文档首页/ MapReduce服务 MRS/ 用户指南(巴黎区域)/ FusionInsight Manager操作指导(适用于3.x)/ 安全管理/ 安全概述/ 用户帐号一览表
更新时间:2024-10-11 GMT+08:00
查看PDF
分享

用户帐号一览表

用户分类

MRS集群提供以下3类用户,请系统管理员定期修改密码,不建议使用默认密码。

本章节介绍MRS集群内的相关默认用户信息。

用户类型

使用说明

系统用户
  • 通过FusionInsight Manager创建,是系统操作运维与业务场景中主要使用的用户,包含两种类型:
    • “人机”用户:用于在FusionInsight Manager的操作运维场景,以及在组件客户端操作的场景。创建此类型用户时需要参考创建用户设置“密码”和“确认密码”。
    • “机机”用户:用于系统应用开发的场景。
  • 用于OMS系统进程运行的用户。

系统内部用户

集群提供的用于Kerberos认证、进程通信、保存用户组信息和关联用户权限的内部用户。系统内部用户不建议在操作与维护的场景下使用。请通过admin用户操作,或联系系统管理员根据业务需要创建新用户。

数据库用户
  • 用于OMS数据库管理和数据访问的用户。
  • 用于业务组件(Hue、Hive、Loader、Oozie、Ranger和DBService)数据库的用户。

系统用户

  • 需要使用操作系统中root用户,所有节点root用户需设置为统一的密码。
  • 需要使用操作系统中ldap用户,此帐号不能删除,否则可能导致集群无法正常工作。密码管理策略由操作系统管理员维护。

类别

用户名称

初始密码

描述

密码修改方法

系统管理员

admin

用户创建集群时自定义

FusionInsight Manager的管理员。

说明:

admin用户默认不具备其他组件的管理权限,例如访问组件原生界面时,需要使用具备对应组件管理权限的用户才可以访问到完整内容。

请参见修改admin密码

节点操作系统用户

ommdba

随机密码

创建系统数据库的用户。在管理节点生成,属于操作系统用户,无需设置为统一的密码。该用户不能用于远程登录。

请参见修改操作系统用户密码

omm

Bigdata123@

系统的内部运行用户。在全部节点生成,属于操作系统用户,无需设置为统一的密码。

系统内部用户

类别

默认用户

初始密码

描述

密码修改方法

Kerberos管理员

kadmin/admin

Admin@123

用于增加、删除、修改及查询Kerberos上的用户帐号。

请参见修改Kerberos管理员密码

OMS Kerberos管理员

kadmin/admin

Admin@123

用于增加、删除、修改及查询OMS Kerberos上的用户帐号。

请参见修改OMS Kerberos管理员密码

LDAP管理员

cn=root,dc=hadoop,dc=com
  • MRS 3.1.2之前版本:LdapChangeMe@123
  • MRS 3.1.2及之后版本:系统随机生成

用于增加、删除、修改及查询LDAP用户帐号信息。

OMS LDAP管理员

cn=root,dc=hadoop,dc=com
  • MRS 3.1.2之前版本:LdapChangeMe@123
  • MRS 3.1.2及之后版本:系统随机生成

用于增加、删除、修改及查询OMS LDAP用户帐号信息。

LDAP用户

cn=pg_search_dn,ou=Users,dc=hadoop,dc=com

系统随机生成

用于查询LDAP中存储的用户和用户组信息。

OMS LDAP用户

cn=pg_search_dn,ou=Users,dc=hadoop,dc=com

系统随机生成

用于查询OMS LDAP中存储的用户和用户组信息。

LDAP管理帐户

cn=krbkdc,ou=Users,dc=hadoop,dc=com
  • MRS 3.1.2之前版本:LdapChangeMe@123
  • MRS 3.1.2及之后版本:系统随机生成

用于查询Kerberos组件认证帐户信息。

cn=krbadmin,ou=Users,dc=hadoop,dc=com
  • MRS 3.1.2之前版本:LdapChangeMe@123
  • MRS 3.1.2及之后版本:系统随机生成

