В этой статье:
Создание учётных данных служебного пользователя
Сохранение созданных учётных данных служебного пользователя
Создание служебного пользователя
Служебный пользователь подсистемы безопасности обеспечивает:
вход в систему;
корректную работу аудита и блокировку пользователей;
использование роли приложения при работе с СУБД;
использование функции хэширования паролей.
Примечание. Создание служебного пользователя необходимо только для репозитория, созданного на базе СУБД Oracle, Microsoft SQL Server, PostgreSQL, и доступно администратору/пользователю с привилегиями «Создание и удаление пользователей» и «Применение прав на уровне СУБД».
Для создания служебного пользователя подсистемы безопасности в ОС Windows:
Запустите менеджер репозитория от имени администратора.
Создайте учётные данные служебного пользователя на сервере базы данных.
Сохраните созданные учётные данные служебного пользователя на каждом компьютере пользователя, если предполагается одновременное использование настольного и веб-приложения. Если предполагается использование только веб-приложения, то сохраните учётные данные служебного пользователя на компьютере с установленным BI-сервером.
При работе с настольным приложением пользователи напрямую взаимодействуют с СУБД. При работе с веб-приложением взаимодействие с СУБД осуществляется через BI-сервер.
После выполнения действий будет создан служебный пользователь подсистемы безопасности.
Важно. Зарезервированный служебный пользователь P4AUDIT объявлен устаревшим и в следующих версиях «Форсайт. Аналитическая платформа» будет заблокирован. Для обеспечения безопасности и входа в систему создайте нового служебного пользователя подсистемы безопасности и сохраните его учётные данные на каждом компьютере пользователя или на компьютере с установленным BI-сервером.
Для изменения пароля служебного пользователя подсистемы безопасности используйте менеджер безопасности.
Настройка подключения к СУБД
Для настройки подключения к СУБД:
Выберите операцию «Создать служебного пользователя подсистемы безопасности» в окне менеджера репозитория и нажмите кнопку «Продолжить».
После выполнения действий будет открыта страница «Подключение к СУБД»:
Примечание. Набор доступных параметров зависит от выбранного типа СУБД.
Задайте параметры подключения к СУБД:
Тип СУБД. Выберите тип СУБД Oracle, Microsoft SQL Server или PostgreSQL. Для получения подробной информации о доступных версиях СУБД обратитесь к разделу «Поддерживаемые СУБД»;
Дополнительные настройки. Кнопка становится доступной, если производится настройка подключения к СУБД Microsoft SQL Server или PostgreSQL. В дополнительных параметрах указывается:
Учитывать регистр при работе с СУБД. По умолчанию флажок снят и работа с СУБД выполняется без учета регистра. При установленном флажке все команды будут выполняться с учетом регистра;
Файловая группа. Поле доступно, если выбрана СУБД Microsoft SQL Server. Если пользователем в дополнительных параметрах не задана файловая группа, то по умолчанию в поле отображается DEFAULT, и при подключении будет использоваться файловая группа, отмеченная в свойствах БД флажком «по умолчанию»;
Имя пользователя-администратора схемы в базе данных. Поле доступно, если выбрана СУБД Microsoft SQL Server. По умолчанию будут использоваться данные DATABASE OWNER. В случае если неизвестны учетные данные DATABASE OWNER, то укажите пользователя, который обладает привилегией DB_OWNER на сервере СУБД. От имени указанного пользователя будут выполняться системные процедуры;
Сервер. Введите IP-адрес или псевдоним, под которым зарегистрирован сервер;
База данных. Поле доступно, если выбран тип СУБД Microsoft SQL Server или PostgreSQL. Задайте имя базы данных для хранения метаданных;
Схема. Поле отображается, если выбран тип СУБД Microsoft SQL Server или PostgreSQL. Для использования пользовательской схемы в БД укажите её идентификатор. По умолчанию используется «dbo»;
Имя пользователя (схемы). Имя пользователя, являющегося владельцем базы данных (схемы);
Пароль. Введите пароль пользователя для доступа к СУБД.
Нажмите кнопку «Проверить подключение» для проверки корректности введенных данных. В случае успешного/неуспешного подключения появится соответствующее сообщение. Если при проверке подключения не найдена файловая группа, указанная в дополнительных настройках, то также будет выдано соответствующее сообщение.
После выполнения действий будет настроено подключение к СУБД, на базе которой создан репозиторий.
Для создания учётных данных служебного пользователя нажмите кнопку «Далее».
Создание учётных данных служебного пользователя
Для создания учётных данных служебного пользователя:
Перейдите на страницу «Создание служебного пользователя»:
Задайте параметры учётных данных служебного пользователя:
Имя пользователя. Введите имя служебного пользователя. По умолчанию имя пользователя используется в верхнем регистре для избежания конфликтов с СУБД.
Важно. Имя пользователя P4AUDIT зарезервировано системой и недоступно для использования.
