Учетные записи, используемые в ADB

Статья содержит полный перечень учетных записей, используемых в Arenadata DB.

Пользователи Linux

Приведенные ниже учетные записи создаются на уровне операционной системы во время установки ADB (/etc/passwd).

Учетная запись Описание Пароль по умолчанию

adcm

Учетная запись, используемая ADCM для развертывания кластеров

Не установлен

gpadmin

Учетная запись Linux, необходимая в БД ADB для старта и остановки кластеров, а также для запуска консольных утилит. У пользователя есть права superuser ко всем базам данных кластера (метод trust в файле pg_hba.conf)

Не установлен

abrt

Учетная запись для autocoredump. Отмечена как nologin в /etc/passwd

Не установлен

pxf

Учетная запись для PXF. Отмечена как nologin в /etc/passwd

Не установлен

dockerroot

Учетная запись для Docker. Отмечена как nologin в /etc/passwd

Не установлен

etcd

Учетная запись для etcd. Ее нельзя использовать для входа в систему

Не установлен

diamond

Учетная запись для Diamond. Отмечена как nologin в /etc/passwd

Не установлен

Роли Arenadata DB

Приведенные ниже учетные записи создаются в базе данных Arenadata DB во время установки (посредством вызова команд CREATE ROLE).

Учетная запись Описание Пароль по умолчанию Изменение пароля

gpadmin

Администратор кластера ADB. Эта роль имеет доступ ко всем БД ADB с правами суперпользователя

Не установлен

Выполните следующую команду в psql:

ALTER ROLE gpadmin WITH ENCRYPTED PASSWORD '<new_password>';

Нет возможности установить/сбросить пароль в ADCM

gpmon

Пользватель для gpperfmon

!QAZ1qaz

Пароль хранится в файле /home/gpadmin/.pgpass

  1. Выполните следующую команду в psql:

    ALTER ROLE gpmon WITH ENCRYPTED PASSWORD '<new_password>';
  2. Обновите файл /home/gpadmin/.pgpass.

adcc

Эта роль используется для подключения из ADB Control к ADB. Доступ необходим для получения информации о топологии кластера и для отмены запросов, инициированных пользователем.

Имя пользователя может быть изменено на конфигурационной странице ADB Control при первичной установке ADB Control. Изменение в дальнейшем недоступно. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADB Control → UI component parameters → ADB user name)

Не установлен по умолчанию.

Пароль не может быть изменен при установке ADB.

Пароль хранится в pg_shadow

  1. Выполните следующую команду в psql:

    ALTER ROLE adcc WITH ENCRYPTED PASSWORD '<new_password>';
  2. Измените пароль на вкладке Configuration → Clusters в интерфейсе ADB Control. Дополнительную информацию можно получить в разделе Редактирование подключения к кластеру.

Нет возможности установить/сбросить пароль в ADCM

Учетные записи, используемые в базах данных ADB Control

Следующие учетные записи создаются в базах данных ADB Control (внешних либо внутри контейнеров) в ходе установки ADB Control.

Учетная запись Описание Пароль по умолчанию Изменение пароля

postgres

Учетная запись в базе данных PostgreSQL, используемой в ADB Control для хранения информации по запросам (см. Query DB).

Имя пользователя может быть изменено на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → Database parameters → Username либо ADB Control → External database parameters → Username для внешнего PostgreSQL)

По умолчанию 123.

Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → Database parameters → Password либо ADB Control → External database parameters → Password для внешнего PostgreSQL)

При использовании внешнего PostgreSQL изменение пароля в ADCM возможно в любое время. При использовании PostgreSQL в контейнере установка пароля возможна только при исходной установке ADB Control

default

Учетная запись в базе данных ClickHouse, используемой в ADB Control для хранения информации по метрикам (см. Metrics DB).

Имя пользователя может быть изменено на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → ADQM database parameters → Username либо ADB Control → External ADQM parameters → Username для внешнего ClickHouse)

Не установлен по умолчанию.

Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → ADQM database parameters → Password либо ADB Control → External ADQM parameters → Password для внешнего ClickHouse).

В случае установки пароль хранится в ADCM vault и в ClickHouse

При использовании внешнего ClickHouse изменение пароля в ADCM возможно в любое время. При использовании ClickHouse в контейнере установка пароля возможна только при исходной установке ADB Control

Пользователи ADB Control UI

Следующие учетные записи создаются в ходе установки ADB Control.

Учетная запись Описание Пароль по умолчанию Изменение пароля

admin

Пользователь ADB Control с правами Owner, используемый для работы с интерфейсом ADB Control

Значение по умолчанию — 1234.

При первом подключении к ADB Control необходимо изменить пароль. См. Подключение к ADB Control.