用于增加、删除、修改及查询Kerberos组件认证帐户信息。

组件运行用户

hdfs

Hdfs@123

HDFS系统管理员,用户权限:

  1. 文件系统操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
    • 查看、设置用户磁盘配额
  2. HDFS管理操作权限:
    • 查看webUI页面状态
    • 查看、设置HDFS主备状态
    • 进入、退出HDFS安全模式
    • 检查HDFS文件系统
  3. 登录FTP服务

请参见修改组件运行用户密码

hbase

Hbase@123

HBase,HBase1~4系统管理员,用户权限:

  • 集群管理权限:表的Enable、Disable操作,触发MajorCompact,ACL操作
  • 授权或回收权限,集群关闭等操作相关的权限
  • 表管理权限:建表、修改表、删除表等操作权限
  • 数据管理权限:表级别、列族级别以及列级别的数据读写权限
  • 登录HMaster WebUI界面
  • 登录FTP服务

mapred

Mapred@123

MapReduce系统管理员,用户权限:

  • 提交、停止和查看MapReduce任务的权限
  • 修改Yarn配置参数的权限
  • 登录FTP服务
  • 登录Yarn WebUI界面

zookeeper

ZooKeeper@123

ZooKeeper系统管理员,用户权限:

  • 对Zookeeper上所有节点的增删改查权限
  • 对Zookeeper上所有节点的配额修改查询权限

rangeradmin

Rangeradmin@123

Ranger的系统管理权限,用户权限。

  • Ranger Web UI的管理权限
  • 使用Ranger鉴权的各组件管理权限

rangerauditor

Rangerauditor@123

Ranger系统的默认审计用户。

hive

Hive@123

Hive系统管理员,用户权限:

  1. Hive管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限。
  4. Ranger策略的管理权限。

hive1

Hive1@123

Hive1系统管理员,用户权限:

  1. Hive1管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限。
  4. Ranger策略的管理权限。

hive2

Hive2@123

Hive2系统管理员,用户权限:

  1. Hive2管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限。
  4. Ranger策略的管理权限。

hive3

Hive3@123

Hive3系统管理员,用户权限:

  1. Hive3管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限。
  4. Ranger策略的管理权限。

hive4

Hive4@123

Hive4系统管理员,用户权限:

  1. Hive4管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限。
  4. Ranger策略的管理权限。

kafka

Kafka@123

Kafka的系统管理员,用户权限:

  • Topic的创建、删除、生产、消费、配置修改。
  • Cluster的元数据控制、配置修改、副本迁移、leader选举、acl管理。
  • ConsumerGroup Offset的提交、查询、删除。
  • DelegationToken的查询。
  • Transaction的查询、提交。

storm

Admin@123

storm的系统管理员。

用户权限:storm任务提交。

rangerusersync

系统随机生成

用于同步用户及用户组的内部用户。

rangertagsync

系统随机生成

用于同步标签的内部用户。

oms/manager

系统随机生成

用于Controller和NodeAgent认证的用户,拥有“supergroup”组权限。

backup/manager

系统随机生成

用于运行备份恢复任务的用户,拥有“supergroup”、“wheel”和“ficommon”组权限。配置跨系统互信后拥有访问互信系统HDFS、HBase、Hive、ZooKeeper数据的权限。

hdfs/hadoop.<系统域名>

系统随机生成

HDFS系统启动用户,用户权限:

  1. 文件系统操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
    • 查看、设置用户磁盘配额
  2. HDFS管理操作权限:
    • 查看WebUI页面状态
    • 查看、设置HDFS主备状态
    • 进入、退出HDFS安全模式
    • 检查HDFS文件系统
  3. 登录FTP服务

mapred/hadoop.<系统域名>

系统随机生成

MapReduce系统启动用户,用户权限:

  • 提交、停止和查看MapReduce任务的权限
  • 修改Yarn配置参数的权限
  • 登录FTP服务
  • 登录Yarn WebUI界面

mr_zk/hadoop.<系统域名>

系统随机生成

用于MapReduce访问ZooKeeper。

hbase/hadoop.<系统域名>

系统随机生成

HBase系统启动过程用于内部组件之间认证的用户。

hbase/zkclient.<系统域名>

系统随机生成

安全集群下,HBase做ZooKeeper认证时使用的用户。

thrift/hadoop.<系统域名>

系统随机生成

ThriftServer系统启动用户。

thrift/<hostname>

系统随机生成

ThriftServer系统访问HBase的用户,拥有HBase所有NameSpace和表的读、写、执行、创建和管理的权限。<hostname>表示集群中安装ThriftServer节点的主机名。

hive/hadoop.<系统域名>

系统随机生成

Hive系统启动过程用于内部组件之间认证的用户,用户权限:

  1. Hive管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限

hive1/hadoop.<系统域名>

系统随机生成

Hive1系统启动过程用于内部组件之间认证的用户,用户权限:

  1. Hive1管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限

hive2/hadoop.<系统域名>

系统随机生成

Hive2系统启动过程用于内部组件之间认证的用户,用户权限:

  1. Hive2管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限

hive3/hadoop.<系统域名>

系统随机生成

Hive3系统启动过程用于内部组件之间认证的用户,用户权限:

  1. Hive3管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限

hive4/hadoop.<系统域名>

系统随机生成

Hive4系统启动过程用于内部组件之间认证的用户,用户权限:

  1. Hive4管理员权限:
    • 数据库的创建、删除、修改
    • 表的创建、查询、修改、删除
    • 数据的查询、插入、加载
  2. HDFS文件操作权限:
    • 查看、修改、创建文件
    • 查看、创建目录
    • 查看、修改文件属组
  3. 提交、停止MapReduce任务的权限

loader/hadoop.<系统域名>

系统随机生成

Loader系统启动与Kerberos认证用户。

HTTP/<hostname>

系统随机生成

用于连接各组件的HTTP接口,<hostname>表示集群中节点主机名。

hue

系统随机生成

Hue系统启动与Kerberos认证用户,并用于访问HDFS和Hive。

flume

系统随机生成

Flume系统启动用户,用于访问HDFS和Kafka,对HDFS目录“/flume”有读写权限。

flume_server

系统随机生成

Flume系统启动用户,用于访问HDFS和Kafka,对HDFS目录“/flume”有读写权限。

spark2x/hadoop.<系统域名>

系统随机生成

Spark2x系统管理员用户,用户权限:

1、Spark2x服务启动用户

2、提交Spark2x任务的权限

spark_zk/hadoop.<系统域名>

系统随机生成

用于Spark2x访问ZooKeeper。

spark2x1/hadoop.<系统域名>

系统随机生成

Spark2x1系统管理员用户,用户权限:

  1. Spark2x1服务启动用户
  2. 提交Spark2x任务的权限

spark2x2/hadoop.<系统域名>

系统随机生成

Spark2x2系统管理员用户,用户权限:

  1. Spark2x2服务启动用户
  2. 提交Spark2x任务的权限

spark2x3/hadoop.<系统域名>

系统随机生成

Spark2x3系统管理员用户,用户权限:

  1. Spark2x3服务启动用户
  2. 提交Spark2x任务的权限

spark2x4/hadoop.<系统域名>

系统随机生成

Spark2x4系统管理员用户,用户权限:

  1. Spark2x4服务启动用户
  2. 提交Spark2x任务的权限

zookeeper/hadoop.<系统域名>

系统随机生成

ZooKeeper系统启动用户。

zkcli/hadoop.<系统域名>

系统随机生成

登录Zookeeper服务器用户。

oozie

系统随机生成

Oozie系统启动与Kerberos认证用户。

kafka/hadoop.<系统域名>

系统随机生成

用于Kafka安全认证。

storm/hadoop.<系统域名>

系统随机生成

Storm系统启动用户。

storm_zk/hadoop.<系统域名>

系统随机生成

用于Worker进程访问ZooKeeper。

flink/hadoop.<系统域名>

系统随机生成

Flink服务的内部用户。

check_ker_M

系统随机生成

系统内部测试Kerberos服务功能是否正常的用户。

clickhouse/hadoop.<系统域名>

系统随机生成

用于ClickHouse安全认证。该用户为内部用户,只允许在集群内部使用。

default

ClickHouse内部用户,仅非安全模式下可使用的管理员用户

rangeradmin/hadoop.<系统域名>

系统随机生成

Ranger系统启动用户,用于内部组件之间认证。

tez

系统随机生成

TezUI系统启动与Kerberos认证用户,并用于访问Yarn。

K/M

系统随机生成

Kerberos内部功能用户,不能删除,不支持密码修改,未安装Kerberos服务的节点无法使用内部帐户。

kadmin/changepw

系统随机生成

kadmin/history

系统随机生成

krbtgt/<系统域名>

系统随机生成

LDAP用户

admin

FusionInsight Manager的管理员。

主组为compcommon,不具备组权限,具备Manager_administrator角色的权限。

LDAP用户不支持登录与认证,无密码修改方法。

backup

主组为compcommon

backup/manager

主组为compcommon

oms

主组为compcommon

oms/manager

主组为compcommon

clientregister

主组为compcommon

zookeeper

主组为hadoop

zookeeper/hadoop.<系统域名>

主组为hadoop

zkcli

主组为hadoop

zkcli/hadoop.<系统域名>

主组为hadoop

flume

主组为hadoop

flume_server

主组为hadoop

hdfs

主组为hadoop

hdfs/hadoop.<系统域名>

主组为hadoop

mapred

主组为hadoop

mapred/hadoop.<系统域名>

主组为hadoop

mr_zk

主组为hadoop

mr_zk/hadoop.<系统域名>

主组为hadoop

hue

主组为supergroup

hive

主组为hive

hive/hadoop.<系统域名>

主组为hive

hive1

主组为hive1

hive1/hadoop.<系统域名>

主组为hive1

hive2

主组为hive2

hive2/hadoop.<系统域名>

主组为hive2

hive3

主组为hive3

hive3/hadoop.<系统域名>

主组为hive3

hive4

主组为hive4

hive4/hadoop.<系统域名>

主组为hive4

hbase

主组为hadoop

hbase/hadoop.<系统域名>

主组为hadoop

thrift

主组为hadoop

thrift/hadoop.<系统域名>

主组为hadoop

oozie

主组为hadoop

hbase/zkclient.<系统域名>

主组为hadoop

loader

主组为hadoop

loader/hadoop.<系统域名>

主组为hadoop

spark2x

主组为hadoop

spark2x/hadoop.<系统域名>

主组为hadoop

spark_zk

主组为hadoop

spark2x1

主组为hadoop

spark2x1/hadoop.<系统域名>

主组为hadoop

spark2x2

主组为hadoop

spark2x2/hadoop.<系统域名>

主组为hadoop

spark2x3

主组为hadoop

spark2x3/hadoop.<系统域名>

主组为hadoop

spark2x4

主组为hadoop

spark2x4/hadoop.<系统域名>

主组为hadoop

kafka

主组为kafkaadmin

kafka/hadoop.<系统域名>

主组为kafkaadmin

storm

主组为stormadmin

storm/hadoop.<系统域名>

主组为stormadmin

storm_zk

主组为storm

storm_zk/hadoop.<系统域名>

主组为storm

kms/hadoop

主组为kmsadmin

knox

主组是compcommon

executor

主组是compcommon

rangeradmin

主组为supergroup

rangeradmin/hadoop.<系统域名>

主组为supergroup

rangerusersync

主组为supergroup

rangertagsync

主组为supergroup

rangerauditor

主组为compcommon

用户可登录FusionInsight Manager后,选择“系统 > 权限 > 域和互信”,查看“本端域”参数,即为当前系统域名。上表中系统内部用户的用户名所包含的系统域名所有字母为小写。

