Учетные записи, используемые в ADB
Статья содержит полный перечень учетных записей, используемых в Arenadata DB.
Пользователи Linux
Приведенные ниже учетные записи создаются на уровне операционной системы во время установки ADB (/etc/passwd).
Учетная запись | Описание | Пароль по умолчанию |
---|---|---|
adcm |
Учетная запись, используемая ADCM для развертывания кластеров |
Не установлен |
gpadmin |
Учетная запись Linux, необходимая в БД ADB для старта и остановки кластеров, а также для запуска консольных утилит. У пользователя есть права superuser ко всем базам данных кластера (метод |
Не установлен |
abrt |
Учетная запись для autocoredump. Отмечена как |
Не установлен |
pxf |
Учетная запись для PXF. Отмечена как |
Не установлен |
dockerroot |
Учетная запись для Docker. Отмечена как |
Не установлен |
etcd |
Учетная запись для etcd. Ее нельзя использовать для входа в систему |
Не установлен |
diamond |
Учетная запись для Diamond. Отмечена как |
Не установлен |
Роли Arenadata DB
Приведенные ниже учетные записи создаются в базе данных Arenadata DB во время установки (посредством вызова команд CREATE ROLE
).
Учетная запись | Описание | Пароль по умолчанию | Изменение пароля |
---|---|---|---|
gpadmin |
Администратор кластера ADB. Эта роль имеет доступ ко всем БД ADB с правами суперпользователя |
Не установлен |
Выполните следующую команду в psql:
Нет возможности установить/сбросить пароль в ADCM |
gpmon |
Пользватель для gpperfmon |
Пароль хранится в файле /home/gpadmin/.pgpass |
|
adcc |
Эта роль используется для подключения из ADB Control к ADB. Доступ необходим для получения информации о топологии кластера и для отмены запросов, инициированных пользователем. Имя пользователя может быть изменено на конфигурационной странице ADB Control при первичной установке ADB Control. Изменение в дальнейшем недоступно. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADB Control → UI component parameters → ADB user name) |
Не установлен по умолчанию. Пароль не может быть изменен при установке ADB. Пароль хранится в pg_shadow |
Нет возможности установить/сбросить пароль в ADCM |
Учетные записи, используемые в базах данных ADB Control
Следующие учетные записи создаются в базах данных ADB Control (внешних либо внутри контейнеров) в ходе установки ADB Control.
Учетная запись | Описание | Пароль по умолчанию | Изменение пароля |
---|---|---|---|
postgres |
Учетная запись в базе данных PostgreSQL, используемой в ADB Control для хранения информации по запросам (см. Query DB). Имя пользователя может быть изменено на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → Database parameters → Username либо ADB Control → External database parameters → Username для внешнего PostgreSQL) |
По умолчанию Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → Database parameters → Password либо ADB Control → External database parameters → Password для внешнего PostgreSQL) |
При использовании внешнего PostgreSQL изменение пароля в ADCM возможно в любое время. При использовании PostgreSQL в контейнере установка пароля возможна только при исходной установке ADB Control |
default |
Учетная запись в базе данных ClickHouse, используемой в ADB Control для хранения информации по метрикам (см. Metrics DB). Имя пользователя может быть изменено на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → ADQM database parameters → Username либо ADB Control → External ADQM parameters → Username для внешнего ClickHouse) |
Не установлен по умолчанию. Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → ADQM database parameters → Password либо ADB Control → External ADQM parameters → Password для внешнего ClickHouse). В случае установки пароль хранится в ADCM vault и в ClickHouse |
При использовании внешнего ClickHouse изменение пароля в ADCM возможно в любое время. При использовании ClickHouse в контейнере установка пароля возможна только при исходной установке ADB Control |
Пользователи ADB Control UI
Следующие учетные записи создаются в ходе установки ADB Control.