Пароль хранится в таблице adcc.user базы данных PostgreSQL (внешней либо внутри контейнера):

$ psql -d adcc
SELECT * FROM adcc.user;

Изменение пароля возможно на вкладке Users → Management в интерфейсе ADB Control. См. Редактирование данных пользователя

adcm

Сервисная учетная запись для API (скрытый администратор ADB Control UI)

Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADB Control → UI component parameters → Service password).

Если пароль не заполнен в ADCM, формируется секретный пароль (общий для всех кластеров для обеспечения обратной совместимости).

Пароль хранится в зашифрованном виде в контейнере adcc_database_1:

SELECT password FROM adcc.system_user;

Пароль может быть изменен на конфигурационной странице ADB Control (ADB Control → UI component parameters → Service password)

Пользователь ADBM API

Приведенный ниже пользователь создается в ходе установки ADBM.

Учетная запись Описание Пароль по умолчанию Изменение пароля

adcc

Пользователь, используемый для аутентификации в ADBM CLI API

Хранится как plaintext в файле /opt/adbm/auth.properties. Значение по умолчанию 1234:

user.adcc = 1234

Разрешения файла:

-rw-r--r-- 1 root root

Путем редактирования файла /opt/adbm/auth.properties. Требуется рестарт ADBM

Пользователь системы мониторинга

Приведенный ниже пользователь создается в Grafana в ходе установки мониторинга.

Учетная запись Описание Пароль по умолчанию Изменение пароля

admin

Административная учетная запись Grafana, используемая для кластерного мониторинга

Нет значения по умолчанию. Пароль должен быть установлен на конфигурационной странице Grafana в ходе установки мониторинга (Primary configuration → Configuration → Security → Password)

Обновление пароля необходимо выполнять одновременно в Grafana Admin и ADCM:

  1. Измените пароль на конфигурационной странице Grafana (Primary configuration → Configuration → Security → Password).

  2. Примените действие Reconfigure к сервису Grafana.

  3. Измените пароль в Grafana Admin по следующей ссылке: <grafana_host>:<grafana_port>/profile.

Пользователь ADCM

Приведенный ниже пользователь создается в ходе устанвоки ADCM.

Учетная запись Описание Пароль по умолчанию Изменение пароля

admin

Администратор ADCM

admin

После установки ADCM изменение пароля возможно в web-интерфейсе ADCM. См. Проверка web-интерфейса ADCM

Учетные записи LDAP

При использовании LDAP-аутентификации необходимо заполнить и сохранить данные административных учетных записей LDAP. Пароли хранятся в виде plaintext в специальных файлах, которые требуется защитить на уровне разрешений файловой системы.

ADB

Настройка LDAP-аутентификации в ADB выполняется в соответствии со статьей Аутентификация LDAP в ADB. Имя сервисной учетной записи LDAP и ее пароль указываются в полях SA Login и Password на конфигурационной странице ADB.

Пароль учетной записи LDAP хранится в следующем файле на мастер-хосте ADB: $MASTER_DATA_DIRECTORY/pg_hba.conf.

Разрешения файла:

-rw-r----- 1 gpadmin gpadmin

Синхронизация пользователей и групп ADB с LDAP-сервером выполняется автоматически с помощью утилиты pg-ldap-sync. См. раздел Синхронизация ADB и LDAP.

ВАЖНО

После синхронизации с LDAP-сервером две локальные роли ADB по-прежнему необходимы и не могут быть заменены пользователями LDAP (см. Роли Arenadata DB):

  • gpadmin

  • gpmon

Другие пользователи (включая суперпользователей) могут контролироваться на стороне LDAP-сервера.

ADB Control

Настройка LDAP-аутентификации в ADB Control выполняется в соответствии со статьей Аутентификация с использованием LDAP. Имя сервисной учетной записи LDAP и ее пароль указываются в полях Login и Password на конфигурационной странице ADB Control.

Пароль учетной записи LDAP хранится в следующем файле на хосте с ADB Control:

  • /opt/adcc/docker-compose.yaml

  • /opt/adcc/adcc-ui-server-application.yml

Разрешения обоих файлов:

-rw-r--r--  1 root root

В случае использования LDAP-аутентификации требуется выполнить сопоставление между группами пользователей используемого LDAP-сервера и ролями в ADB Control. Управление подобными сопоставлениями осуществляется на вкладке Users → LDAP group mapping в web-интерфейсе ADB Control. См. раздел Сопоставление ролей с группами LDAP-сервера.

ВАЖНО

После назначения роли Administrator либо Owner определенным LDAP-пользователям и удаления/блокировки дефолтного локального пользователя admin (см. Пользователи ADB Control UI) весь процесс аутентификации может контролироваться на стороне LDAP-сервера.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней