OGG 安全特性--使用cmdsec進行許可權控制

四、使用cmdsec進行許可權控制

GoldenGate 可以限制一些使用者對命令的使用。例如可以讓一些監控使用者只使用INFO和STAT命令，不允許其使用start和stop命令，這是通過對作業系統使用者組的限制而是現在限制使用命令的目的。

GoldenGate使用通過在安裝目錄下建立一個檔案，並在檔案加入一些規則來控制使用者對命令的使用，每一行一條規則，規則的順序要從控制範圍最廣到範圍最少從上到下寫，每個規則要用空格隔開。書寫規則的格式如下：

樣本21：

<command name> <command object> <OS group> <OS user> <YES | NO>

對每個選項的解釋：

<command name>：是GoldenGate的命令或者一個萬用字元，例如start、stop、*。

<command object>：是GoldenGate的進程群組類型或萬用字元，例如Extract、Replicat、MGR。

<OS group>：是作業系統使用者組，在UNIX下可以使用者ID來代替使用者名稱，或者使用*來表示所有的使用者組。

<YES | NO>：表示這個命令對這個使用者是開放的還是禁止的。

下面是一個Linux系統下控制使用者對命令使用的一個簡單的案例：

樣本22：

#GG command security  命令列

STATUS REPLICAT * Smith NO--不允許smith在容災端使用STATUS命令

STATUS * dpt1 * YES         --除了上面的規則，所有dpt1組下的使用者可以使用status  命令

START REPLICAT root * YES--root組下的使用者可以使用start Replicat命令

START REPLICAT * * NO     --除了上面的規則，所有使用者不能使用start replicat命令

* EXTRACT 200 * NO         --group id為200的組在生產端不可以使用命令

* * root root YES          --root使用者可以使用任何的命令

* * * * NO                  --除了上面的規則，所有的使用者不可以使用GoldenGate命令

CMDSEC檔案是命令列安全的根源，必須要保證這個檔案的安全，可以賦予使用者對它讀的許可權，但是不允許GoldenGate管理員以外的所有使用者修改和刪除這個檔案。

oracle視頻教程請關注:http://u.youku.com/user_video/id_UMzAzMjkxMjE2.html