メイン コンテンツをスキップする 補完的コンテンツへスキップ
Qlik リソース
SearchUnify の検索をロード中 製品に関するサポートが必要な場合は、Qlik Support にお問い合わせください。
Qlik Customer Portal
SearchUnify の検索をロード中 製品に関するサポートが必要な場合は、Qlik Support にお問い合わせください。
Qlik Customer Portal

別のユーザーとしてタスクの実行が許可されるユーザーのリストを定義

ジョブ実行中に偽装できるオペレーティングシステムユーザーを制御するには、RUN_AS_ALLOWLISTパラメーターを使用します。この許可リストにより、Talend JobServerは設定に明示的に記載されたユーザーにのみインパーソネーションを行うように制限されます。

このタスクについて

ジョブ実行リクエストで、インパーソネーション対象のオペレーティングシステムユーザーが指定されている場合:

  • ユーザーが許可リストに含まれている場合: Talend JobServerはそのユーザーに代わってプロセスを作成し、そのユーザーのオペレーティングシステム権限でジョブを実行します。
  • ユーザーが許可リスト含まれていない場合: Talend JobServerは実行要求を拒否し、承認エラーで失敗します。

このメカニズムにより、権限のない要求や悪意のある要求が、特権を持つオペレーティングシステムユーザー(ルートアカウントやその他のシステムアカウントなど)としてジョブを実行しようとするのを防止できます。

情報メモヒント:

許可リストが空の場合、インパーソネーションなしのジョブ実行のみが正常に機能します。ユーザーへのインパーソネーションの試みは、すべて拒否されます。RUN_AS_ALLOWLIST=anybodyを設定すると、すべてのオペレーティングシステムユーザーに対してインパーソネーションが許可されます。

手順

  1. <jobserver_path>/conf/TalendJobServer.propertiesファイルを開きます。
  2. org.talend.remote.jobserver.server.TalendJobServer.RUN_AS_WHITELIST値を編集して、必要なユーザーをすべて追加します。

    ユーザー名の値の有効な区切り文字としてコンマが使用できます。次の形式を使用します。

    # Allow specified OS users (comma-separated) to be impersonated during Job execution
# Wildcards are supported (e.g., prod*, staging_user*)
# Example: allow jobuser1, jobuser2, and any user starting with "prod"
org.talend.remote.jobserver.server.TalendJobServer.RUN_AS_ALLOWLIST=jobuser1,jobuser2,this.super-user,prod*
  3. Talend JobServerを再起動すると変更が有効になります。

次のタスク

監査ログ(Talend JobServer用に監視および監査システムを設定を参照)を有効にして、どのユーザーが誰によってインパーソネーションされているかを追跡します。これにより、セキュリティ監視とコンプライアンスの可視性が確保されます。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。

こちらにフィードバックをお寄せください