sie den Metadaten-Zugriffsdienst, um Metadaten von Hadoop-Clustern zu importieren und in der Vorschau anzuzeigen.
Der Betriebssystembenutzer, den Sie im Betriebssystemprofil definieren, muss Zugriff auf die Verzeichnisse haben, die Sie im Betriebssystemprofil konfigurieren, sowie auf die Verzeichnisse, auf die der Metadaten-Zugriffsdienst zur Entwurfszeit zugreift.
Führen Sie die folgenden Schritte aus, um den Metadaten-Zugriffsdienst für die Verwendung von Betriebssystemprofilen zu konfigurieren:
    1Konfigurieren Sie die Systemberechtigungen für die Dateien und Verzeichnisse, auf die der Benutzer des Betriebssystemprofils zur Entwurfszeit zugreifen muss.
    2Aktivieren Sie im Administrator Tool den Metadaten-Zugriffsdienst, um Betriebssystemprofile zu verwenden.
    3Erstellen Sie auf der Seite „Sicherheit“ des Administrator Tools Betriebssystemprofile.
    Weitere Informationen zum Erstellen und Verwalten von Betriebssystemprofilen finden Sie im Informatica-Sicherheitshandbuch.

Konfigurieren von Systemberechtigungen für den Betriebssystemprofilbenutzer

Konfigurieren Sie die Systemberechtigungen für die Dateien und Verzeichnisse, auf die die Benutzer des Betriebssystemprofils zur Entwurfszeit zugreifen müssen.
    1Stellen Sie sicher, dass der Betriebssystembenutzer, der die Informatica-Dienste startet, über die Sudo-Berechtigung verfügt.
    2Stellen Sie unter Linux sicher, dass setuid auf dem Dateisystem aktiviert ist, auf dem sich die Informatica-Installation befindet.
    Falls erforderlich, installieren Sie das Dateisystem mit aktivierter setuid neu.
    3Stellen Sie sicher, dass alle Bibliotheksdateien in folgendem Verzeichnis mindestens 755 Berechtigungen aufweisen:
    <Informatica installation directory>/services/shared/bin
    4Stellen Sie sicher, dass die Benutzer des Betriebssystemprofils über 777 Berechtigungen im Verzeichnis $DISTempDir und mindestens 750 Berechtigungen im Verzeichnis $DISLogDir verfügen.
    5Stellen Sie sicher, dass die Betriebssystemprofilbenutzer mindestens 755 Berechtigungen in dem Verzeichnis, in dem sich die Datei „pmsuid“ befindet, sowie in allen übergeordneten Verzeichnissen aufweisen.
    Die Datei „pmsuid“ befindet sich in folgendem Verzeichnis:
    <Informatica installation directory>/services/shared/bin
    6Legen Sie den Besitzer und die Gruppe von pmsuid auf Root fest und richten Sie die Berechtigungen ein. Führen Sie die folgenden Schritte auf jedem Knoten aus, auf dem der Metadaten-Zugriffsdienst ausgeführt wird:
    1. aWechseln Sie an der Befehlsaufforderung in folgendes Verzeichnis:
    2. <Informatica installation directory>/services/shared/bin
    3. bGeben Sie die folgenden Informationen an der Befehlszeile ein, um sich als Root anzumelden:
    4. su root
    5. cGeben Sie den folgenden Befehl ein, um eine Gruppe für den Administratorbenutzer zu erstellen:
    6. sudo groupadd <group name>
    7. dGeben Sie den folgenden Befehl ein, um den Administratorbenutzer zur Gruppe hinzuzufügen:
    8. sudo usermod -G <group name> <Informatica administrator user>
      Der Administratorbenutzer ist der Linux-Benutzer, dessen Berechtigungen für alle Informatica-Dienste verwendet werden.
    9. eGeben Sie den folgenden Befehl ein, um den Besitzer und die Gruppe von pmsuid in Root und die erstellte Gruppe zu ändern:
    10. chown root:<group name> pmsuid
    11. fLegen Sie die folgenden Berechtigungen fest:
    12. chmod 6710 pmsuid
    13. gStellen Sie sicher, dass die Berechtigungen für die Datei „pmsuid“ folgendermaßen angezeigt werden:
    14. rws--s---
    7Legen Sie den Demaskierungswert der Verzeichnisse, auf die das Betriebssystemprofil zugreift, zur Optimierung der Sicherheit auf 0027 oder 0077 fest.
    Wenn Sie diese Verzeichnisse unter Linux erstellen, ist der UMASK-Standardwert auf 0222 festgelegt.

Aktivieren des Metadaten-Zugriffsdiensts zur Verwendung von Betriebssystemprofilen

Nachdem Sie die Systemberechtigungen für die Benutzer des Betriebssystemprofils konfiguriert haben, aktivieren Sie den Metadaten-Zugriffsdienst zur Verwendung von Betriebssystemprofilen.
    1Klicken Sie im Administrator Tool auf die Registerkarte Verwalten > Ansicht Dienste und Knoten.
    2Wählen Sie im Domänennavigator den Metadaten-Zugriffsdienst aus.
    3Klicken Sie in der Ansicht Eigenschaften des Metadaten-Zugriffsdiensts auf Ausführungsoptionen bearbeiten.
    4Wählen Sie Betriebssystemprofile und Identitätswechsel verwenden aus.
    Eine Warnmeldung wird angezeigt, dass die Cache-Verbindung, das SQL-Dienstmodul und das Webdienstmodul nicht verfügbar sind, wenn der Metadaten-Zugriffsdienst Betriebssystemprofile verwendet.
    5Starten Sie den Metadaten-Zugriffsdienst neu, um die Änderungen zu übernehmen.