例如“本端域”参数为“9427068F-6EFA-4833-B43E-60CB641E5B6C.COM”,则HDFS默认启动用户为“hdfs/hadoop.9427068f-6efa-4833-b43e-60cb641e5b6c.com”。

数据库用户

系统数据库用户包含OMS数据库用户、DBService数据库用户。

类别

默认用户

初始密码

描述

密码修改方法

OMS数据库

ommdba

dbChangeMe@123456

OMS数据库管理员用户,用于创建、启动和停止等维护操作。

请参见修改OMS数据库管理员密码

omm

ChangeMe@123456

OMS数据库数据访问用户。

请参见修改OMS数据库访问用户密码

DBService数据库

omm

dbserverAdmin@123

DBService组件中GaussDB数据库的管理员用户。

compdbuser

随机密码

MRS 3.1.2及之后版本:DBService组件中GaussDB数据库的管理员用户,用于业务运维场景。该账户密码已失效,首次使用需重置。

请参见修改DBService数据库compdbuser用户密码

hive
  • MRS 3.1.2之前版本:HiveUser@
  • MRS 3.1.2及之后版本:随机密码

Hive连接DBService数据库hivemeta的用户。

hive1
  • MRS 3.1.2之前版本:HiveUser@
  • MRS 3.1.2及之后版本:随机密码

Hive1连接DBService数据库hivemeta1的用户。

hive2
  • MRS 3.1.2之前版本:HiveUser@
  • MRS 3.1.2及之后版本:随机密码

Hive2连接DBService数据库hivemeta2的用户。

hive3
  • MRS 3.1.2之前版本:HiveUser@
  • MRS 3.1.2及之后版本:随机密码

Hive3连接DBService数据库hivemeta3的用户。

hive4
  • MRS 3.1.2之前版本:HiveUser@
  • MRS 3.1.2及之后版本:随机密码

Hive4连接DBService数据库hivemeta4的用户。

hiveNN
  • MRS 3.1.2之前版本:HiveUser@
  • MRS 3.1.2及之后版本:随机密码

安装多服务时,Hive-N连接DBService数据库hiveNmeta的用户。

例如Hive-1服务连接DBService数据库hive1meta的用户为hive11。

hue
  • MRS 3.1.2之前版本:HueUser@123
  • MRS 3.1.2及之后版本:随机密码

Hue连接DBService数据库hue的用户。

sqoop
  • MRS 3.1.2之前版本:SqoopUser@
  • MRS 3.1.2及之后版本:随机密码

Loader连接DBService数据库sqoop的用户。

sqoopN
  • MRS 3.1.2之前版本:SqoopUser@
  • MRS 3.1.2及之后版本:随机密码

安装多服务时,Loader-N连接DBService数据库sqoopN的用户。

例如Loader-1服务连接DBService数据库sqoop1的用户为sqoop1。

oozie
  • MRS 3.1.2之前版本:OozieUser@
  • MRS 3.1.2及之后版本:随机密码

Oozie连接DBService数据库oozie的用户。

oozieN
  • MRS 3.1.2之前版本:OozieUser@
  • MRS 3.1.2及之后版本:随机密码

安装多服务时,Oozie-N连接DBService数据库oozieN的用户。

例如Oozie-1服务连接DBService数据库oozie1的用户为oozie1。

rangeradmin
  • MRS 3.1.2之前版本:OozieUser@
  • MRS 3.1.2及之后版本:随机密码

Ranger连接DBservice数据库ranger的用户。

kafkaui

随机密码

KafkaUI连接DBService数据库kafka的用户。

该用户仅在MRS 3.1.2及之后版本中存在。

flink

随机密码

Flink连接DBService数据库flink的用户。

该用户仅在MRS 3.1.2及之后版本中存在。
父主题: 安全概述