Seit Version 11 ist es sehr einfach geworden, einen Export der Essbase Security Datei (essbase.sec) zu erstellen, und es gibt viele brauchbare Informationen in dieser Datei, wie ich in diesem Beitrag darstellen möchte. Es ist ein wahrer Schatz, welcher einfach zu bergen ist.
In vorigen Versionen von Essbase musste man Essbase stoppen und konnte man mit einem DUMP Befehl die Security Datei exportieren. Jetzt gibt es den MaxL Befehl “export security_file”, sowie im Kontextmenü auf dem Knoten „Security“ auf dem Essbase Server und einige Sekunden später gibt es die Export Datei, einfach im laufenden Betrieb.
Welche Informationen befinden sich in der essbase.sec? Das hängt davon ab, ob Essbase im EPM Security Mode oder im Native Essbase Security Mode befindet. Ja, technisch kann Essbase noch immer ohne Shared Services betrieben werden! Ein Essbase Kern wird ja standardmäßig mit OBIEE installiert. Soweit ich weiß, gibt es für diesen auch (bald) keine essbase.sec Datei mehr.
Im Native Betrieb (Stand-Alone) können externe Benutzerverzeichnisse wie Active Directory angebunden werden.
In Shared Services befinden sich native Benutzer und Passwörter, native Gruppen, Benutzerrollen und die Zuordnung von Benutzer an Gruppen und Rollen.
In der essbase.sec Datei befinden sich die Zugriffsrechte auf Rechenskripte, die Filter, die Applikationsrolle und viele Applikations- und Datenbankeigenschaften. Dieses alles an einer Stelle in lesbarem Format und gut zur Dokumentation und für das Audit.
In die nachfolgenden Abschnitte beschreibe ich anhand von einem Beispiel, was in dem „Dump File“ steht und was man damit machen kann.
Teil 1: Server
In diesem Teil sind die allgemeinen Informationen zum Essbase Server zu finden. Interessant ist, dass hier das Datum der Installation genannt wird. Praktisch kann sein, um die Anzahl der Applikationen, Datenbanken, Filter etc. zu bekommen. Auch die Lizenzinformation kann hier dokumentiert werden.
Essbase security file dump: Tue Apr 10 19:20:43 2016
Company: Oracle
Registered Username: admin
Machine Hostname: 2008SRV0123
Essbase Cluster Name: EssbaseCluster-1
Global Application Name: EssbaseCluster-1
Essbase installation date: Thursday, November 06, 2014 10:34:02 AM
Essbase Location: 2008SRV0123:1423
EAS Location: 2008SRV0123.domain1.local:10080
MyOlapEnabled: DISABLED
All HSS identity migrated: No
Encoding: UTF8
Product Version: 11.1.2
Security File Version: 26.6
Number of Ports: 65535
Named User license. 65535 user server
Maximum Possible Planning Users: 65535
Maximum Connection allowed per user/port:65535
Security: ENABLED
Default Access Level: None
Logins: ENABLED
Auto-Logout time (seconds): 3600
Auto-Logout check interval: 300
Currency: ENABLED
SQL: ENABLED
Aggregate Storage (ASO): ENABLED
Spreadsheet Macros: ENABLED
Read Only Spreadsheet: DISABLED
Read Only Spreadsheet Macros: DISABLED
64-bit port: ENABLED
Spreadsheet Addin: ENABLED
Reports: DISABLED
Busines Rules: ENABLED
EDS (High Concurrency): ENABLED
Crystal: ENABLED
Limited SKU Appman: DISABLED
Limited SKU Spreadsheet: DISABLED
Single-User Essbase: DISABLED
Development Server Option: DISABLED
Block Storage (BSO): ENABLED
MultiCube: ENABLED
Integration Server Option: ENABLED
EssbaseObjects: ENABLED
Visual Explorer: ENABLED
Triggers: ENABLED
DataMining: ENABLED
SAPBW: ENABLED
CSSMigrated: MIGRATED
SecurityMode: EPMorNATIVE
Minimum Password Length: 6
Password Validity Period in Days: NOT SET
Invalid Password Attemts allowed: NOT SET
Inactivity period before lockout: NOT SET
Number of Users & Groups: 1732
Number of Applications: 10
Number of Databases: 19
Number of Filters: 6772
Number of Locked Objects: 2
Number of Substitution Variables: 54
Teil 2: Users & Groups
In dem Teil der Benutzer und Gruppen werden alle Benutzer aufgelistet. Interessant ist hier das Last Login Datum. Mein Kollege Michael Schmidt hat hierzu einen interssangen Beitrag mit dem Namen „Benutzer auslesen mit Groovy“ zu geschrieben. In einem Blick sieht man auf welchen Applikationen es Filter für den Benutzer gibt.
