用户账号一览表

系统用户

• 通过FusionInsight Manager创建，是系统操作运维与业务场景中主要使用的用户，包含两种类型：
  • “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。创建此类型用户时需要参考创建用户设置“密码”和“确认新密码”。
  • “机机”用户：用于系统应用开发的场景。
• 用于OMS系统进程运行的用户。

系统内部用户

集群提供的用于Kerberos认证、进程通信、保存用户组信息和关联用户权限的内部用户。系统内部用户不建议在操作与维护的场景下使用。请通过admin用户操作，或联系系统管理员根据业务需要创建新用户。

数据库用户

• 用于OMS数据库管理和数据访问的用户。
• 用于业务组件（Hue、Hive、HetuEngine、Metadata、Loader、Oozie、Redis、Ranger、JobGateway和DBService）数据库的用户。

系统管理员

admin

FusionInsight Manager的管理员。

请参见修改admin密码。

节点操作系统用户

ommdba

创建系统数据库的用户。在管理节点生成，属于操作系统用户，无需设置为统一的密码。该用户不能用于远程登录。

请参见修改操作系统用户密码。

omm

系统的内部运行用户。在全部节点生成，属于操作系统用户，无需设置为统一的密码。

Kerberos管理员

kadmin/admin

用于增加、删除、修改及查询Kerberos上的用户账号。

请参见修改Kerberos管理员密码。

OMS Kerberos管理员

kadmin/admin

用于增加、删除、修改及查询OMS Kerberos上的用户账号。

请参见修改OMS Kerberos管理员密码。

LDAP管理员

cn=root,dc=hadoop,dc=com

用于增加、删除、修改及查询LDAP用户账号信息。

请参见修改OMS服务配置参数。

OMS LDAP管理员

cn=root,dc=hadoop,dc=com

用于增加、删除、修改及查询OMS LDAP用户账号信息。

LDAP用户

cn=pg_search_dn,ou=Users,dc=hadoop,dc=com

用于查询LDAP中存储的用户和用户组信息。

OMS LDAP用户

cn=pg_search_dn,ou=Users,dc=hadoop,dc=com

用于查询OMS LDAP中存储的用户和用户组信息。

LDAP管理账户

cn=krbkdc,ou=Users,dc=hadoop,dc=com

用于查询Kerberos组件认证账户信息。

请参见修改OMS服务配置参数。

cn=krbadmin,ou=Users,dc=hadoop,dc=com

用于增加、删除、修改及查询Kerberos组件认证账户信息。

组件运行用户

iotdb

IoTDB系统管理员用户，用户权限：

1. IoTDB管理员权限：
   • 创建或删除数据库
   • 使用TTL
2. IoTDB数据操作权限：
   • 创建、修改、删除时间序列
   • 对时间序列进行数据写入、读取、删除。
3. 查看用户或角色权限信息
4. 对用户、角色授权或回收权限
   说明：

   普通集群下，IoTDB服务保持开源特性，默认用户：root。该用户为管理员用户，固定拥有所有权限，无法被赋予、撤销权限，也无法被删除。

请参见修改组件运行用户密码。

hdfs

HDFS系统管理员，用户权限：

1. 文件系统操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
   • 查看、设置用户磁盘配额
2. HDFS管理操作权限：
   • 查看webUI页面状态
   • 查看、设置HDFS主备状态
   • 进入、退出HDFS安全模式
   • 检查HDFS文件系统
3. 登录FTP服务

hbase

HBase，HBase1~4系统管理员，用户权限：

• 集群管理权限：表的Enable、Disable操作，触发MajorCompact，ACL操作
• 授权或回收权限，集群关闭等操作相关的权限
• 表管理权限：建表、修改表、删除表等操作权限
• 数据管理权限：表级别、列族级别以及列级别的数据读写权限
• 登录HMaster WebUI界面
• 登录FTP服务

