Oracle GoldenGate安全性配置系列:利用CMDSEC文件控制GoldenGate命令的用户访问权限(三)
1 oracle oinstall 153 Mar 3 15:06 escott.prm
-rwxr-x--- 1 oracle oinstall 53 Mar 3 15:06 jagent.prm
-rwxr-xr-x 1 oracle oinstall 53 Mar 3 15:06 mgr.prm
-rwxr-xr-x 1 oracle oinstall 168 Mar 3 15:06 pscott.prm
[ogg@prod ggs]$ ls -lt | grep dir
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:29 dirdat
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:29 dirpcs
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:29 dirrpt
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:29 dirtmp
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:09 dirchk
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:08 dirdef
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:08 dirout
drwxrwxr-x 2 oracle oinstall 4096 Mar 3 15:08 dirsql
drwxr-x--- 2 oracle oinstall 4096 Mar 3 15:06 dirprm
drwxr-x--- 2 oracle oinstall 4096 Apr 23 2012 dirjar
如果 ogg 管理用户确实需要修改参数问价你的权限,可以通过执行如下命令解决
chmod -R g+w /home/oracle/ggs/dirprm
至此 GoldenGate 管理用户创建完毕。
二、配置 GoldenGate 命令安全性
您可以为Oracle GoldenGate 命令建立命令安全性来控制哪些用户可以访问
OracleGoldenGate 的功能。例如您可以允许某些用户执行 INFO 和 STATUS
命令,阻止这些用户使用 START 和 STOP 命令。安全等级按照操作系统的
属组来定义。
OracleGoldenGate 的功能。例如您可以允许某些用户执行 INFO 和 STATUS
命令,阻止这些用户使用 START 和 STOP 命令。安全等级按照操作系统的
属组来定义。
如果要为 OracleGoldenGate 命令配置安全策略,您可以在OracleGoldenGate
目录中创建一个 CMDSEC文件。没有该文件的话,任何用户都可以访问
所有的 Oracle GoldenGate 命令。
目录中创建一个 CMDSEC文件。没有该文件的话,任何用户都可以访问
所有的 Oracle GoldenGate 命令。
配置 GoldenGate 命令安全性的步骤
1. 新建一个 ASCII 文本文件(UE)。
2. 参考以下语法及示例配置,为您想要限制的每个命令创建一个或多个规则,
每个规则一行。规则的顺序按照由具体到抽象的顺序列出。CMDSEC文件中
的安全规则按照由上至下的规则处理。第一条符合条件的规则就是决定是否
具有访问权限的规则。
每个规则一行。规则的顺序按照由具体到抽象的顺序列出。CMDSEC文件中
具有访问权限的规则。
CMDSEC 文件格式如下,每个
组件用空格或制表符分开
其中:
是 GGSCI命令名称或通配符,例如 START、STOP
或 *。
可以是任何 GGSCI命令对象或通配符,例如 EXTRACT、
REPLICAT 或 MANAGER。
字形式的属组 ID 取代属组名称,也可以使用通配符指定所有属组。
的用户 ID 取代用户名称,也可以使用通配符指定所有用户。
3. 将 ASCII 命名为 CMDSEC (Unix 系统上使用大写字母 )保存到
Oracle
GoldenGate home 目录中。
下面是一在 Unix
系统上正确实施 CMDSEC 文件的示例:
#Command Object Group User Access Allowed
START * oinstall oracle YES
stop * oinstall oracle YES
stop * oinstall ogg NO
info * oinstall ogg YES
stats * oinstall ogg YES
alter * oinstall ogg NO
alter extract oinstall ogg NO
测试:
[oracle@prod ggs]$ ggsci
Oracle GoldenGate Command Interpreter forOracle
Version 11.2.1.0.1OGGCORE_11.2.1.0.1_PLATFORMS_120423.0230_FBO
Linux, x86, 32bit (optimized), Oracle 11gon Apr 23 2012 08:09:25
Copyright (C) 1995, 2012, Oracle and/or itsaffiliates. All rights reserved.
GGSCI (prod.oracle.com) 1> info all
Program Status Group Lag at Chkpt Time Since Chkpt
MANAGER RUNNING
EXTRACT STOPPED ESCOTT 00:00:00 00:00:06
EXTRACT STOPPED PSCOTT 00:00:00 05:55:55
根据 CMDSEC 文件配置,ogg 用户可以启动 extract,无法停止 extract
[ogg@prod ggs]$ ggsci
Oracle GoldenGate Command Interpreter forOracle
Version 11.2.1.0.1 OGGCORE_11.2.1.0.1_PLATFORMS_120423.0230_FBO
Linux, x86, 32bit (optimized), Oracle 11gon Apr 23 2012 08:09:25
Copyright (C) 1995, 2012, Oracle and/or itsaffiliates. All rights reserved.
GGSCI (prod.oracle.com) 1> info all
Program Status Group Lag at Chkpt Time Since Chkpt
MANAGER RUNNING