EMR 用户信息存储在集群 OpenLDAP 中,EMR 用户可以用于访问组件 、WebUI,也可以在开启组件 LDAP 认证之后进行身份认证。如果将 Ranger 的用户源设置为 LDAP,则可以对用户管理中的用户进行权限控制;控制台提供用户和用户组管控模块,本文为您介绍通过控制台管理集群用户和用户组操作。
说明:
1. EMR 在集群内部使用 OpenLDAP 组件对用户、用户组进行管理;故含 OpenLDAP 组件集群类型支持用户管理。
2. 用户列表仅展示通过用户管理添加的用户信息,未通过控制台添加的用户不显示。所有用户支持 LDAP 认证。StarRocks 集群中的 root、hadoop 及 emr_admin 用户保留原有认证方式。
3. 用户和用户组相关操作均可通过任务中心和操作日志查看变更流程和操作记录。
用户
用户列表仅展示通过用户管理添加的用户信息,未通过控制台添加的用户不显示;EMR 集群中的用户分为系统用户和自定义用户两类:
系统用户:是集群在创建化过程默认生成的用户,该类用户不支持编辑和删除、重置密码等操作。
自定义用户:是您在用户管理模块通过同步 CAM 用户和手动创建向集群中添加的用户,该类用户支持重置密码、编辑、删除、下载 keytab 等操作。
注意:
系统用户由 root 和 hadoop 用户组成;StarRocks 集群中新增 emr_admin 用户为系统用户。
删除用户、重置密码可能导致正在运行的任务失败,需谨慎操作。
所有用户支持 LDAP 认证;StarRocks 集群中的 root、hadoop 及 emr_admin 用户保留原有认证方式。
用户管理中非 root 系统用户和新增用户均不会向 Linux 设置密码,此时用户为“空密码”状态,直接导致 SSH 密码登录不可用。若需允许登录,需通过 root 账号登录节点,使用命令 passwd 设置密码或配置 SSH 密钥认证。
用户名校验唯一性时,字母不区分大小写(例如,AA、aa、aA、Aa 视为相同);不支持创建系统用户。
新增用户
新增用户方式有两种:从 CAM 侧批量导入和手动创建。
CAM 侧导入
1. 登录 弹性 MapReduce 控制台,在集群列表中单击集群 ID/名称进入集群详情页。
2. 在左侧导航栏,单击用户管理,进入用户管理页面。
3. 单击同步CAM用户,在弹窗页面选择需要导入的用户列表,并完善相关信息。
字段 | 必选项 | 说明 |
用户 | 是 | 选择本次需要同步的 CAM 用户,支持批量选择并同步,支持用户名检索。 |
用户主组 | 是 | 仅 EMR on CVM 版本需设置用户主组,且为 Linux 用户主组,支持用户名检索。 |
用户组 | 是 | 1. EMR on CVM 版本中非必选,可以关联范围0-2000个用户组,通过关键字进行检索。 2. EMR on TKE 版本中必选,可以关联范围1-2000个用户组,通过关键字进行检索。 注意:单次添加与编辑上限均为50。 |
备注 | 否 | 自定义备注信息。 |
密码 | 是 | 长度限制为8-30个字符,只允许包含字母、数字、-、_、!、@、#、$、%且只能以_、字母、数字开头。 |
确认密码 | 是 | 需要与第一次输入的密码保持一致。 |
注意:
CAM 用户命名不满足用户管理命名规则的用户,不支持同步到用户管理;同一 CAM 用户仅同步一次,不支持重复同步。
CAM 控制台删除用户,用户管理将不会同步删除,若需同步删除,需在 EMR 控制用户管理中进行删除操作。
同批次同步 CAM 用户初始密码一致。
手动创建
1. 登录 弹性 MapReduce 控制台,在集群列表中单击集群 ID/名称进入集群详情页。
2. 在左侧导航栏,单击用户管理,进入用户管理页面。
3. 单击新建用户,在弹窗页面设置用户信息。
字段 | 必选项 | 说明 |
用户 | 是 | 自定义用户名称。 1. EMR on CVM 版本:长度限制为1-30个字符,只允许包含字母、数字、_、-、不支持全数字、不能以-开头。 2. EMR on TKE 版本:长度限制为1-30个字符,只允许包含字母、数字、-、_,不支持全数字,不能以-、_开头。 |
用户主组 | 是 | 仅 EMR on CVM 版本需设置用户主组,且为 Linux 用户主组,支持支持用户名检索。 |
用户组 | 是 | 1. EMR on CVM 版本中非必选,可以关联范围0-2000个用户组,通过关键字进行检索。 2. EMR on TKE 版本中必选,可以关联范围1-2000个用户组,通过关键字进行检索。 注意:单次添加与编辑上限均为50。 |
备注 | 否 | 自定义备注信息。 |
密码 | 是 | 长度限制为8-30个字符,只允许包含字母、数字、-、_、!、@、#、$、%且只能以_、字母、数字开头。 |
确认密码 | 是 | 需要与第一次输入的密码保持一致。 |
新建用户支持自动同步到 Ranger,默认同步频率为1分钟。如需调整同步频率,可进入 Ranger 配置管理页修改。ranger.usersync.sleeptimeinmillisbetweensynccycle 参数并进行配置下发。
注意:
2023年7月1日前创建的集群,需要手动触发 ranger-ugsync-site.xml 的配置下发,并重启 EnableUnixAuth 服务,用户同步才能生效。您可进入 Ranger 配置管理页,选择 ranger-ugsync-site.xml 配置文件并执行配置下发操作,然后重启服务即可。
