红帽全球峰会1.7. 创建 Data Grid 用户
添加凭据,以通过 Hot Rod 和 REST 端点与数据网格服务器部署进行身份验证。在访问 Data Grid 控制台或执行缓存操作前,您必须至少创建一个使用 Data Grid 命令行界面(CLI)的用户。
Data Grid 通过基于角色的访问控制(RBAC)强制实施安全授权。第一次添加凭证以为您的 Data Grid 部署获得完整的 ADMIN 权限时,创建一个 admin 用户。
先决条件
- 下载并安装 Data Grid Server。
流程
-
在
$RHDG_HOME中打开一个终端。 使用
user create命令创建admin用户。bin/cli.sh user create admin -p changeme
bin/cli.sh user create admin -p changemeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示从 CLI 会话运行
help user以获取完整的命令详情。
验证
打开 user.properties 并确认用户存在。
cat server/conf/users.properties admin=scram-sha-1\:BYGcIAwvf6b...
cat server/conf/users.properties
admin=scram-sha-1\:BYGcIAwvf6b...使用 CLI 向属性域添加凭证只会在您连接的服务器实例上创建用户。您必须在属性域中手动将凭证同步到集群中的每个节点。
1.7.1. 授予用户角色
为用户分配角色,并授予他们执行缓存操作并与 Data Grid 资源交互的权限。
如果要为多个用户分配同一角色并集中维护其权限,请将角色授予组而不是用户。
先决条件
-
具有 Data Grid 的
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
用户角色 grant 命令为用户分配角色,例如:user roles grant --roles=deployer katie
user roles grant --roles=deployer katieCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
使用用户角色 ls 命令,列出您向用户授予的角色。
user roles ls katie ["deployer"]
user roles ls katie
["deployer"]1.7.2. 将用户添加到组中
组可让您更改多个用户的权限。您可以为组分配角色,然后将用户添加到该组。用户从组角色继承权限。
您可以使用 groups 作为 Data Grid Server 配置中的属性域的一部分。每个组都是特殊的用户,它还需要用户名和密码。
先决条件
-
具有 Data Grid 的
ADMIN权限。 - 创建 Data Grid 用户。
流程
- 创建与 Data Grid 的 CLI 连接。
使用
user create命令创建组。-
使用
--groups参数指定组名称。 为组设置用户名和密码。
user create --groups=developers developers -p changeme
user create --groups=developers developers -p changemeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
使用
列出组。
user ls --groups
user ls --groupsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 为组授予角色。
user roles grant --roles=application developers
user roles grant --roles=application developersCopy to Clipboard Copied! Toggle word wrap Toggle overflow 列出组的角色。
user roles ls developers
user roles ls developersCopy to Clipboard Copied! Toggle word wrap Toggle overflow 一次将用户添加到组中。
user groups john --groups=developers
user groups john --groups=developersCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
打开 groups.properties 并确认组存在。
cat server/conf/groups.properties
cat server/conf/groups.properties1.7.3. Data Grid 用户角色和权限
Data Grid 包括多个角色,为用户提供访问缓存和数据网格资源的权限。
| 角色 | 权限 | 描述 |
|---|---|---|
|
| ALL | 具有所有权限的超级用户,包括控制缓存管理器生命周期。 |
|
| ALL_READ、ALL_WRITE、LISTEN、EXEC、MONITOR、CREATE |
除了 |
|
| ALL_READ, ALL_WRITE, LISTEN, EXEC, MONITOR |
除 |
|
| ALL_READ, MONITOR |
除了监控权限外,还具有对 Data Grid |
|
| MONITOR |
可以通过 JMX 和 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}