PHulsebosch@AD User
Default Access: None
User Description: UsrProvReq:10254
HSS Identity: msad://OBJECTGUID=\269\a0\b8\3b\27\5e\4c\b4\af\328\3d\38\50\bb?USER
HSS Identity Migrated: No
User Provisioning Status: User Migrated to Shared Services
Password Expires on: NOT SET
User Locked out: FALSE
Change Password on next Login:FALSE
DB: Plan1 ; APP: FINPLAN ; None ; Filter: f PHulsebosch;
DB: Plan1 ; APP: SALESPL ; None ; Filter: f PHulsebosch;
DB: Plan1 ; APP: Vision ; None ; Filter: f PHulsebosch;
HulseboschP@external User
Default Access: Administrator
HSS Identity: msad://OBJECTGUID=c\3c\b0\c4\b6\78\67\4f\a5\dfd\c0\b0\29\7a\3f?USER
HSS Identity Migrated: No
User Provisioning Status: User Migrated to Shared Services
Last Login: Monday, January 18, 2016 5:18:25 PM
Password Expires on: NOT SET
User Locked out: FALSE
Change Password on next Login:FALSE
Agg_Tester@Native Directory User
Default Access: None
User Description: Technical User
HSS Identity: native://nvid=ed7b4f03c308d433:4514f30:14a3154a83c:-375b?USER
HSS Identity Migrated: No
User Provisioning Status: User Migrated to Shared Services
Password Expires on: NOT SET
User Locked out: FALSE
Change Password on next Login:FALSE
Im Shared Services kann für User kein Password Gültigkeitsdatum eingestellt werden. Auch ein forciertes erneuern des Passwortes kann nicht eingestellt werden. Dieses kann nur in den externen Benutzerverzeichnissen selbst noch gemacht werden.
Abbildung 1: Erstellen eines neuen Benutzerkontos. Es gibt kein Passwort Gültigkeitsdatum mehr.
Teil 3: Applications
Bei den Applikationen gibt es eine Übersicht der Eigenschaften, die sie auch aus der Admin Konsole kennen. Hier sieht man auch, dass es einen Applikation Type gibt. Ab und zu verhalten sich reine Essbase Applikationen anders als Planning Applikationen. Auch wenn eine Planning Applikation auf Essbase Ebene kopiert wird, bleibt die Eigenschaft der Applikation bei Planning.
Vision Created by: admin@Native Directory
Default Access: None
Connects: TRUE
Commands: TRUE
Updates: TRUE
Security: TRUE
Loadable: TRUE
Autoload: FALSE
Lock Timeout: 3600
Data Storage Type: Multidiminsional Data Storage
LRO File size Limit: NOT SET
Application Type: UTF8
Application Locale Description:English_UnitedStates.UTF-8@Default
Client Application Type: PLANNING
Application ID at HSS: HP:Vision
Number of Databases: 1
Databases: Plan1
APP: Vision ; Manage
Beispiel: Eigenschaft Nicht Unicode und Client Applikation Type gleich Essbase.
Application Type: NONUNICODE
Client Application Type: ESSBASE
Teil 4: Databases
Hier sind die Datenbanken aufgeführt. Wie sie sehen, gibt es eine Fülle von Informationen zu jeder Datenbank. Nicht nur die aktuellen Speichersettings, sondern auch die Benutzerfilter und die Datenbankgröße werden in den Export geschrieben.
Plan1 Created by: admin@Native Directory
Application: Vision
Default Access: None
Database type: NORMAL
Number of dimensions: 10
Loadable: TRUE
Read Only: FALSE
Max Memory: 4194304000
Data File Cache Max Memory: 33554432
Index Cache Max Memory: 2097152000
Index Page Size: 8192
CalcNoAggMissing: FALSE
CalcNoAvgMissing: FALSE
CalcTwoPass: TRUE
CalcCreateBlock: FALSE
Currency Conv Type: NONE
Currency Country: Cost Centre
Currency Time: Period
Currency Category: Account
Number of pagefile volumes: 1
Drive: e: Max Size: 0
Cache Memory Locking: DISABLED
Data Compression Type: 2
Retrieval Buffer Size: 102400
Retrieval Sort Buffer Size: 102400
Isolation Level: 2
PreImage: TRUE
Time Out: 20
Commit Blocks: 3000
Commit Rows: 0
Number of Disk Volumes: 0
Number of Filters: 1060
fPHulsebosch
fHulseboschP
…
AutoLoad: ENABLED
Compression: ENABLED
Data Status: DATA LOADED AND CALCULATED
I/O Access Mode (pending) Buffered
I/O Access Mode (in use) Buffered
Direct I/O Type (in use) N/A
Teil 5: Filters
Dieses ist meistens ein sehr langer Teil der Export Datei. Hier werden alle Filter aufgeführt. Auch dieses kann gut für das System Audit verwendet werden.
fPHulsebosch
Application: Vision
Database: Plan1
Default Access: Create
Active: TRUE
Number of rows: 1
None: @IDES(„Account“),@IDES(„Scenario“),@IDES(„Version“),@IDES(„CC“)
fHulseboschP
Application: Vision
Database: Plan1
Default Access: None
Active: TRUE
Number of rows: 2
Read: „VERS01“,@IDES(„ACC_TOTAL“),@IDES(„ALLFTE“),@REMOVE(@IDES(„CC_TOTAL“),@IDES(„CC_DE02“))
None: @IDES(„Account“),@IDES(„Scenario“),@IDES(„Version“),@IDES(„Cost Centre“)
Teil 6: Substitution Variables
Der letzte Teil in der Export Datei sind die Substitutionsvariablen. Alle auf dem Server eingestellten Variablen mit dem aktuellen Wert werden aufgeführt.
YearPrev
Vision
Plan1
FY16
Fazit
Ein Export der Essbase Security Datei (essbase.sec) enthält viele Informationen und die aktuellen Settings. Sie ist schnell und einfach zu erstellen, ohne dass der Betrieb in irgendeiner Weise beeinflusst wird.
Diese Informationen können gut dienen, um festzulegen welche Einstellungen sich wann auf dem System geändert haben und welche Settings aktuell gelten. Ein Export im täglichen Prozess kann dem Systemadministrator mehr Kontrolle geben, was wann passiert und schnell Antworten geben auf Fragen interner und externer Art.
Ihr Philip Hulsebosch.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.