编辑用户
在用户列表页面选择需要编辑的用户,单击在右侧操作中的编辑,可弹窗更改当前用户所属用户主组、用户组、备注信息。
重置密码
在用户管理列表页面单击需要修改密码的用户的右侧操作中的重置密码,输入和确认新密码后单击确定即可完成重置。
说明:
修改 LDAP 管理员密码:
1.1 在用户管理单击更多操作,选择“修改Open LDAP管理员密码”,即可修改。
1.2 完成Open LDAP管理员密码修改后,需完成如下步骤:
1.2.1 集群服务 > RANGER > 配置管理,修改ranger-ugsync-site.xml中的ranger.usersync.ldap.ldapbindpassword 配置项,将值改成新密码。
1.2.2 重启 EnableUnixAuth。
修改 Root 用户密码:
因为 Ranger 是自己管理的密码,存储在数据库中,使用它的 changepasswordutil.py 脚本无法更新密码,因为 Root 在 x_portal_user 中的 user_src 为1,表示是外部客户,不会修改密码,需手动修改数据库,步骤如下:
查看 ranger-admin-site.xml 的配置 ranger.jpa.jdbc.url,假设值是 dbc:mysql://IP:3306/ranger。
连接 mysql: mysql -h IP -uroot -P3306 -Dranger -p,输入集群密码。
假设 root 的新密码是 aaa,则需要获取 aaa{root}的md5值,即密码{用户名}的md5值;可以使用命令获取md5值:java -jar /usr/local/service/ranger/ews/lib/crypto-util-*.jar md5 'root' 'aaa'(aaa是新密码)。
可以使用命令获取md5值:java -jar /usr/local/service/ranger/ews/lib/crypto-util-*.jar md5 'root' 'aaa'(aaa是新密码)。
update x_portal_user set password='md5值' where login_id='root' limit 1。
重启 ranger 的 EmbeddedServer 服务;若登录 WebUI 出现了 The account is locked,需要新增 ranger.admin.login.autolock.enabled false 配置。
下载 Keytab
仅 Kerberos 集群支持在用户管理列表页面选择需要下载 Keytab 的用户,单击下载 Keytab 即可。
删除用户
控制台支持单个用户删除及批量删除用户,删除用户时默认删除用户岁数的 home 目录,若需保留请去掉选择。
1. 单用户删除:在用户列表页面单击需要删除的用户的右侧操作中的删除,单击确认删除,即可完成删除。
2. 批量删除用户:批量勾选需要删除的用户,在更多操作中下拉选择批量删除,即可完成删除。
警告:
删除操作为不可逆操作,若您希望删除某个用户,请提前将该用户的作业和数据权限移交给其他用户。如果一些作业和数据仅该用户具备权限,则删除用户后会导致相关作业无法操作。请谨慎评估删除用户的影响,确保不会对您的业务造成损失。
用户组
用户组列表仅展示通过用户组管理添加的用户组信息,未通过控制台添加的用户组不显示;EMR 集群中的用户组分为系统用户组和自定义用户组两类:
系统用户组:是集群在创建化过程默认生成的用户组,该类用户组不支持删除。
自定义用户组:是您在用户组管理模块手动创建的用户组,该类用户支持编辑、删除等操作。
新增用户组
1. 登录 弹性 MapReduce 控制台,在集群列表中单击集群 ID/名称进入集群详情页。
2. 在左侧导航栏,单击用户管理,选择进入用户组管理页面。
3. 单击高亮按钮“新增用户组”,在弹窗页面设置用户组信息。
字段 | 必选项 | 说明 |
用户组名 | 是 | 自定义用户组名称。 1. EMR on CVM 版本:长度限制为1-30个字符,只允许包含字母、数字、_、-、不支持全数字、不能以-开头。 2. EMR on TKE 版本:长度限制为1-30个字符,只允许包含字母、数字、-、_,不支持全数字,不能以-、_开头。 |
用户 | 否 | 选择为当前用户组关联用户,可通过用户名进行检索。 |
备注 | 否 | 自定义备注信息。 |
注意:
用户组命名规则校验唯一性时,字母不区分大小写(例如,AA、aa、aA、Aa视为相同);不支持创建系统用户组。
系统用户不支持更换组。
删除用户组
控制台支持单个用户组删除及批量删除用户组,仅支持用户组下无关联用户的用户组删除。
1. 单用户组删除:在用户组列表页面单击需要删除的用户的右侧操作中的删除,单击确认删除,即可完成删除。
2. 批量删除用户组:批量勾选需要删除的用户组,在更多操作中下拉选择批量删除,即可完成删除。
编辑用户组
控制台支持单个用户编辑及批量编辑组备注。
1. 单用户组编辑:在用户组列表页面单击需要编辑的用户的右侧操作中的编辑,可对该用户组的用户、备注信息进行编辑。
2. 批量编辑用户组:批量勾选需要编辑的用户,在更多操作中下拉选择批量备注,即可批量更新用户组备注信息。
