create_audit_userPP.Util - это консольное приложение в составе «Форсайт. Аналитическая платформа», выполняющее различные вспомогательные действия при настройке BI-сервера. Приложение входит в состав дистрибутива BI-сервера и расположено:
/opt/foresight/fp10.x-biserver/bin в ОС Linux;
C:\Program Files\Foresight\Analytics Platform 10.x в ОС Windows.
Для запуска приложения в ОС Linux используйте скрипт PP.Util_start.sh. Один запуск приложения может выполнять только одно из выбранных действий. Необходимое действие выбирается путём указания соответствующего набора параметров.
./PP.Util_start.sh <набор параметров>
PP.Util.exe <набор параметров>
Запуск приложения PP.Util должен осуществляться под тем же пользователем, под которым будет выполняться работа BI-сервера:
www-data для Debian-подобных дистрибутивов;
apache для RedHat-подобных дистрибутивов;
apache2 для ALT Linux.
В ОС Windows при установке BI-сервера на веб-сервер IIS по умолчанию пул приложения будет запускаться под учётной записью Network Service.
Для просмотра консольной справки по доступным наборам параметров в ОС Linux запустите скрипт PP.Util_start.sh без параметров. Необязательные параметры будут указаны в квадратных скобках. При указании набора параметров в синтаксисе приложения квадратные скобки не используются.
Примечание. Для указания значений наборов параметров используйте экранирование символов.
Наборы параметров:
Параметры:
/create_audit_user metabase_id login password audit_login audit_password [db_login [db_password]]
Создание учётных данных служебного пользователя подсистемы безопасности на сервере базы данных.
metabase_id. Идентификатор репозитория. Обязательный параметр;
Примечание. Репозиторий с указанным идентификатором должен содержаться в списке репозиториев. Если в настройках подключения к репозиторию указана пользовательская схема, то учётные данные служебного пользователя будут созданы для неё.
login. Имя владельца схемы ADMIN для подключения к репозиторию. Обязательный параметр;
password. Пароль владельца схемы ADMIN для подключения к репозиторию. Обязательный параметр;
audit_login. Имя создаваемого служебного пользователя. Обязательный параметр;
Примечание. Имя служебного пользователя P4AUDIT зарезервировано системой и недоступно для использования.
audit_password. Пароль создаваемого служебного пользователя. Обязательный параметр;
db_login. Имя пользователя базы данных, у которого есть привилегии на создание пользователей в СУБД. Необязательный параметр. Если имя пользователя не указано, то оно будет запрошено в интерактивном режиме;
db_password. Пароль пользователя базы данных, у которого есть привилегии на создание пользователей в СУБД. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
После выполнения действий будут созданы учётные данные служебного пользователя на сервере базы данных.
Пример:
/create_audit_user REPOSITORY_ID USER_NAME USER_PASSWORD SERVICE_USER_NAME SERVICE_USER_PASSWORD
Параметры:
/save_audit_creds [/ALG enc_alg] [/SCOPE scope] [realm|/DC] login [password]
Сохранение учётных данных служебного пользователя подсистемы безопасности на текущем компьютере пользователя.
enc_alg. Алгоритм шифрования, который будет применяться при шифровании учётных данных:
gos. По умолчанию. Используется шифрование алгоритмом ГОСТ 28147-89;
pro. Используется шифрование с помощью Data Protection API (DPAPI) в ОС Windows. Данный алгоритм шифрования недоступен для ОС Linux;
sim. Учётные данные сохраняются в открытом виде.
Важно. Для обеспечения безопасности в промышленной эксплуатации продукта «Форсайт. Аналитическая платформа» используйте значение gos или pro.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
scope. Способ сохранения учётных данных:
hkcu. Только для текущего пользователя. Учётные данные будут храниться в ветке реестра текущего пользователя [HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\Audit\Credentials\Item0] и доступны для использования только текущему пользователю на компьютере;
hklm. Для всех пользователей. Учётные данные будут храниться в ветке реестра локальной машины [HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\Audit\Credentials\Item0] и доступны для использования всем пользователям на компьютере;
file. По умолчанию. В файл settings.xml.
