1.6. 创建 Data Grid 用户
添加凭证以通过 Hot Rod 和 REST 端点与数据网格服务器部署进行身份验证。在访问数据网格控制台或执行缓存操作前,您必须使用 Data Grid 命令行界面(CLI)创建至少一个用户。
数据网格通过基于角色的访问控制(RBAC)强制实施安全授权。在第一次添加凭证时创建一个 管理员用户,为您的 Data Grid 部署获取完整的 ADMIN 权限。
先决条件
- 下载并安装 Data Grid 服务器。
流程
-
在
$RHDG_HOME中打开一个终端。 使用
user create命令创建admin用户。bin/cli.sh user create admin -p changeme
提示从 CLI 会话运行
help 用户以获取完整的命令详情。
验证
打开 user.properties 并确认用户存在。
cat server/conf/users.properties admin=scram-sha-1\:BYGcIAwvf6b...
使用 CLI 将凭证添加到 properties realm 中,只能在您连接的服务器实例上创建用户。您必须手动将 properties 域中的凭证同步到集群中的每个节点。
1.6.1. 授予用户角色
为用户分配角色,并授予他们执行缓存操作并与 Data Grid 资源交互的权限。
如果要为多个用户分配同一角色并集中维护其权限,将角色授予组而不是用户。
先决条件
-
为 Data Grid 具有
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
user roles grant命令为用户分配角色,例如:user roles grant --roles=deployer katie
验证
使用用户角色 ls 命令列出您授予用户的角色。
user roles ls katie ["deployer"]
1.6.2. 将用户添加到组中
组允许您更改多个用户的权限。您可以为组分配角色,然后将用户添加到该组中。用户从组角色继承权限。
您可以在 Data Grid 服务器配置中将组用作属性域的一部分。每个组都是特殊的用户,还需要用户名和密码。
先决条件
-
为 Data Grid 具有
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
user create命令创建组。-
使用
--groups参数指定组名称。 为组设置用户名和密码。
user create --groups=developers developers -p changeme
-
使用
列出组。
user ls --groups
为组授予角色。
user roles grant --roles=application developers
列出组的角色。
user roles ls developers
一次将用户添加到组中。
user groups john --groups=developers
验证
打开 groups.properties 并确认组存在。
cat server/conf/groups.properties
1.6.3. Data Grid 用户角色和权限
数据网格包括多个角色,为用户提供访问缓存和数据网格资源的权限。
| 角色 | 权限 | Description |
|---|---|---|
|
| ALL | 具有所有权限的超级用户,包括缓存管理器生命周期的控制。 |
|
| ALL_READ, ALL_WRITE, LISTEN, EXEC, MONITOR, CREATE |
除了 |
|
| ALL_READ, ALL_WRITE, LISTEN, EXEC, MONITOR |
除 |
|
| ALL_READ, MONITOR |
除了监控权限外,还具有对数据网格 |
|
| MONITOR |
可以通过 JMX 和 |
