概述

• MRS集群用戶

Manager中的安全帳號，包含用戶名、密碼等屬性，MRS集群的使用者通過這類用戶訪問集群中的資源。每個啟用Kerberos認證的MRS集群可以有多個用戶。

• MRS集群角色

用戶在實際使用MRS集群時需根據業務場景獲取訪問資源的權限，訪問資源的權限是定義到MRS集群對象上的。集群的角色就是包含一個或者多個權限的集合。例如，HDFS中某個目錄的訪問權限，需要在指定的目錄上配置，并保存在角色中。

Manager支持MRS集群用戶權限管理功能，使權限管理與用戶管理更加直觀、易用。

• 權限管理：使用RBAC（Role-Based Access Control）方式，即基于角色授予權限，形成權限的集合。用戶通過分配一個或多個已授權的角色取得對應的權限。
• 用戶管理：使用Manager統一管理MRS集群用戶，并通過Kerberos協議認證用戶，LDAP協議存儲用戶信息。

權限管理

MRS集群提供的權限包括Manager和各組件（例如HDFS、HBase、Hive和Yarn等）的操作維護權限，在實際應用時需根據業務場景為各用戶分別配置不同權限。為了提升權限管理的易用性，Manager引入角色的功能，通過選取指定的權限并統一授予角色，以權限集合的形式實現了權限集中查看和管理，提升了權限管理的易用性和用戶體驗。

角色可以理解為集中一個或多個權限的邏輯體，角色被授予指定的權限，用戶通過綁定角色獲得對應的權限。

一個角色可以有多個權限，一個用戶可以綁定多個角色。

• 角色1：授予操作權限A和B，用戶a和用戶b通過綁定角色1取得對應的權限。
• 角色2：授予操作權限C，用戶c和用戶d通過綁定角色2取得對應的權限。
• 角色3：授予操作權限D和F，用戶a通過綁定配角色3取得對應的權限。

例如，MRS集群用戶綁定了管理員角色，那么這個用戶成為MRS集群的管理員用戶。

Manager界面顯示系統默認創建的角色如下表所示。

Manager默認角色與描述

通過Manager創建角色時支持對Manager和組件進行授權管理，如下表所示。

Manager與組件授權管理

用戶管理

支持Kerberos認證的MRS集群使用Kerberos協議和LDAP（Lightweight Directory Access Protocol）協議來配合工作，實現用戶管理：

• Kerberos用于在用戶登錄Manager與使用組件客戶端時認證用戶身份，未啟用Kerberos認證的集群則不認證用戶身份。
• LDAP用于存儲用戶記錄、用戶組信息與權限信息等用戶信息。

MRS集群支持在Manager執行創建用戶或者修改用戶等任務時，系統自動完成更新Kerberos和LDAP的用戶數據，用戶登錄Manager或使用組件客戶端時，系統自動完成認證用戶身份和獲取用戶信息。這樣一方面保證了用戶管理的安全性，另一方面簡化了用戶管理的操作任務。Manager還提供了用戶組功能，可對單個或多個用戶進行分類管理：

• 用戶組為一批用戶的集合，可對用戶進行分類管理。系統中的用戶可以單獨存在也可以加入到某個用戶組中。
• 對已分配角色的用戶組來說，當用戶添加到該組時，用戶組分配的角色權限將授權給用戶。

MRS 3.x之前版本集群MRS Manager界面顯示系統默認創建的用戶組如下表所示。

MRS 3.x及之后版本集群FusionInsight Manager界面顯示系統默認創建的用戶組請參考用戶組。

Manager默認用戶組與描述

啟用Kerberos認證的MRS集群默認創建“admin”用戶帳號，用于集群管理員維護集群。

流程概述

在實際業務中，MRS集群用戶需要先明確大數據的業務場景，規劃集群用戶對應的權限。然后在Manager界面創建角色，并設置角色包含的權限以匹配業務的需求。如果需要統一管理單個或多個相同業務場景中的用戶，Manager提供了用戶組的功能，管理員可以創建用戶組。

說明

如果角色設置HDFS、HBase、Hive或Yarn各組件的權限，僅可以使用組件自身功能。如果還需要使用Manager，請在角色中添加對應的Manager權限。

創建用戶流程示意，如下圖：