检查集群版本与权限
统一权限治理对数据连接Agent、数据源版本和用户权限等均有相应的要求。在使用前,您应先按照表1,检查并准备相关配置。
DLI权限管理仅涉及授权dlg_agency委托,不涉及检查集群版本与权限。
使用前检查checklist
检查项 |
是否必选 |
检查内容 |
配置指导 |
---|---|---|---|
数据连接Agent版本 |
MRS/DWS权限管理时必选 |
CDM集群为2.10.0.300及以上版本。 |
登录CDM管理控制台,进入“集群管理”,在集群列表中找到所需要的集群,然后单击集群名称,进入集群“基本信息”页面查看集群版本号。 如果非所需版本,请创建最新版本CDM集群或联系客服或技术支持人员。 |
Ranger组件配置 |
MRS权限管理时必选 |
MRS非安全集群Ranger组件开启同步ldap用户功能。 |
MRS非安全集群,由于Ranger组件默认同步unix用户,不会同步Manager上的用户/用户组/角色,因此需要切换用户同步策略。操作详情请参考配置Ranger组件。 |
Ranger连接用户权限 |
连接中的用户具备Ranger组件Admin权限。 |
Ranger连接中的用户需要具备Ranger组件Admin权限,操作详情请参考准备Ranger Admin用户。 |
|
DWS集群guest_agent版本 |
DWS权限管理时必选 |
DWS集群guest_agent版本为8.2.1,或在8.2.1以上、9.0.0以下 |
DWS集群guest agent版本号需要通过开发者调试工具查看,操作详情请参考查看DWS集群guest agent版本。 |
DWS连接用户权限 |
|
查看DWS集群guest agent版本
- 登录GaussDB(DWS) 管理控制台,进入“集群管理”,在集群列表中找到所需要的集群。
- 按下F12,打开开发者调试工具,然后选择Network功能。
图1 选择Network
- 在DWS控制台中,单击待查看的DWS集群名称,进入集群“基本信息”页面。然后在开发者调试工具的Network请求中,寻找Name形如“clusters?type=xxxxxx”的长字符串并单击,在右侧区域中选择“Preview”,依次展开字段,查找“guest_agent_version”字段,其值即为DWS集群的guest agent版本。
图2 查找“guest_agent_version”字段
- 如果非所需版本,请联系DWS服务客服或技术支持人员。
配置Ranger组件
对于MRS非安全集群,由于Ranger组件默认同步unix用户,不会同步FI Manager上的用户/用户组/角色,因此需要切换用户同步策略。操作步骤如下所示:
MRS安全集群Ranger组件默认同步LDAP用户,默认情况下无需额外操作。如果默认配置被修改,也可以参考本章节切换用户同步策略。
- 使用admin账户登录MRS服务的Manager页面。
- 在Manager页面选择“集群 > 服务 > Ranger > 配置 > 基本配置”,在搜索框中搜索“ranger.usersync.config.expandor”参数,设置其名称为“ranger.usersync.sync.source”,对应值为“ldap”。
MRS集群低版本(例如MRS 3.1.0)默认不开放此配置项,则需要联系MRS服务客服或技术支持人员协助处理。
图3 配置ranger.usersync.config.expandor参数
- 参数配置完成后,单击左上角的“保存”,在弹窗中单击“确定”保存配置。
- 保存成功后,切换到实例页签,选择配置已过期的UserSync实例后,单击“更多 > 滚动重启实例”,使配置生效。
图4 滚动重启实例
准备Ranger Admin用户
Ranger连接中的用户需要具备Ranger组件Admin权限,操作详情如下:
- 使用admin账户登录MRS服务的Manager页面。
- 在Manager页面选择“系统 > 权限 > 用户”,单击“添加用户”,添加一个专有用户作为kerberos认证用户,并且为这个用户添加用户组和分配角色权限,用户组选择superGroup和hive,角色选择Manager_administrator,然后根据页面提示完成用户的创建。
- 使用新建的用户登录Manager页面,并更新初始密码。
- 在Manager页面选择“集群 > 服务 > Ranger”,进入Ranger概览页面,单击RangerAdmin进入Ranger WebUI。
图5 进入Ranger WebUI
- 注销当前账号,使用Ranger管理员账号再次登录。注意,普通集群使用Manager页面的admin账号即可作为Ranger管理员账号,安全集群需要使用rangeradmin作为Ranger管理员账号,rangeradmin默认密码请参考用户账号一览表章节。
图6 登出当前账号
- 修改新建用户的Ranger角色为Admin。在“Settings -> Users/Groups/Roles -> Users”下找到新建的用户名。
如果Ranger上未找到新建的用户,则需要等待约5分钟,直到Ranger组件自动触发并完成同步MRS集群角色。
图7 查找用户名
- 单击名称进入详情页,修改用户的角色为Admin,单击Save保存。
图8 修改用户角色