mapred

MapReduce/Yarn系统管理员，用户权限：

• 提交、停止和查看MapReduce任务的权限
• 修改Yarn配置参数的权限
• 登录FTP服务
• 登录Yarn WebUI界面

zookeeper

ZooKeeper系统管理员，用户权限：

• 对Zookeeper上所有节点的增删改查权限
• 对Zookeeper上所有节点的配额修改查询权限

solr

Solr的系统管理权限，用户权限：

• 访问Solr Admin UI的权限
• 配置文件管理权限：上传Solr配置文件到ZooKeeper目录、修改ZooKeeper目录中Solr配置文件
• 索引集管理：创建、删除、查看collection操作
• 索引数据操作：创建、删除、查看索引

elasticsearch

Elasticsearch的系统管理权限，用户权限：

• 索引集管理：创建、删除、查看操作
• 索引数据操作：创建、删除、查看索引

rangerkms

RangerKMS系统管理员。

rangeradmin

Ranger的系统管理权限，用户权限。

• Ranger Web UI的管理权限
• 使用Ranger鉴权的各组件管理权限

rangerauditor

Ranger系统的默认审计用户。

hive

Hive系统管理员，用户权限：

1. Hive管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限。
4. Ranger策略的管理权限。

hive1

Hive1系统管理员，用户权限：

1. Hive1管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限。
4. Ranger策略的管理权限。

hive2

Hive2系统管理员，用户权限：

1. Hive2管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限。
4. Ranger策略的管理权限。

hive3

Hive3系统管理员，用户权限：

1. Hive3管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限。
4. Ranger策略的管理权限。

hive4

Hive4系统管理员，用户权限：

1. Hive4管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限。
4. Ranger策略的管理权限。

kafka

Kafka的系统管理员，用户权限:

• Topic的创建、删除、生产、消费、配置修改。
• Cluster的元数据控制、配置修改、副本迁移、leader选举、acl管理。
• ConsumerGroup Offset的提交、查询、删除。
• DelegationToken的查询。
• Transaction的查询、提交。

cdl

cdl的系统管理员。

cdl暂不涉及用户权限。

rangerusersync

用于同步用户及用户组的内部用户。

rangertagsync

用于同步标签的内部用户。

oms/manager

用于Controller和NodeAgent认证的用户，拥有“supergroup”组权限。

backup/manager

用于运行备份恢复任务的用户，拥有“supergroup”、“wheel”和“ficommon”组权限。配置跨系统互信后拥有访问互信系统HDFS、HBase、Hive、ZooKeeper数据的权限。

hdfs/hadoop.<系统域名>

HDFS系统启动用户，用户权限：

1. 文件系统操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
   • 查看、设置用户磁盘配额
2. HDFS管理操作权限：
   • 查看WebUI页面状态
   • 查看、设置HDFS主备状态
   • 进入、退出HDFS安全模式
   • 检查HDFS文件系统
3. 登录FTP服务

hetuserver/hadoop.<系统域名>

HetuEngine系统启动用户，用户权限：

• 用于HetuEngine访问KrbServer，访问本集群HDFS文件等
• 用于HetuEngine内部节点通讯

mapred/hadoop.<系统域名>

MapReduce系统启动用户，用户权限：

• 提交、停止和查看MapReduce任务的权限
• 修改Yarn配置参数的权限
• 登录FTP服务
• 登录Yarn WebUI界面

mr_zk/hadoop.<系统域名>

用于MapReduce访问ZooKeeper。

hbase/hadoop.<系统域名>

HBase系统启动过程用于内部组件之间认证的用户。

hbase/zkclient.<系统域名>

安全集群下，HBase做ZooKeeper认证时使用的用户。

thrift/hadoop.<系统域名>

ThriftServer系统启动用户。

rangerkms/hadoop.<系统域名>

RangerKMS系统启动用户。

rest/hadoop.<系统域名>

RestServer系统启动用户。

thrift/<hostname>

ThriftServer系统访问HBase的用户，拥有HBase所有NameSpace和表的读、写、执行、创建和管理的权限。<hostname>表示集群中安装ThriftServer节点的主机名。

hive/hadoop.<系统域名>

Hive系统启动过程用于内部组件之间认证的用户，用户权限：

1. Hive管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限

hive1/hadoop.<系统域名>

Hive1系统启动过程用于内部组件之间认证的用户，用户权限：

1. Hive1管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限

hive2/hadoop.<系统域名>

Hive2系统启动过程用于内部组件之间认证的用户，用户权限：

1. Hive2管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限

hive3/hadoop.<系统域名>

Hive3系统启动过程用于内部组件之间认证的用户，用户权限：

1. Hive3管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限

hive4/hadoop.<系统域名>

Hive4系统启动过程用于内部组件之间认证的用户，用户权限：

1. Hive4管理员权限：
   • 数据库的创建、删除、修改
   • 表的创建、查询、修改、删除
   • 数据的查询、插入、加载
2. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
3. 提交、停止MapReduce任务的权限

loader/hadoop.<系统域名>

Loader系统启动与Kerberos认证用户。

HTTP/<hostname>

用于连接各组件的HTTP接口，<hostname>表示集群中节点主机名。

hue

Hue系统启动与Kerberos认证用户，并用于访问HDFS和Hive。

flume

Flume系统启动用户，用于访问HDFS和Kafka，对HDFS目录“/flume”有读写权限。

flume_server

Flume系统启动用户，用于访问HDFS和Kafka，对HDFS目录“/flume”有读写权限。

ftpserver

FTP-Server系统启动用户。

metadata/hadoop.<系统域名>

Metadata系统启动用户，用于访问Hive和HBase的元数据。

spark_zk/hadoop.<系统域名>

用于Spark访问ZooKeeper。

spark2x/hadoop.<系统域名>

Spark系统管理员用户，用户权限：

1、Spark服务启动用户

2、提交Spark任务的权限

spark2x1/hadoop.<系统域名>

Spark1系统管理员用户，用户权限：

1. Spark1服务启动用户
2. 提交Spark任务的权限

spark2x2/hadoop.<系统域名>

Spark2系统管理员用户，用户权限：

1. Spark2服务启动用户
2. 提交Spark任务的权限

spark2x3/hadoop.<系统域名>

Spark3系统管理员用户，用户权限：

1. Spark3服务启动用户
2. 提交Spark任务的权限

spark2x4/hadoop.<系统域名>

Spark4系统管理员用户，用户权限：

1. Spark4服务启动用户
2. 提交Spark任务的权限

zookeeper/hadoop.<系统域名>

ZooKeeper系统启动用户。

zkcli/hadoop.<系统域名>

登录Zookeeper服务器用户。

oozie

Oozie系统启动与Kerberos认证用户。

solr/hadoop.<系统域名>

• 访问HDFS数据目录：用于访问HDFS中Solr数据目录“/user/solr”，对该目录有读写权限
• 访问ZooKeeper数据目录：用于访问ZooKeeper下“/solr”目录下所有文件，对该目录下文件具有读写权限

elasticsearch/hadoop.<系统域名>

访问ZooKeeper数据目录：用于访问ZooKeeper下“/elasticsearch”目录下所有文件，对该目录下文件具有读写权限

HTTP/<hostname>

用于Solr组件Http服务的Kerberos认证。

HTTP/SOLR_FLOAT_IP

用于Solr组件Http服务的Kerberos认证。

kafka/hadoop.<系统域名>

用于Kafka安全认证。

redisCli

Redis系统管理员。

redis/hadoop.<系统域名>

Redis系统启动账户。

flink/hadoop.<系统域名>

Flink服务的内部用户。

check_ker_M

系统内部测试Kerberos服务功能是否正常的用户。

tez

TezUI系统启动与Kerberos认证用户，并用于访问Yarn。

cdl/hadoop.<系统域名>

CDL服务的内部用户。

rangeradmin/hadoop.<系统域名>

Ranger系统启动用户，用于内部组件之间认证。

clickhouse/hadoop.<系统域名>

用于ClickHouse安全认证。该用户为内部用户，只允许在集群内部使用。

• 安全模式：请参见修改组件运行用户密码。
• 普通模式：请参见“配置ClickHouse默认用户密码”章节。

default

ClickHouse内部用户，仅非安全模式下可使用的管理员用户

请参见“配置ClickHouse默认用户密码”章节。

K/M

Kerberos内部功能用户，不能删除，不支持密码修改，未安装Kerberos服务的节点无法使用内部账户。

无

kadmin/changepw

kadmin/history

krbtgt/<系统域名>

root

Doris内部使用，用于系统初始化doris_manager用户。

无

admin

普通集群Doris内部用户。

使用admin用户连接Doris后，执行SET PASSWORD = PASSWORD('password');命令修改密码。命令中如果携带认证密码信息可能存在安全风险，在执行命令前建议关闭系统的history命令记录功能，避免信息泄露。