Учетная запись | Описание | Пароль по умолчанию | Изменение пароля |
---|---|---|---|
admin |
Пользователь ADB Control с правами Owner, используемый для работы с интерфейсом ADB Control |
Значение по умолчанию — При первом подключении к ADB Control необходимо изменить пароль. См. Подключение к ADB Control. Пароль хранится в таблице
|
Изменение пароля возможно на вкладке Users → Management в интерфейсе ADB Control. См. Редактирование данных пользователя |
adcm |
Сервисная учетная запись для API (скрытый администратор ADB Control UI) |
Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADB Control → UI component parameters → Service password). Если пароль не заполнен в ADCM, формируется секретный пароль (общий для всех кластеров для обеспечения обратной совместимости). Пароль хранится в зашифрованном виде в контейнере
|
Пароль может быть изменен на конфигурационной странице ADB Control (ADB Control → UI component parameters → Service password) |
Пользователь ADBM API
Приведенный ниже пользователь создается в ходе установки ADBM.
Учетная запись | Описание | Пароль по умолчанию | Изменение пароля |
---|---|---|---|
adcc |
Пользователь, используемый для аутентификации в ADBM CLI API |
Хранится как plaintext в файле /opt/adbm/auth.properties. Значение по умолчанию user.adcc = 1234 Разрешения файла: -rw-r--r-- 1 root root |
Путем редактирования файла /opt/adbm/auth.properties. Требуется рестарт ADBM |
Пользователь системы мониторинга
Приведенный ниже пользователь создается в Grafana в ходе установки мониторинга.
Учетная запись | Описание | Пароль по умолчанию | Изменение пароля |
---|---|---|---|
admin |
Административная учетная запись Grafana, используемая для кластерного мониторинга |
Нет значения по умолчанию. Пароль должен быть установлен на конфигурационной странице Grafana в ходе установки мониторинга (Primary configuration → Configuration → Security → Password) |
Обновление пароля необходимо выполнять одновременно в Grafana Admin и ADCM:
|
Пользователь ADCM
Приведенный ниже пользователь создается в ходе устанвоки ADCM.
Учетная запись | Описание | Пароль по умолчанию | Изменение пароля |
---|---|---|---|
admin |
Администратор ADCM |
admin |
После установки ADCM изменение пароля возможно в web-интерфейсе ADCM. См. Проверка web-интерфейса ADCM |
Учетные записи LDAP
При использовании LDAP-аутентификации необходимо заполнить и сохранить данные административных учетных записей LDAP. Пароли хранятся в виде plaintext в специальных файлах, которые требуется защитить на уровне разрешений файловой системы.
ADB
Настройка LDAP-аутентификации в ADB выполняется в соответствии со статьей Аутентификация LDAP в ADB. Имя сервисной учетной записи LDAP и ее пароль указываются в полях SA Login и Password на конфигурационной странице ADB.
Пароль учетной записи LDAP хранится в следующем файле на мастер-хосте ADB: $MASTER_DATA_DIRECTORY/pg_hba.conf.
Разрешения файла:
-rw-r----- 1 gpadmin gpadmin
Синхронизация пользователей и групп ADB с LDAP-сервером выполняется автоматически с помощью утилиты pg-ldap-sync. См. раздел Синхронизация ADB и LDAP.
ВАЖНО
После синхронизации с LDAP-сервером две локальные роли ADB по-прежнему необходимы и не могут быть заменены пользователями LDAP (см. Роли Arenadata DB):
Другие пользователи (включая суперпользователей) могут контролироваться на стороне LDAP-сервера. |
ADB Control
Настройка LDAP-аутентификации в ADB Control выполняется в соответствии со статьей Аутентификация с использованием LDAP. Имя сервисной учетной записи LDAP и ее пароль указываются в полях Login и Password на конфигурационной странице ADB Control.
Пароль учетной записи LDAP хранится в следующем файле на хосте с ADB Control:
-
/opt/adcc/docker-compose.yaml
-
/opt/adcc/adcc-ui-server-application.yml
Разрешения обоих файлов:
-rw-r--r-- 1 root root
В случае использования LDAP-аутентификации требуется выполнить сопоставление между группами пользователей используемого LDAP-сервера и ролями в ADB Control. Управление подобными сопоставлениями осуществляется на вкладке Users → LDAP group mapping в web-интерфейсе ADB Control. См. раздел Сопоставление ролей с группами LDAP-сервера.
ВАЖНО
После назначения роли |