Цассандра Сецурити: Креирајте корисника & амп; Аутентификација помоћу ЈМКС-а

Преглед садржаја:

Anonim

Постоје две врсте заштите у Апацхе Цассандри и Датастак предузећу.

  • Интерна потврда идентитета
  • Овлашћење

У овом упутству ћете научити,

  • Шта је интерна ауторизација и ауторизација
  • Конфигуришите аутентификацију и ауторизацију
  • Пријављивањем
  • Направите новог корисника
  • Овлашћење
  • Конфигурисање заштитног зида
  • Омогућавање ЈМКС аутентификације

Шта је интерна ауторизација и ауторизација

Интерна потврда идентитета у основи потврђује везу корисника. Корисник је потврђен идентитетом помоћу корисничког имена и лозинке. Свим корисничким налозима се интерно управља у Цассандри.

Интерна ауторизација се бави дозволом корисника. Бави се оним радњама које корисник може да изврши. На пример, можемо дати корисничку дозволу, на пример, који корисник има само дозволу за читање података, који корисник има дозволу за писање података и који корисник има дозволу за брисање података.

Међутим, аутентификацијом се такође може екстерно управљати помоћу Кербероса (Керберос се користи за сигурно управљање акредитивима) и ЛДАП-а (ЛДАП се користи за чување веродостојних информација о налозима, на пример ономе чему им је дозвољен приступ).

Спољна потврда идентитета је потврда идентитета коју подржавају Керберос и ЛДАП. Апацхе Цассандра не подржава спољну потврду идентитета.

Само датастак Ентерприсе подржава екстерну потврду идентитета помоћу Кербероса и ЛДАП-а. Док је интерна потврда идентитета подржана како у Апацхе Цассандри, тако и у Датастак-у.

Конфигуришите аутентификацију и ауторизацију

У Цассандри су подразумевано онемогућене аутентификација и ауторизација. Морате да конфигуришете датотеку Цассандра.иамл да бисте омогућили потврду идентитета и ауторизацију.

Отворите датотеку Цассандра.иамл и уклоните коментаре који се баве унутрашњом аутентификацијом и ауторизацијом.

  • У датотеци Цассандра.иамл, подразумевано је вредност аутентификатора „АлловАллАутхентицатор“. Промените ову вредност аутентификатора из „АлловАллАутхентицатор“ у „цом.датастак.бдп.цассандра.аутх.ПассвордАутхентицатор“.
  • Слично томе, у датотеци Цассандра.иамл, подразумевана вредност овлашћења биће „АлловАллАутхоризор“. Промените вредност овог овлашћивача из „АлловАллАутхоризор“ у „цом.датастак.бдп.цассандра.аутх.ЦассандраАутхоризор“.

Пријављивањем

Сада је потврда идентитета омогућена, ако покушате да приступите било ком простору кључева, Цассандра ће вратити грешку.

Подразумевано, Цассандра супер рачуну даје корисничко име „цассандра“ и лозинку „цассандра“. Ако се пријавите на налог „Цассандра“, можете да радите шта год желите.

Погледајмо доњи снимак екрана за ово, где вам неће дозволити да се пријавите ако не користите подразумевано Цассандра „корисничко име“ и „лозинку“.

Сада, на другом снимку екрана, можете да видите да сте након употребе подразумеваних акредитива за пријаву Цассандре могли да се пријавите.

Такође можете да креирате другог корисника са овим налогом. Препоручује се промена лозинке са подразумеване. Ево примера пријаве корисника Цассандре и промене подразумеване лозинке.

alter user cassandra with password 'newpassword';

Направите новог корисника

Нови налози се могу отворити помоћу налога „Цассандра“.

За креирање новог корисника, пријаве, наведена је лозинка заједно са тим да ли је корисник супер корисник или не. Само Супер корисник може да креира нове кориснике.

create user robin with password 'manager' superuser;create user robin with password 'newhire';

Списак свих корисника можете добити према следећој синтакси.

list users;

Кориснике може испустити следећа синтакса.

drop user laura;

Овлашћење

Овлашћење је додељивање дозволе корисницима за одређену радњу коју одређени корисник може извршити.

Ево генеричке синтаксе за додељивање дозволе корисницима.

GRANT permission ON resource TO user

Постоје следеће врсте дозвола које се могу доделити кориснику.

  1. СВЕ
  2. АЛТЕР
  3. ОВЛАШТИТИ
  4. КРЕИРАЈ
  5. КАП
  6. МОДИФИКОВАТИ
  7. СЕЛЕЦТ

Ево примера додељивања дозволе кориснику.

Create user laura with password 'newhire';grant all on dev.emp to laura;revoke all on dev.emp to laura;grant select on dev.emp to laura;

Нова корисница 'лаура' креира се са лозинком 'невхире'.

Ево примера када корисник 'лаура' покушава да приступи табели емп_бонус. Лаура има само дозволу за приступ дев.емп и нема дозволу за ову табелу дев.емп_бонус, зато је враћена грешка.

select* form emp_bonus;

Можете добити листу свих дозвола које су додељене кориснику. Ево примера добијања информација о дозволама.

list all permissions of laura;

Такође можете навести све дозволе на ресурсу. Ево примера добијања дозволе из табеле.

list all permissions on dev.emp;

Конфигурисање заштитног зида

Ако је заштитни зид покренут, следећи портови морају бити отворени за комуникацију између чворова, укључујући неке Цассандра портове. Ако се Цассандра портови не отворе, Цассандра чворови ће деловати као самостални сервер базе података уместо да се придруже кластеру базе података.

Цассандра Цлиент Портс

Број порта

Опис

9042

Цассандра Цлиент Порт

9160

Цассандра Цлиент Порт Тхрифт

Луке Цассандра Интерноде

Број порта

Опис

7000

Комуникација кластер интернодија Касандра

7001

Цассандра ССЛ интерноде кластер комуникација

7199

Цассандра ЈМКС порт за надзор

Јавне луке

Број порта

Опис

22

ССХ порт

8888

Веб локација ОпсЦентер. Хттп захтев за прегледач.

Луке Цассандра ОпсЦентер

Број порта

Опис

61620

ОпсЦентер порт за надгледање.

61621

Опсцентер агент порт

Омогућавање ЈМКС аутентификације

Са подразумеваним подешавањима Цассандре, ЈМКС-у се може приступити само са локалног хоста. Ако желите даљински да приступите ЈМКС-у, промените поставку ЛОЦАЛ_ЈМКС у Цассандра-енв.сх и омогућите потврду идентитета или ССЛ.

Након омогућавања ЈМКС аутентификације, уверите се да су ОпсЦентер и нодетоол конфигурисани да користе аутентификацију.

Процедура

Следе кораци за омогућавање ЈМКС потврде идентитета.

  1. У датотеку цассандра-енв.сх додајте или ажурирајте следеће редове.
JVM_OPTS="$JVM_OPTS -Dcom.sun.management.jmxremote.authenticate=true"JVM_OPTS="$JVM_OPTS -Dcom.sun.management.jmxremote.password.file=/etc/cassandra/jmxremote.password"

Такође, промените поставку ЛОЦАЛ_ЈМКС у Цассандра-енв.сх

LOCAL_JMX=no
  1. Копирајте јмкремоте.пассворд.темплате из / јдк_инсталл_лоцатион / либ / манагемент / у / етц / цассандра / и преименујте га у тојмкремоте.пассворд.
cp />jdk_install_dir/lib/management/jmxremote.password.template /etc/cassandra/jmxremote.password
  1. Промените власништво над јмкремоте.пассворд кориснику са којим покрећете Цассандра и промените дозволу само за читање
chown cassandra:cassandra /etc/cassandra/jmxremote.passwordchmod 400 /etc/cassandra/jmxremote.password
  1. Уредите јмкремоте.пассворд и додајте корисника и лозинку за ЈМКС компатибилне услужне програме:
monitorRole QEDcontrolRole R&Dcassandra cassandrapassword
  1. Додајте корисника Цассандре са дозволом за читање и писање на /јдк_инсталл_лоцатион/либ/манагемент/јмкремоте.аццесс
monitorRole readonlycassandra readwritecontrolRole readwrite \create javax.management.monitor.,javax.management.timer. \unregister
  1. Поново покрените Цассандра
  2. Покрените нодетоол са корисником Цассандре и лозинком.
$ nodetool status -u cassandra -pw cassandra

Резиме:

Овај водич објашњава сигурност у Цассандри и конфигурисање датотеке Цассандра.иамл за омогућавање сигурности. Поред тога, такође објашњава како се може креирати нови кориснички рачун, додељивање дозволе, конфигурисање заштитног зида итд.