访问 In-Memory 数据
SAS LASR 授权服务
概览
SAS LASR Authorization Service 与元数据授权层协作以管理用户对 in-memory 数据的访问。
下图描述了授权过程:
授权过程
| 1 | 在 SAS Visual Analytics 客户端中,用户执行使用 SAS LASR Analytic Server 的操作。在该示例中,请求为读取数据。客户端将请求发送至授权服务。
注: 其他操作示例包括请求数据分析、加载表、追加行以及停止服务器。
|
| 2 | 授权服务从元数据服务器请求以下信息:
|
| 3 | 授权服务从元数据服务器接收授权决策和安全密钥。若发出请求的用户具有“读取”权限的依条件授予,则授权服务还会接收子句(或子句集),指定用户可以访问哪些行。 |
| 4 | 若发出请求的用户具有请求的操作所需的所有权限的有效授予,则授权服务会为客户端提供已签名的授予。
注: 授权服务使用安全密钥创建已签名的授予。已签名的授予包括表名、操作类型(例如,表信息、汇总统计量或回归),以及任何适用的行级别安全性条件。
|
| 5 | 客户端将已签名的授予提交至 SAS LASR Analytic Server。 |
| 6 | SAS LASR Analytic Server 使用其安全密钥的知识验证客户端提供的已签名授予。若已签名授予有效,则服务器提供对请求的 in-memory 表的访问(符合已签名授予中任何行级别安全条件)。 |
安全密钥
LASR 安全密钥是 SAS LASR Analytic Server 和元数据服务器之间的唯一共享机密。LASR 安全密钥按如下方式创建和存储:
-
当 SAS LASR Analytic Server 启动时生成密钥。在 SAS LASR Analytic Server 中,密钥存储在内存中。密钥还存储在与服务器连接对象关联的登录对象密码字段中的元数据中。
-
若 SAS LASR Analytic Server 停止,关联的密钥仍保留在元数据中。若服务器连接重新启动,会生成新的密钥。新的密钥替换元数据中的现有密钥。
注: LASR 安全密钥为 SAS 内部构造。不要将 LASR 安全密钥与加密密钥密码短语相混淆。请参见SASHDAT 文件的磁盘加密。
缓存
为了避免对元数据服务器进行安全密钥的重复查询,授权服务会缓存密钥。当缓存间隔到期时,授权服务会从中间层缓存中删除密钥。当对 in-memory 数据进行下一次请求时,授权服务再次从元数据服务器中获取密钥并重新填充缓存。
为了提高性能,授权服务缓存有关用户和权限的信息。SAS Visual Analytics 用户访问 SAS LASR Analytic Server 中的数据源时,会创建并缓存一个用户对象。还会为数据源创建并缓存一个权限对象。这些是中间层基于会话的缓存。
每个缓存的持续时间通过 las.caching.* 属性设置。请参见配置属性。
签名文件
签名文件是 SAS LASR Analytic Server 启动(服务器签名文件)和表加载(表签名文件)时创建的。每个服务器的签名文件的位置在服务器的元数据定义中指定。
按如下方式管理对签名文件目录的访问:
-
执行生成签名文件任务的所有用户必须具有对目录的“写入”访问权限。
-
执行生成签名文件任务的任何服务帐户必须具有对目录的“写入”访问权限。例如,若您使用自动数据加载,则运行计划任务的帐户必须具有该访问权限。
-
其他人都不需要访问签名文件。(从 SAS Visual Analytics 客户端访问 SAS LASR Analytic Server 及其 in-memory 数据受元数据权限控制。)
-
对签名文件的主机层访问控制确定对不受 SAS LASR 授权服务影响的任何请求的访问。因此,限制对签名文件的访问很重要。
按如下方式对签名文件目录进行主机保护:
-
在 SAS Management Console 中,右击 SAS LASR Analytic Server,然后选择 属性。
-
在选项选项卡上,点击高级选项按钮。
-
在高级选项窗口中,选择其他选项选项卡。记下在服务器上签名文件的位置字段中指定的路径。
-
使用下列指导对目录进行主机保护:Windows 特定: 按如上所述限制“读取”和“写入”访问权限。UNIX 特定: 对于分布式服务器,TKGrid 的 UMASK 值确定对签名文件的权限。将 TKGrid UMASK 设置为 077。对于非分布式服务器,将个人 UMASK 设置为 077。这些设置可防止文件所有者(创建者)以外的任何用户访问签名文件。
服务器标记
服务器标记是帮助 SAS LASR 授权服务将每个 in-memory 表映射至相应元数据对象的标识符。请参见In-Memory LASR 名称。
每个 LASR 逻辑库的服务器标记必须按如下方式定义:
-
若 LASR 逻辑库的数据从并置 HDFS 或 NFS-mounted MapR 加载,则服务器标记必须是逗点分隔的源路径。下面是一些示例:源路径相应的服务器标记
/hpshps/hps/specialhps.special/salessales -
若 LASR 逻辑库的数据使用 SAS Embedded Process 加载,则服务器标记必须为有效的 SAS 逻辑库引用名。例如,服务器标签不能是
MyServerTag(超过 8 个字符)或user.sasdemo(超过 1 个级别)。 -
若 LASR 逻辑库的数据从旧的并置提供程序加载,则服务器标记必须是源逻辑库的逻辑库引用名(例如 TDLIB 或 GPLIB)。
-
否则,服务器标记可以是任何唯一的字符串。若您没有在 LASR 逻辑库的元数据定义中提供服务器标记,则使用标记
WORK。
警告:
在服务器实例(主机-端口组合)中,每个服务器标记都必须唯一。