В ОС Windows учётные данные будут храниться в файле settings.xml, расположенном по пути %PROGRAMDATA%\Foresight\Foresight Analytics Platform.
Примечание. По умолчанию папка ProgramData скрыта в операционной системе.
Если файл содержится по указанным путям, то он будет перезаписан. Если файл отсутствует, то он будет создан.
Необязательный параметр, используется только в ОС Windows. Если параметр не задан, то используется значение по умолчанию.
В ОС Linux учётные данные могут храниться только в файле settings.xml, расположенном по пути /opt/foresight/fp10.x-biserver/etc.
realm|/DC. Область действия учётных данных служебного пользователя. Выберите один из способов:
realm. Если в списке репозиториев содержится более одного репозитория и учётные данные служебного пользователя должны отличаться для каждого из них, то задайте идентификатор вида «SERVER_DATABASE|TYPE» для сервера базы данных, указанного в настройках подключения к конкретному репозиторию, где:
SERVER_DATABASE. IP-адрес или псевдоним, под которым зарегистрирован сервер базы данных;
Примечание. При настройке подключения к репозиторию на каждом клиентском компьютере или на компьютере с установленным BI-сервером IP-адрес или псевдоним сервера должен совпадать с сервером, указанным в параметре SERVER_DATABASE.
TYPE. Тип используемого драйвера. Допустимы следующие значения: «POSTGRES», «MSSQL», «ORCL»;
Например: "127.0.0.1|POSTGRES".
Примечание. Для избежания синтаксических ошибок значение задаётся в верхних двойных кавычках.
Если порт сервера СУБД отличается от порта по умолчанию, то значение параметра SERVER_DATABASE задаётся в формате:
для Microsoft SQL Server: <IP-адрес или DNS-имя сервера>,<номер порта>;
для PostgreSQL: <IP-адрес или DNS-имя сервера>:<номер порта>.
При использовании СУБД Oracle порт сервера определяется в файле tnsnames.ora.
/DC. Если в списке репозиториев содержится один или более репозиториев, но учётные данные служебного пользователя должны быть одинаковыми для всех репозиториев, то используйте данный параметр без указания дополнительных настроек.
Обязательный параметр;
login. Имя существующего служебного пользователя. Обязательный параметр, является регистрозависимым;
password. Пароль существующего служебного пользователя. Необязательный параметр, является регистрозависимым. Если пароль не указан, то он будет запрошен в интерактивном режиме.
Примечание. Параметр /save_audit_creds можно использовать в сокращенном виде - /sac.
Для получения подробной информации обратитесь к разделу «Создание служебного пользователя».
Примеры:
в ОС Linux:
/save_audit_creds /DC SERVICE_USER_NAME SERVICE_USER_PASSWORD
в ОС Windows:
/save_audit_creds /SCOPE hkcu "10.30.210.10|POSTGRES" SERVICE_USER_NAME SERVICE_USER_PASSWORD
Параметры:
/save_creds [/ALG enc_alg] metabase_id [/DC|/GC|/DEC] login [password] [<имя пользователя внешнего сервиса>] [DBOWNER] [MBCACHE]
Сохранение учётных данных в настройках подключения к репозиторию.
Может использоваться для сохранения учётных данных технологической
учётной записи, необходимой для подключения к СУБД при аутентификации
через внешние
сервисы.
Учётные данные сохраняются в зашифрованном виде в подразделе реестра,
где хранятся настройки подключения к репозиторию.
enc_alg. Алгоритм шифрования, который будет применяться при шифровании учётных данных:
gos. По умолчанию. Используется шифрование алгоритмом ГОСТ 28147-89;
pro. Используется шифрование с помощью Data Protection API (DPAPI) в ОС Windows. Данный алгоритм шифрования недоступен для ОС Linux;
sim. Учётные данные сохраняются в открытом виде.