Пароль. Введите пароль служебного пользователя. Для СУБД Microsoft SQL Server пароль должен соответствовать требованиям, указанным к сложности пароля.
Выберите способ сохранения учётных данных:
Только для текущего пользователя. Учётные данные будут храниться в ветке реестра текущего пользователя [HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Audit\Credentials\Item0] и доступны для использования только текущему пользователю на компьютере;
Для всех пользователей. Учётные данные будут храниться в ветке реестра локальной машины [HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Audit\Credentials\Item0] и доступны для использования всем пользователям на компьютере.
Примечание. Сохранение учётных данных в реестр локальной машины выполняется от имени пользователя, обладающего правами администратора.
В файл settings.xml. Учётные данные будут храниться в файле settings.xml, расположенном по пути %PROGRAMDATA%\Foresight\Foresight Analytics Platform.
Примечание. По умолчанию папка ProgramData скрыта в операционной системе.
Файл доступен для использования только текущему пользователю на компьютере. Если файл содержится по указанному пути, то он будет перезаписан. Если файл отсутствует, то он будет создан.
Нажмите кнопку «Готово».
После выполнения действий будут созданы учётные данные служебного пользователя и сохранены в соответствии с выбранным способом на текущем компьютере пользователя. Если пользователь схемы отсутствует на сервере, то будет выдан стандартный диалог запроса учётных данных администратора сервера.
Примечание. Если осуществляется работа с сервером на базе СУБД Oracle, то в диалоге будет необходимо указать учётные данные пользователя «Sys» и в параметрах подключения выбрать режим «SYSDBA».
Сохранение созданных учётных данных служебного пользователя
Для сохранения созданных учётных данных служебного пользователя на каждом компьютере пользователя или на компьютере с установленным BI-сервером выберите один из способов:
экспортируйте данные реестра в reg-файл с компьютера, на котором создан служебный пользователь. Экспорт данных реестра актуален, если при создании служебного пользователя был выбран способ сохранения учётных данных «Только для текущего пользователя» или «Для всех пользователей».
Использование приложения PP.Util
Запустите приложение PP.Util, которое расположено в папке установки «Форсайт. Аналитическая платформа», со следующими параметрами:
PP.Util.exe /save_audit_creds /ALG enc_alg /SCOPE scope realm|/DC login password
Где:
enc_alg. Алгоритм шифрования, который будет применяться при шифровании учётных данных:
gos. По умолчанию. Используется шифрование алгоритмом GOST R 34.11-2012;
pro. Используется шифрование с помощью Data Protection API (DPAPI) в ОС Windows. Данный алгоритм шифрования недоступен для ОС Linux;
sim. Учётные данные сохраняются в открытом виде.
Важно. Для обеспечения безопасности в промышленной эксплуатации продукта «Форсайт. Аналитическая платформа» используйте значение gos или pro.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
scope. Способ сохранения учётных данных:
hkcu. Только для текущего пользователя.
В ОС Windows учётные данные будут храниться в ветке реестра текущего пользователя [HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Audit\Credentials\Item0] и доступны для использования только текущему пользователю на компьютере.
В ОС Linux учётные данные будут храниться в файле registry.reg, расположенном в каталоге по умолчанию. Каталог по умолчанию зависит от указания переменой окружения HOME в файле /etc/opt/Foresight/fp9.x-biserver/envvars:
если переменная задана, то файл будет расположен в каталоге $HOME/.config/Foresight/Foresight Analytics Platform/registry;
если переменная не задана, то файл будет расположен в каталоге /root/.config/Foresight/Foresight Analytics Platform/registry для Debian-подобных дистрибутивов или /usr/share/httpd/.config/foresight/Foresight Analytics Platform/registry для RedHat-подобных дистрибутивов;
hklm. Для всех пользователей.
В ОС Windows учётные данные будут храниться в ветке реестра локальной машины [HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Audit\Credentials\Item0] и доступны для использования всем пользователям на компьютере.
В ОС Linux учётные данные будут храниться в файле registry.reg, расположенном в каталоге /opt/Foresight/fp9.x-biserver/bin;
file. По умолчанию. В файл settings.xml.
В ОС Windows учётные данные будут храниться в файле settings.xml, расположенном по пути %PROGRAMDATA%\Foresight\Foresight Analytics Platform.
Примечание. По умолчанию папка ProgramData скрыта в операционной системе.
В ОС Linux учётные данные будут храниться в файле settings.xml, расположенном в созданном каталоге. Каталог зависит от указания переменой окружения HOME в файле /etc/opt/Foresight/fp9.x-biserver/envvars:
если переменная задана, то файл будет расположен в каталоге $HOME/.config/Foresight/Foresight Analytics Platform;
если переменная не задана, то файл будет расположен в каталоге /var/www/.config/Foresight/Foresight Analytics Platform для Debian-подобных дистрибутивов или /usr/share/httpd/.config/foresight/Foresight Analytics Platform для RedHat-подобных дистрибутивов.
