红帽全球峰会1.6. 创建 Data Grid 用户
添加凭证以通过 Hot Rod 和 REST 端点与数据网格服务器部署进行身份验证。在访问数据网格控制台或执行缓存操作前,您必须使用 Data Grid 命令行界面(CLI)创建至少一个用户。
数据网格通过基于角色的访问控制(RBAC)强制实施安全授权。在第一次添加凭证时创建一个 管理员用户,为您的 Data Grid 部署获取完整的 ADMIN 权限。
先决条件
- 下载并安装 Data Grid 服务器。
流程
-
在
$RHDG_HOME中打开一个终端。 使用
user create命令创建admin用户。bin/cli.sh user create admin -p changeme
bin/cli.sh user create admin -p changemeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示从 CLI 会话运行
help 用户以获取完整的命令详情。
验证
打开 user.properties 并确认用户存在。
cat server/conf/users.properties admin=scram-sha-1\:BYGcIAwvf6b...
cat server/conf/users.properties
admin=scram-sha-1\:BYGcIAwvf6b...使用 CLI 将凭证添加到 properties realm 中,只能在您连接的服务器实例上创建用户。您必须手动将 properties 域中的凭证同步到集群中的每个节点。
1.6.1. 授予用户角色
为用户分配角色,并授予他们执行缓存操作并与 Data Grid 资源交互的权限。
如果要为多个用户分配同一角色并集中维护其权限,将角色授予组而不是用户。
先决条件
-
为 Data Grid 具有
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
user roles grant命令为用户分配角色,例如:user roles grant --roles=deployer katie
user roles grant --roles=deployer katieCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
使用用户角色 ls 命令列出您授予用户的角色。
user roles ls katie ["deployer"]
user roles ls katie
["deployer"]1.6.2. 将用户添加到组中
组允许您更改多个用户的权限。您可以为组分配角色,然后将用户添加到该组中。用户从组角色继承权限。
您可以在 Data Grid 服务器配置中将组用作属性域的一部分。每个组都是特殊的用户,还需要用户名和密码。
先决条件
-
为 Data Grid 具有
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
user create命令创建组。-
使用
--groups参数指定组名称。 为组设置用户名和密码。
user create --groups=developers developers -p changeme
user create --groups=developers developers -p changemeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
使用
列出组。
user ls --groups
user ls --groupsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 为组授予角色。
user roles grant --roles=application developers
user roles grant --roles=application developersCopy to Clipboard Copied! Toggle word wrap Toggle overflow 列出组的角色。
user roles ls developers
user roles ls developersCopy to Clipboard Copied! Toggle word wrap Toggle overflow 一次将用户添加到组中。
user groups john --groups=developers
user groups john --groups=developersCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
打开 groups.properties 并确认组存在。
cat server/conf/groups.properties
cat server/conf/groups.properties1.6.3. Data Grid 用户角色和权限
数据网格包括多个角色,为用户提供访问缓存和数据网格资源的权限。
| 角色 | 权限 | Description |
|---|---|---|
|
| ALL | 具有所有权限的超级用户,包括缓存管理器生命周期的控制。 |
|
| ALL_READ, ALL_WRITE, LISTEN, EXEC, MONITOR, CREATE |
除了 |
|
| ALL_READ, ALL_WRITE, LISTEN, EXEC, MONITOR |
除 |
|
| ALL_READ, MONITOR |
除了监控权限外,还具有对数据网格 |
|
| MONITOR |
可以通过 JMX 和 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}