1. Ana Sayfa
  2. Control-M
  3. Authorizations | Control-M #9

Authorizations | Control-M #9


Bu konumuzda security tabında bulunan ve yönetimin büyük ölçüde ayarlandığı Authorizations kısmını ele alacağız. Autohrization başlığında yer alt menüleri ve yapılabilecek her şeyi bir bir inceleyeceğiz. İstek olursa video ile anlatım da olur.

Users & Groups

Genelde yekilendirmeler yapılırken groupları yetkilendirmek administrative açıdan daha kolay olmakta ve yönetimi basitleştirmektedir. Gruplara atanan yetkiler eğer Default olarak işaretli ise gruba bağlı userlar da bu yetkileri INHERIT edecektir.

LDAP userları LDAP Group Mapping yapısında INHERITANCE alırlar. Yukarıdaki DEFAULT kuralı burada da geçerlidir. LDAP tarafından Local Admin Account’unu bilmemizde yarar vardır. Eğer esas kullandığımız hesapta bir problem olursa Local Admin Account’u ile giriş yapacağız.

Authorizations Bölümleri ve Amaçları

General: Username, Password, Password Policy ayarları yapılır.

Member Of: User’ların üye olacağı gruplar belirenir. User, hakları group/grouplardan INHERIT (kalıtım) edecektir.

Active: Monitoring tarafında user’ın/group’un yetkileri ayarlanır. (ViewPoint yetkilendirmesi)

Privileges: User’ın/Group’un EM’nin hangi özelliklerine erişebileceği ayarlanır.

Eğer group söz konusu ise DEFAULT seçili olanlar group’a bağlı user’ların INHERIT edeceği haklardır.

Global Conditions : Global Condition’ların PREFIX’lerinin değiştirildiği erkrandır. Genelde sadece admine bu yetki verilir. Buradaki bir değişiklik tüm Control-M sistemini etkileyecektir.

Calendars : BROWSE ve UPDATE yetkisi verilebilir. Yetkilendirmenin group bazında yapılması önerilir.

Folders : BROWSE ve UPDATE yetkisi verilebilir. Yetkilendirmenin group bazında yapılması önerilir.

Run As Users: Kimlerin JOB oluşturup çalıştırabileceğini ayarladığımız kısımdır. Hem Planinnig hemde Monitoring tarafını etkiler.

Workload Policies : Normal user’ların yetkilendirmelerinin y apıldığı kısım.

Services: BIM ve Self-Service yetkilendirmelerinin yapıldığı yerdir. Servis için yaptığımız yetkilendirmeler servis içerisindeki jobları KAPSAMAZ! Onlar için ayrıca yetkilendirme gerekecektir. Çünkü JOB’lar ( aktif olanlar ) zaten monitoring ekranındadır. BIM ya da Self-Service job’ları ayrıca Web Browser’da görüntüleriz. Yaptığımız yetkilendirmeler orada yansıyacaktır. Active Authorizationla bu yetkilendirme ayrı şeylerdir.

Prerequisite Conditions : Monitoring tarafındaki conditionlar ile ilgili yetkilendirmelerdir.

Control Resources : Monitoring tarafında kaynakların yetkilendirmesi yapılır.

Quantitative Resources : Monitoring tarafında kaynakların yetkilendirmesi yapılır.

LDAP Groups : Bir LDAP grubunu bir EM Authorization grubuna map ettiğimiz yerdir.  Eklerken Domain Name yada Short name yazabiliriz. Domain name yazılması önerilir. LDAP grubuna göre bir user ile Login olunduğunda ilgili LDAP grubunun ne hakkı varsa onlara sahip olacak.

Authorizations

Twists & Tips

Folder Security söz konusu olduğunda 4 adet erişim level’ı vardır. NONE, BROWSE, UPDATE, FULL. Bu parametre bir folder’ın schedule edilebilmesi ya da folder içerisindeki Job’un order edilebilmesi için user’ın ya da group’un sahip olması gereken yetkiyi belirtir.

Default olarak bu parametre UPDATE_ACCESS diğerine sahiptir. Yani user’ların bir folder’ı schedule edilebilmesi için UPDATE yetkisi olması gerekmektedir. Ancak user yada group sadece JOB’u order edecekse UPDATE yetkisine gerek yoktur. Bu yüzden bu parametreyi BROWSE_ACCESS olarak değiştirersek user’ların sadece BROWSE yetkisi olması gerekir. Aksi takdirde Folde’ı order edemeyeceklerdir.

EnableRemoteBrowsing: Default olarak Yes durumdadır. Bu durumda user’ları Agent’ın Local File System’ini götüleyebilecek, dosya listelerini çekebileceklerdir. Bunu disable edersek bunları yapamayacaklardır.

PGUI & KICK: EM üzerimde bir değişiklik yaptığımızda değişiklerin yansıması için ilgili user’ın logout & login olmaları gerekir. Eğer ilgili user’larla direkt iletişimimiz yoksa onu sistemden logout yaptırabilir.  Onu yeniden login olma zorunda bırakabiliriz. Bunun için EM’de ControlShell açarız. PGUI ile ilgili user’ı bulur, KICK ile onu sistemden dışarı atarız.

EM_BYPASS_CTMSEC: Control-M Server parametresidir. Control-M Server tarafından güvenlik kriterlerini görmezden gelir, sadece EM Authorizations göre haraket eder.

Authorization Flow 

Workload Automation GUI -> GUI Server -> Gateway -> Control-M Server -> Control-M Agent

Authorization’lar Agent, Server, GUI Server ve EM seviyelerinde sağlanır.

Agent Tarafında

Unix sistemlerde Job’lar RunAsUser’da kim varsa o user’ın yetkileriyle çalışır. Windows’ta ise eğer LogonAsUser seçeneği seçili ise o User’ın yetkileri ile çalışır. Eğer seçili değilse agent servisinin default User’ı ile yeni local system account’un yetkileri ile çalışır.

Yorum Yap

Yazar Hakkında

Sistem ve Network uzmanı. Borderlands hayranı.

Yorum Yap