Важно. Для обеспечения безопасности в промышленной эксплуатации продукта «Форсайт. Аналитическая платформа» используйте значение gos или pro.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
metabase_id. Идентификатор репозитория. Обязательный параметр;
/DC|/GC|/DEC. Назначение учётных данных. Выберите один из способов:
/DC. Учётные данные для подключения к репозиторию по умолчанию;
/GC. Учётные данные для гостевого подключения к репозиторию;
/DEC. Учётные данные для подключения к СУБД ClickHouse. Используется для настройки режимов работы с данными в информационных панелях.
Необязательный параметр. Если параметр не задан, то используются учётные данные пользователя, заданные в параметрах login и password;
Примечание. Параметр не должен использоваться при сохранении учётных данных владельца схемы, если предполагается использование встроенной авторизации.
login. Имя пользователя для подключения к репозиторию. Обязательный параметр;
password. Пароль пользователя. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме;
<имя пользователя внешнего сервиса>. Пользователь внешнего сервиса, учётные данные которого используются в качестве соответствующей технологической учётной записи для подключения к СУБД. Используется только при настройке аутентификации через внешние сервисы. Необязательный параметр;
DBOWNER. Ключевое слово, позволяющее сохранить учётные данные технологической учётной записи, необходимые для поддержки встроенной авторизации совместно с парольной или доменной/интегрированной доменной аутентификацией. Обязательный параметр при настройке встроенной авторизации;
MBCACHE. Ключевое слово, позволяющее сохранить учётные данные пользователя, под которым будет осуществляться подключение к БД и чтение системных таблиц репозитория, которые будут кешироваться в память BI-сервера. Сохраните учётные данные владельца схемы или любого пользователя с правами на чтение системных таблиц репозитория. Используется для кеширования таблицы с интеграционными пользователями при выполнении операции ForeExecAtomic.
Примечание. Параметр /save_creds можно использовать в сокращенном виде - /sc.
Пример:
/save_creds REPOSITORY_ID /DC USER_NAME USER_PASSWORD
Параметры:
/encrypt_creds login [password]
Шифрование имени пользователя и пароля с использованием алгоритма ГОСТ 28147-89 и вывод полученных значений в консоль. Результатом работы команды будет пара атрибутов: Crs и Crsa. Данные атрибуты с зашифрованными учётными данными могут использоваться: при настройке подключения к службе каталогов LDAP-сервера в файле settings.xml или реестре, при настройке аутентификации на сервере состояний, при настройке планировщика задач в файле Scheduler.xml.
login. Имя пользователя. Обязательный параметр;
password. Пароль пользователя. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
Примечание. Параметр /encrypt_creds можно использовать в сокращенном виде - /ec.
Пример:
/encrypt_creds USER_NAME USER_PASSWORD
Параметры:
/save_cert cert_file metabase_id login [password]
Сохранение в системной таблице репозитория сертификата безопасности для аутентификации пользователей по сертификату.
cert_file. Абсолютный или относительный путь к файлу с сертификатом безопасности в формате PEM. Имя файла должно содержать латинские буквы и цифры. Обязательный параметр;
metabase_id. Идентификатор репозитория. Обязательный параметр;
login. Имя пользователя для подключения к репозиторию. Обязательный параметр;
password. Пароль пользователя. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
Примечание. Параметр /save_cert можно использовать в сокращенном виде - /ce.
Пример:
/save_cert /tmp/server.cer REPOSITORY_ID USER_NAME USER_PASSWORD
Параметры:
/save_private_key cert_file cert_id [enc_alg]
Сохранение закрытого ключа в реестре для использования при подключении по сертификату безопасности.
cert_file. Абсолютный или относительный путь к файлу с закрытым ключом. Обязательный параметр;
cert_id. Идентификатор сертификата безопасности в репозитории. Обязательный параметр. Данный идентификатор будет получен после выполнения команды «/save_cert»;
enc_alg. Алгоритм шифрования, который будет применяться при шифровании файла с закрытым ключом перед сохранением в реестре:
gos. По умолчанию. Используется шифрование алгоритмом ГОСТ 28147-89;
pro. Используется шифрование с помощью Data Protection API (DPAPI) в ОС Windows. Данный алгоритм шифрования недоступен для ОС Linux;
sim. Данные закрытого ключа сохраняются в открытом виде без шифрования.