doris_manager

Doris内部使用，用于添加实例，添加用户和角色等内部操作。

无

doris

Doris内部用户，用于集群已启用Kerberos认证（安全模式）时使用Hive Catalog访问其他组件。

无

doris/hadoop.<系统域名>

Doris内部用户，用于集群已启用Kerberos认证（安全模式）时使用Hive Catalog访问其他组件。

无

组件运行用户

rangerobs/hadoop.<系统域名>

Guardian访问ranger系统管理员用户。

请参见修改组件运行用户密码。

组件运行用户

jobserver

JobGateway的系统管理员，用户权限：

1. HDFS文件操作权限：
   • 查看、修改、创建文件
   • 查看、创建目录
   • 查看、修改文件属组
2. Manager管理员权限。

请参见修改组件运行用户密码。

组件运行用户

HTTP/_HOST

JobGateway服务的内部用户，用于Http服务的Kerberos认证。

请参见修改组件运行用户密码。

LDAP用户

admin

FusionInsight Manager的管理员。

主组为compcommon，不具备组权限，具备Manager_administrator角色的权限。

LDAP用户不支持登录与认证，无密码修改方法。

backup

主组为compcommon

backup/manager

主组为compcommon

oms

主组为compcommon

oms/manager

主组为compcommon

clientregister

主组为compcommon

zookeeper

主组为hadoop

zookeeper/hadoop.<系统域名>

主组为hadoop

zkcli

主组为hadoop

zkcli/hadoop.<系统域名>

主组为hadoop

flume

主组为hadoop

flume_server

主组为hadoop

ftpserver

主组为supergroup

hdfs

主组为hadoop

hdfs/hadoop.<系统域名>

主组为hadoop

mapred

主组为hadoop

mapred/hadoop.<系统域名>

主组为hadoop

mr_zk

主组为hadoop

mr_zk/hadoop.<系统域名>

主组为hadoop

hue

主组为supergroup

hive

主组为hive

hive/hadoop.<系统域名>

主组为hive

hive1

主组为hive1

hive1/hadoop.<系统域名>

主组为hive1

hive2

主组为hive2

hive2/hadoop.<系统域名>

主组为hive2

hive3

主组为hive3

hive3/hadoop.<系统域名>

主组为hive3

hive4

主组为hive4

hive4/hadoop.<系统域名>

主组为hive4

hbase

主组为hadoop

hbase/hadoop.<系统域名>

主组为hadoop

thrift

主组为hadoop

thrift/hadoop.<系统域名>

主组为hadoop

oozie

主组为hadoop

hbase/zkclient.<系统域名>

主组为hadoop

loader

主组为hadoop

loader/hadoop.<系统域名>

主组为hadoop

spark2x

主组为hadoop

spark2x/hadoop.<系统域名>

主组为hadoop

spark2x1

主组为hadoop

spark2x1/hadoop.<系统域名>

主组为hadoop

spark2x2

主组为hadoop

spark2x2/hadoop.<系统域名>

主组为hadoop

spark2x3

主组为hadoop

spark2x3/hadoop.<系统域名>

主组为hadoop

spark2x4

主组为hadoop

spark2x4/hadoop.<系统域名>

主组为hadoop

metadata

主组为supergroup

metadata/hadoop.<系统域名>

主组为supergroup

kafka

主组为kafkaadmin

kafka/hadoop.<系统域名>

主组为kafkaadmin

cdl

主组为cdladmin

cdl/hadoop.<系统域名>

主组为cdladmin

redisCli

主组为supergroup

redis

主组为supergroup

redis/hadoop.<系统域名>

主组为supergroup

solr

主组为ficommon

solr/hadoop.<系统域名>

主组为ficommon

elasticsearch

主组为ficommon

elasticsearch/hadoop.<系统域名>

主组为ficommon

rangeradmin

主组为supergroup

rangeradmin/hadoop.<系统域名>

主组为supergroup

rangerusersync

主组为supergroup

rangertagsync

主组为supergroup

rangerauditor

主组为compcommon

kms/hadoop

主组为kmsadmin

knox

主组是compcommon

executor

主组是compcommon

doris

主组为supergroup

doris/hadoop.<系统域名>

主组为supergroup

LDAP用户

jobserver

主组是compcommon

LDAP用户不支持登录与认证，无密码修改方法。

OMS数据库

ommdba

OMS数据库管理员用户，用于创建、启动和停止等维护操作。

请参见修改OMS数据库管理员密码。

omm

OMS数据库数据访问用户。

请参见修改OMS数据库访问用户密码。

DBService数据库

omm

DBService组件中GaussDB数据库的管理员用户。

请参见重置DBService数据库omm用户密码。

compdbuser

DBService组件中GaussDB数据库的管理员用户，用于业务运维场景。该账户密码已失效，首次使用需重置。

请参见修改DBService数据库compdbuser用户密码。

hetu

HetuEngine连接DBService数据库hetumeta的用户。

请参见重置组件数据库用户密码。

hive

Hive连接DBService数据库hivemeta的用户。

hive1

Hive1连接DBService数据库hivemeta1的用户。

hive2

Hive2连接DBService数据库hivemeta2的用户。

hive3

Hive3连接DBService数据库hivemeta3的用户。

hive4

Hive4连接DBService数据库hivemeta4的用户。

hiveNN

安装多服务时，Hive-N连接DBService数据库hiveNmeta的用户。

例如Hive-1服务连接DBService数据库hive1meta的用户为hive11。

hue

Hue连接DBService数据库hue的用户。

sqoop

Loader连接DBService数据库sqoop的用户。

sqoopN

安装多服务时，Loader-N连接DBService数据库sqoopN的用户。

例如Loader-1服务连接DBService数据库sqoop1的用户为sqoop1。

metadata

Metadata连接DBService数据库metadata的用户。

metadataN

安装多服务时，Metadata-N连接DBService数据库metadataN的用户。

例如Metadata-1服务连接DBService数据库metadata1的用户为metadata1。

oozie

Oozie连接DBService数据库oozie的用户。

oozieN

安装多服务时，Oozie-N连接DBService数据库oozieN的用户。

例如Oozie-1服务连接DBService数据库oozie1的用户为oozie1。

redis

Redis连接DBService数据库redismeta的用户。

rangeradmin

Ranger连接DBservice数据库ranger的用户。

kafkauiN

KafkaUI连接DBService数据库kafkaui的用户。

flink

Flink连接DBService数据库flink的用户。

cdl

CDL连接DBService数据库cdl的用户。

activiti

Containers连接DBService数据库activitidb的用户。

rtd

RTDService连接DBService数据库rtdmeta的用户。

lakesearch

Lakesearch连接DBService数据库lakesearch的用户。

jobgateway

JobGateway连接DBService数据库jobmeta的用户。

MOTService数据库

omm

MOTService组件中数据库的管理员用户。

请联系系统管理员获取。