1.7. 创建 Data Grid 用户
添加凭据,以通过 Hot Rod 和 REST 端点与数据网格服务器部署进行身份验证。在访问 Data Grid 控制台或执行缓存操作前,您必须至少创建一个使用 Data Grid 命令行界面(CLI)的用户。
Data Grid 通过基于角色的访问控制(RBAC)强制实施安全授权。第一次添加凭证以为您的 Data Grid 部署获得完整的 ADMIN 权限时,创建一个 admin 用户。
先决条件
- 下载并安装 Data Grid Server。
流程
-
在
$RHDG_HOME中打开一个终端。 使用
user create命令创建admin用户。bin/cli.sh user create admin -p changeme
提示从 CLI 会话运行
help user以获取完整的命令详情。
验证
打开 user.properties 并确认用户存在。
cat server/conf/users.properties admin=scram-sha-1\:BYGcIAwvf6b...
使用 CLI 向属性域添加凭证只会在您连接的服务器实例上创建用户。您必须在属性域中手动将凭证同步到集群中的每个节点。
1.7.1. 授予用户角色
为用户分配角色,并授予他们执行缓存操作并与 Data Grid 资源交互的权限。
如果要为多个用户分配同一角色并集中维护其权限,请将角色授予组而不是用户。
先决条件
-
具有 Data Grid 的
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
用户角色 grant 命令为用户分配角色,例如:user roles grant --roles=deployer katie
验证
使用用户角色 ls 命令,列出您向用户授予的角色。
user roles ls katie ["deployer"]
1.7.2. 将用户添加到组中
组可让您更改多个用户的权限。您可以为组分配角色,然后将用户添加到该组。用户从组角色继承权限。
您可以使用 groups 作为 Data Grid Server 配置中的属性域的一部分。每个组都是特殊的用户,它还需要用户名和密码。
先决条件
-
具有 Data Grid 的
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
user create命令创建组。-
使用
--groups参数指定组名称。 为组设置用户名和密码。
user create --groups=developers developers -p changeme
-
使用
列出组。
user ls --groups
为组授予角色。
user roles grant --roles=application developers
列出组的角色。
user roles ls developers
一次将用户添加到组中。
user groups john --groups=developers
验证
打开 groups.properties 并确认组存在。
cat server/conf/groups.properties
1.7.3. Data Grid 用户角色和权限
Data Grid 包括多个角色,为用户提供访问缓存和数据网格资源的权限。
| 角色 | 权限 | 描述 |
|---|---|---|
|
| ALL | 具有所有权限的超级用户,包括控制缓存管理器生命周期。 |
|
| ALL_READ、ALL_WRITE、LISTEN、EXEC、MONITOR、CREATE |
除了 |
|
| ALL_READ, ALL_WRITE, LISTEN, EXEC, MONITOR |
除 |
|
| ALL_READ, MONITOR |
除了监控权限外,还具有对 Data Grid |
|
| MONITOR |
可以通过 JMX 和 |