Важно. Для обеспечения безопасности в промышленной эксплуатации продукта «Форсайт. Аналитическая платформа» используйте значение gos или pro.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию.
Пример:
/save_private_key /tmp/server.key SERVER gos
Параметры:
/iisdiag [/C] metabase_id login [password]
Проверка типовых проблем установки BI-сервера на IIS.
/C. Не проверять настройки, задаваемые в IIS, проверять только те настройки, которые производит инсталлятор при установке BI-сервера.
Необязательный параметр. Если параметр не задан, то выполняется проверка настроек, заданных в IIS, и настроек BI-сервера;
metabase_id. Идентификатор репозитория. Обязательный параметр;
login. Имя пользователя для подключения к репозиторию. Обязательный параметр;
password. Пароль пользователя. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
Пример:
/iisdiag /C REPOSITORY_ID USER_NAME USER_PASSWORD
Параметры:
/grant_audit_user [/OP operation] metabase_id db_login [db_password]
Раздача прав служебному пользователю подсистемы безопасности на уровне СУБД.
operation. Операция, на которую раздаются права. Допустимые значения:
auditlog. По умолчанию. Права на запись в протокол доступа;
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
metabase_id. Идентификатор репозитория. Обязательный параметр;
db_login. Имя пользователя, имеющего права на раздачу грантов в базе данных репозитория, указанного в параметре metabase_id. Обязательный параметр;
db_password. Пароль пользователя, имеющего права на раздачу грантов в базе данных репозитория, указанного в параметре metabase_id. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
Пример:
/grant_audit_user REPOSITORY_ID USER_NAME USER_PASSWORD
Параметры:
/save_integration_user metabase_id integration_login exp tech_login tech_password login [password]
Генерация токена для интеграционного пользователя и сохранение учётных данных технологической учётной записи для подключения к репозиторию с использованием операции ForeExecAtomic.
metabase_id. Идентификатор репозитория. Обязательный параметр;
integration_login. Имя интеграционного пользователя. Данный пользователь должен быть добавлен в менеджере безопасности репозитория. От его имени будет осуществляться подключение к репозиторию при выполнении операции ForeExecAtomic. Обязательный параметр;
exp. Срок действия токена в днях. Обязательный параметр;
tech_login и tech_password. Имя пользователя и пароль технологической учётной записи. Данный пользователь должен быть добавлен в менеджере безопасности репозитория. Технологическая учётная запись - учётная запись, от имени которой происходит фактическое подключение и взаимодействие с СУБД при подключении к репозиторию с использованием операции ForeExecAtomic. Обязательный параметр;
login и password. Имя пользователя и пароль владельца схемы, под которым, при выполнении операции save_integration_user, будет осуществляться подключение к репозиторию для добавления записи в системную таблицу с интеграционными пользователями. Имя пользователя обязательно. Пароль является необязательным, если он не указан, то он будет запрошен в интерактивном режиме.
После выполнения действия будет сгенерирован и выведен в консоль токен интеграционного пользователя. Данный токен должен передаваться в качестве параметра операции ForeExecAtomic для открытия соединения с репозиторием от имени интеграционного пользователя.
Администратор должен обеспечить безопасное хранение сгенерированных токенов интеграционных пользователей. Хранение токенов не определяется в данной документации и может быть реализовано на усмотрение администратора.
Пример:
/save_integration_user Warehouse INTUSER 90 TUZ password admin
После ввода пароля, генерации токена и сохранения учётных данных технологической учётной записи будет выведено сообщение следующего вида:
Operation completed successfully. Token: {BD8D4E02-FA2A-405B-9938-8DB97087C7D8}
Примечание. Если с помощью PP.Util были сохранены учётные данные и после этого был изменён пароль пользователя операционной системы, под которым работает BI-сервер, то заново пересохраните все учётные данные.
См. также: