更新时间:2024-05-23 GMT+08:00
分享

准备工作2:使用前检查checklist

统一权限治理对数据连接Agent、数据源版本和用户权限等均有相应的要求。在使用前,您应先按照表1,检查并准备相关配置。

DLI权限管理仅涉及准备工作1,不涉及当前准备工作。

使用前检查checklist

表1 使用前检查checklist

检查项

是否必选

检查内容

配置指导

数据连接Agent版本

MRS/DWS权限管理时必选

CDM集群为2.10.0.300及以上版本。

登录CDM管理控制台,进入“集群管理”,在集群列表中找到所需要的集群,然后单击集群名称,进入集群“基本信息”页面查看集群版本号。

如果非所需版本,请创建最新版本CDM集群或联系客服或技术支持人员

Ranger组件配置

MRS权限管理时必选

MRS非安全集群Ranger组件开启同步ldap用户功能。

MRS非安全集群,由于Ranger组件默认同步unix用户, 不会同步Manager上的用户/用户组/角色,因此需要切换用户同步策略。操作详情请参考配置Ranger组件

Ranger连接用户权限

连接中的用户具备Ranger组件Admin权限。

Ranger连接中的用户需要具备Ranger组件Admin权限,操作详情请参考准备Ranger Admin用户

DWS集群guest_agent版本

DWS权限管理时必选

DWS集群guest_agent版本为8.2.1,或在8.2.1以上、9.0.0以下

DWS集群guest agent版本号需要通过开发者调试工具查看,操作详情请参考查看DWS集群guest agent版本

DWS连接用户权限

  • 非三权分立模式,连接中的用户至少需具备数据库dbadmin权限,
  • 三权分立模式,连接中的用户需具备系统管理员权限。

查看DWS集群guest agent版本

  1. 登录GaussDB(DWS) 管理控制台,进入“集群管理”,在集群列表中找到所需要的集群。
  2. 按下F12,打开开发者调试工具,然后选择Network功能。

    图1 选择Network

  3. 在DWS控制台中,单击待查看的DWS集群名称,进入集群“基本信息”页面。然后在开发者调试工具的Network请求中,寻找Name形如“clusters?type=xxxxxx”的长字符串并单击,在右侧区域中选择“Preview”,依次展开字段,查找“guest_agent_version”字段,其值即为DWS集群的guest agent版本。

    图2 查找“guest_agent_version”字段

  4. 如果非所需版本,请联系DWS服务客服或技术支持人员

配置Ranger组件

对于MRS非安全集群,由于Ranger组件默认同步unix用户,不会同步FI Manager上的用户/用户组/角色,因此需要切换用户同步策略。操作步骤如下所示:

MRS安全集群Ranger组件默认同步LDAP用户,默认情况下无需额外操作。如果默认配置被修改,也可以参考本章节切换用户同步策略。

  1. 使用admin账户登录MRS服务的Manager页面。
  2. 在Manager页面选择“集群 > 服务 > Ranger > 配置 > 基本配置”,在搜索框中搜索“ranger.usersync.config.expandor”参数,设置其名称为“ranger.usersync.sync.source”,对应值为“ldap”。

    MRS集群低版本(例如MRS 3.1.0)默认不开放此配置项,则需要联系MRS服务客服或技术支持人员协助处理。

    图3 配置ranger.usersync.config.expandor参数

  3. 参数配置完成后,单击左上角的“保存”,在弹窗中单击“确定”保存配置。
  4. 保存成功后,切换到实例页签,选择配置已过期的UserSync实例后,单击“更多 > 滚动重启实例”,使配置生效。

    图4 滚动重启实例

准备Ranger Admin用户

Ranger连接中的用户需要具备Ranger组件Admin权限,操作详情如下:

  1. 使用admin账户登录MRS服务的Manager页面。
  2. 在Manager页面选择“系统 > 权限 > 用户”,单击“添加用户”,添加一个专有用户作为kerberos认证用户,并且为这个用户添加用户组和分配角色权限,用户组选择superGroup和hive,角色选择Manager_administrator,然后根据页面提示完成用户的创建。
  3. 使用新建的用户登录Manager页面,并更新初始密码。
  4. 在Manager页面选择“集群 > 服务 > Ranger”,进入Ranger概览页面,单击RangerAdmin进入Ranger WebUI。

    图5 进入Ranger WebUI

  5. 注销当前账号,使用Ranger管理员账号再次登录。注意,普通集群使用Manager页面的admin账号即可作为Ranger管理员账号,安全集群需要使用rangeradmin作为Ranger管理员账号,rangeradmin默认密码请参考用户账号一览表章节。

    图6 登出当前账号

  6. 修改新建用户的Ranger角色为Admin。在“Settings -> Users/Groups/Roles -> Users”下找到新建的用户名。

    如果Ranger上未找到新建的用户,则需要等待约5分钟,直到Ranger组件自动触发并完成同步MRS集群角色。

    图7 查找用户名

  7. 单击名称进入详情页,修改用户的角色为Admin,单击Save保存。

    图8 修改用户角色

分享:

    相关文档

    相关产品