Если файл содержится по указанным путям, то он будет перезаписан. Если файл отсутствует, то он будет создан.
Важно. При сохранении учётных данных служебного пользователя в файл settings.xml в ОС Linux выполните предварительные действия, указанные ниже, для раздачи прав доступа к файлу.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
realm|/DC. Область действия учётных данных служебного пользователя. Выберите один из способов:
realm. Если в списке репозиториев содержится более одного репозитория и учётные данные служебного пользователя должны отличаться для каждого из них, то задайте идентификатор вида «SERVER_DATABASE|TYPE» для сервера базы данных, указанного в настройках подключения к конкретному репозиторию, где:
SERVER_DATABASE. IP-адрес или псевдоним, под которым зарегистрирован сервер базы данных;
Примечание. При настройке подключения к репозиторию на каждом клиентском компьютере или на компьютере с установленным BI-сервером IP-адрес или псевдоним сервера должен совпадать с сервером, указанным в параметре SERVER_DATABASE.
TYPE. Тип используемого драйвера. Допустимы следующие значения: «POSTGRES», «MSSQL», «ORCL»;
Например: "127.0.0.1|POSTGRES".
Примечание. Для избежания синтаксических ошибок значение задаётся в верхних двойных кавычках.
/DC. Если в списке репозиториев содержится один или более репозиториев, но учётные данные служебного пользователя должны быть одинаковыми для всех репозиториев, то используйте данный параметр без указания дополнительных настроек.
Обязательный параметр;
login. Имя существующего служебного пользователя. Обязательный параметр;
password. Пароль существующего служебного пользователя. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
При сохранении созданных учётных данных служебного пользователя в файл settings.xml в ОС Linux выполните предварительные действия для раздачи прав доступа к файлу:
Создайте каталог для хранения учётных данных служебного пользователя с помощью команды:
если переменная HOME задана:
sudo mkdir -p "$HOME/.config/Foresight/Foresight Analytics Platform"
если переменная HOME не задана:
sudo mkdir –p "/var/www/.config/Foresight/Foresight Analytics Platform"
Назначьте владельцем каталога пользователя www-data с помощью команды:
если переменная HOME задана:
sudo chown -R www-data:www-data "$HOME/.config/Foresight/Foresight Analytics Platform"
если переменная HOME не задана:
sudo chown -R www-data:www-data "/var/www/.config/Foresight/Foresight Analytics Platform"
Указанный пример применим для раздачи прав в Ubuntu. При работе в других дистрибутивах ОС Linux замените «www-data:www-data» на значение из таблицы:
| Имя пользователя:Группа | Дистрибутив ОС Linux |
| www-data:www-data | Ubuntu, Astra Linux SE 1.7 |
| apache:apache | RedHat-подобные дистрибутивы, ALT Linux |
Запустите утилиту PP.Util от имени пользователя www-data, daemon или apache, и сохраните учётные данные служебного пользователя. Пример команды:
sudo -u <имя пользователя> PP_NODISPLAY=1 /opt/Foresight/fp9.x-biserver/bin/PP.Util /sac /SCOPE file "SERVER_DATABASE|POSTGRES" SERVICE_USER_NAME SERVICE_USER_PASSWORD
Где:
SERVER_DATABASE. IP-адрес или псевдоним, под которым зарегистрирован сервер базы данных;
SERVICE_USER_NAME. Имя служебного пользователя;
SERVICE_USER_PASSWORD. Пароль служебного пользователя.
Перезапустите сервер Apache в зависимости от операционной системы:
для RedHat-подобных дистрибутивов:
sudo systemctl restart httpd-fp9.x
для Ubuntu, Astra Linux SE 1.7:
sudo systemctl restart apache2-fp9.x
для ALT Linux:
sudo systemctl restart httpd2-fp9.x
После выполнения действий учётные данные служебного пользователя будут сохранены в файл settings.xml.
После выполнения действий учётные данные служебного пользователя будут сохранены на каждом компьютере пользователя или на компьютере с установленным BI-сервером.
Важно. Служебный пользователь может быть заблокирован при попытке входа в репозиторий, если его учётные данные, добавленные с помощью приложения PP.Util, не совпадают с исходными учётными данными, заданными при создании. Для разблокировки служебного пользователя обратитесь к администратору СУБД.
Экспорт данных реестра
Экспортируйте ветку системного реестра с компьютера, на котором были сохранены учётные данные служебного пользователя в зашифрованном виде:
[HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Audit] при выбранном способе сохранения учётных данных «Только для текущего пользователя»;
[HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Audit] при выбранном способе сохранения учётных данных «Для всех пользователей».
После чего импортируйте полученный reg-файл в реестр на каждом компьютере пользователя или на компьютере с установленным BI-сервером. При импорте reg-файла в реестр на компьютере с установленным BI-сервером перезапустите IIS.