身份认证与访问控制

身份认证

MRS支持安全协议Kerberos，使用LDAP作为账户管理系统，并通过Kerberos服务对账户信息进行安全认证。

Kerberos安全认证原理和认证机制具体介绍请参见安全认证原理和认证机制。

访问控制

MRS提供两种访问控制权限模型：基于角色的权限控制和基于策略的权限控制，详情请参见权限模型。

• 基于角色的权限控制

  MRS基于用户和角色的认证统一体系，遵从账户/角色RBAC（Role-Based Access Control）模型，实现通过角色进行权限管理，对用户进行批量授权管理，同时提供单点登录能力，统一了系统用户和组件用户的管理及认证。具体机制详情描述请参见权限机制。

• 基于策略的权限控制
  • Ranger鉴权

    MRS提供了基于Ranger的鉴权方案，对于MRS安全集群，默认启用了Ranger鉴权；对于安装了Ranger服务的普通集群，Ranger可以支持基于OS用户进行组件资源的权限控制。

    Ranger鉴权的具体策略请参见鉴权策略。

  • OBS存算分离细粒度鉴权

    对于OBS存算分离集群，如果您想对OBS上的资源进行细粒度的权限控制，可以通过MRS提供的基于IAM委托的细粒度权限控制方案进行配置，请参见配置MRS多用户访问OBS细粒度权限。