SASフォルダの認証の設定値を確認

SAS Management Consoleから、SASフォルダに認証を設定するのは良くあることです。これで面倒なのが再鑑で値を確かめるのがGUIでポチポチ叩いて画面ショットを取ることです。

そんなときには、以下のツールを使って設定値をテキストに落とせば簡単、比較もしやすいです。設定値のエビデンス取得、SASフォルダやオブジェクトの設定確認に使えます。

Batch Tool: sas-show-metadata-access

もうひとつ別な方法として、%MDSECDS があります。

これはメタデータオブジェクトと権限をデータセットに出力してくれますが、明示的な設定と継承が混じるために厳密な設定確認にならない恐れがあります。

備忘: RHELのサブスクリプション手順

RHELのサブスクリプションの手順を短く書きます。私がアホなのか、たまにしかやらない手順だからなのか、1年に一回ぐらい手間取ります。こういう短い簡潔な手順があると役立つのではないか？

1. Red Hat Customer Portalにユーザ登録します。名称が「Red Hat Enterprise Linux開発者プログラム」かもしれません。

2. サブスクリプションしたいマシンにrootでログイン

3. subscription-manager remove で登録状況を掃除

4. subscription-manager clean で登録状況を掃除

5. subscription-manager registerで登録します。このとき指定するユーザ名はProfile>My ActivityのUsernameです。私はメールアドレスを打ち込んで何度も失敗しました。

6. 「このシステムは、次のIDで登録されました: ...」 が表示されることを確認してから

7. subscription-manager list --available でプールIDを表示します。プールIDはRed Hat Customer Portalにログインしてサブスクリプションの利用状況からでも確認できます。

8. subscription-manager subscribe --pool=**** でプールIDを指定してサブスクライブ

9. 「サブスクリプションが正しく割り当てられました」がでたらOK

LOCKDOWNで指定できるディレクトリを制限

セキュリティに関心のある人向けの投稿です。サーバクライアントの構成で、フォルダのアクセス制限をする方法を調べていたら、ありました。だいぶ昔、2014年の記事 ”Fencing in your SAS users with LOCKDOWN” なので、長いこと気が付いていなかった。

悪意あるユーザが、コードタスクでディレクトリのパスを探索すると、他の人、他の部署に見せたくないものが見えてしまう可能性があります。これを防止する手段が、LOCKDOWN システムオプションです。設定の方法は、前述の記事を参照してください。許可されていないディレクトリにLIBNAMEを割り当てようとすると、どのようなエラーが起きるか示します。

Workspaceサーバのディレクトリにある設定ファイルをいじって、LOCKDOWNのオプションと許可するパスを設定します。

３つのパターンでLIBNAMEを割り当てます。１つ目が、許可されていないディレクトリ、２つ目が許可したディレクトリ、３つ目が許可されていないディレクトリのサブディレクトリです。

 これを実行すると、１つ目がエラーになります。検索に引っ掛かるようにエラーメッセージをタイプしておきます。この投稿を書いている時点では、日本語のエラーメッセージはヒットしません。ERROR: SAS がロックダウン状態の場合、パスc:\tempはアクセス可能なパスのリストに含まれません。

このLOCKDOWNオプションで物理パスの指定を守り、アクセス権をより強固に縛るには、Metadata-Bound Libraries を使えとのことです。これを実運用で使っているところを知らないけど、単に私が無知なだけなのか？同僚に聞いてみよう。