简介
概述
GaussDB 200提供集中的用户权限管理功能,使权限管理与用户管理更加直观、易用。
- 权限管理:使用RBAC(Role-Based Access Control)方式,即基于角色授予权限,形成权限的集合。用户通过分配一个或多个已授权的角色取得对应的权限。
- 用户管理:使用Manager统一管理GaussDB 200用户,并通过Kerberos协议认证用户,LDAP协议存储用户信息。
权限管理
GaussDB 200提供的权限包括FusionInsight Manager和各组件的操作维护权限,在实际应用时需根据业务场景为各用户分别配置不同权限。为了提升权限管理的易用性,FusionInsight Manager引入角色的功能,通过选取指定的权限并统一授予角色,以权限集合的形式实现了权限集中查看和管理。
这样一方面对普通用户屏蔽了内部的权限管理细节,另一方面对管理员简化了权限管理的操作方法,提升了权限管理的易用性和用户体验。
集中权限管理中权限、角色和用户的关系例如图1所示。
GaussDB 200提供多种权限,根据业务场景实际需要选择指定的权限授予不同角色,可能是一个或者多个权限对应一个角色。
- 角色A:授予操作权限A和B,用户A和用户B通过分配角色A取得对应的权限。
- 角色B:授予操作权限C,用户C通过分配角色B取得对应的权限。
- 角色C:授予操作权限D和F,用户C通过分配角色C取得对应的权限。
FusionInsight Manager中最多支持1000个角色。FusionInsight Manager界面显示系统默认创建的角色如表1所示。
默认角色 |
角色描述 |
|---|---|
Manager_administrator |
Manager管理员:具有Manager和租户资源的所有权限。 |
Manager_auditor |
Manager审计员:具有查看和管理Manager系统审计日志的权限。 |
Manager_operator |
Manager操作员:具有查看和管理集群的权限。 |
Manager_tenant |
Manager租户管理页面查看角色:具有查看租户管理页面的权限。 |
Manager_viewer |
Manager查看员:具有查看集群和用户权限信息的权限。 |
System_administrator |
系统管理员:具有Manager的管理权限及所有服务管理员的权限。 |
通过FusionInsight Manager创建角色时支持对Manager进行授权管理,如表2所示。
授权类型 |
授权描述 |
|---|---|
Manager |
Manager访问与登录权限。 |
用户管理
GaussDB 200通过在Kerberos和LDAP(Lightweight Directory Access Protocol)创建相同名字的用户,来配合工作实现用户管理:
- GaussDB 200支持安全模式与普通模式,安全版本中Kerberos用于在用户登录FusionInsight Manager与使用组件客户端时认证用户身份,普通模式则不认证用户身份。
- LDAP用于存储用户记录、用户组信息与权限信息等用户信息。LDAP中保存的LDAP用户不支持登录与认证。
GaussDB 200集中用户管理功能,支持在FusionInsight Manager执行创建用户或者修改用户等任务时,系统自动完成更新Kerberos和LDAP的用户数据,用户登录FusionInsight Manager或使用组件客户端时,系统自动完成认证用户身份和获取用户信息。这样一方面保证了用户管理的安全性,另一方面简化了用户管理的操作任务。FusionInsight Manager还提供了用户组功能,可对单个或多个用户进行分类管理:
- 用户组为一批用户的集合,可对用户进行分类管理。系统中的用户可以单独存在也可以加入到某个用户组中。
- 对已分配角色的用户组来说,当用户添加到该组时,用户组分配的角色权限将授权给用户。
集中用户管理包含创建或管理用户,认证用户身份和获取用户信息三个部分的场景,各场景的流程分解如下:
- 创建或管理用户图2 创建或管理用户流程图
创建或管理用户的流程如下:
- 用户通过PC端访问Manager执行创建用户或管理用户的任务。
- 系统将自动对Kerberos和LDAP的用户数据进行同步修改。
- Kerberos和LDAP的用户数据修改完成,向FusionInsight Manager反馈修改成功。
- 认证用户身份和获取用户信息图3 认证用户身份和获取用户信息流程图
认证用户身份和获取用户信息的流程如下:
- 用户通过PC端登录组件WebUI或进行客户端shell操作。
- 系统自动发送请求到Kerberos认证用户身份。
- Kerberos反馈认证用户身份成功。
- 系统自动向LDAP查询用户的信息。
- LDAP反馈用户的信息。
FusionInsight Manager中最多支持1000个用户。整个系统包含的用户有三类,如下表所示,每类用户的具体描述请参考用户信息一览表。用户类型
使用说明
系统用户
- 通过FusionInsight Manager创建,是GaussDB 200操作运维与业务场景中主要使用的用户,包含两种类型:
- “人机”用户:用于在FusionInsight Manager的操作运维场景,以及在组件客户端操作的场景。
- “机机”用户:用于GaussDB 200应用开发的场景。
- 用于OMS系统进程运行的用户。
系统内部用户
GaussDB 200提供的用于Kerberos认证、进程通信、保存用户组信息和关联用户权限的内部用户。系统内部用户不建议在操作与维护的场景下使用。请通过admin用户操作,或联系系统管理员根据业务需要创建新用户。
数据库用户
- 用于OMS数据库管理和数据访问的用户。
- 用于业务组件GaussDB 200数据库的用户。
FusionInsight Manager中最多支持1000个用户组。
查看更多:华为GaussDB 200 帐户管理
