Учетные записи, используемые в ADB

Дарья Барышева

Статья содержит полный перечень учетных записей, используемых в Arenadata DB.

Пользователи Linux

Приведенные ниже учетные записи создаются на уровне операционной системы во время установки ADB (/etc/passwd).

Учетная запись Описание Пароль по умолчанию

adcm

Учетная запись, используемая ADCM для развертывания кластеров

Не установлен

gpadmin

Учетная запись Linux, необходимая в БД ADB для старта и остановки кластеров, а также для запуска консольных утилит. У пользователя есть права superuser ко всем базам данных кластера (метод trust в файле pg_hba.conf).

Имя пользователя этой учетной записи можно изменить с помощью System user name — конфигурационного параметра сервиса ADB

Не установлен

pxf

Учетная запись для PXF. Отмечена как nologin в /etc/passwd

Не установлен

Роли Arenadata DB

Приведенные ниже учетные записи создаются в базе данных Arenadata DB во время установки (посредством вызова команд CREATE ROLE).

Учетная запись Описание Пароль по умолчанию Изменение пароля

gpadmin

Администратор кластера ADB. Эта роль имеет доступ ко всем БД ADB с правами суперпользователя

Не установлен

Выполните следующую команду в psql:

ALTER ROLE gpadmin WITH ENCRYPTED PASSWORD '<new_password>';

Нет возможности установить/сбросить пароль в ADCM

adcc

Эта роль используется для подключения из ADB Control к ADB. Доступ необходим для получения информации о топологии кластера и для отмены запросов, инициированных пользователем.

Имя пользователя может быть изменено на конфигурационной странице ADB Control при первичной установке ADB Control. Изменение в дальнейшем недоступно. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADB Control → UI component parameters → ADB user name)

Не установлен по умолчанию.

Пароль не может быть изменен при установке ADB.

Пароль хранится в pg_shadow

  1. Выполните следующую команду в psql:

    ALTER ROLE adcc WITH ENCRYPTED PASSWORD '<new_password>';

  2. Измените пароль на вкладке Configuration → Clusters в интерфейсе ADB Control. Дополнительную информацию можно получить в разделе Редактирование подключения к кластеру.

Нет возможности установить/сбросить пароль в ADCM

Учетные записи, используемые в базах данных ADB Control

Следующие учетные записи создаются в базах данных ADB Control (внешних либо внутри контейнеров) в ходе установки ADB Control.

Учетная запись Описание Пароль по умолчанию Изменение пароля

postgres

Учетная запись в базе данных PostgreSQL, используемой в ADB Control для хранения информации по запросам (см. Query DB).

Имя пользователя может быть изменено на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → Database parameters → Username либо ADB Control → External database parameters → Username для внешнего PostgreSQL)

По умолчанию 123.

Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → Database parameters → Password либо ADB Control → External database parameters → Password для внешнего PostgreSQL)

При использовании внешнего PostgreSQL изменение пароля в ADCM возможно в любое время. При использовании PostgreSQL в контейнере установка пароля возможна только при исходной установке ADB Control

default

Учетная запись в базе данных ClickHouse, используемой в ADB Control для хранения информации по метрикам (см. Metrics DB).

Имя пользователя может быть изменено на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → ADQM database parameters → Username либо ADB Control → External ADQM parameters → Username для внешнего ClickHouse)

Не установлен по умолчанию.

Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (см. ADB Control → ADQM database parameters → Password либо ADB Control → External ADQM parameters → Password для внешнего ClickHouse).

В случае установки пароль хранится в ADCM vault и в ClickHouse

При использовании внешнего ClickHouse изменение пароля в ADCM возможно в любое время. При использовании ClickHouse в контейнере установка пароля возможна только при исходной установке ADB Control

Пользователи ADB Control UI

Следующие учетные записи создаются в ходе установки ADB Control.

Учетная запись Описание Пароль по умолчанию Изменение пароля

admin

Пользователь ADB Control с правами Owner, используемый для работы с интерфейсом ADB Control

Значение по умолчанию — 1234.

При первом подключении к ADB Control необходимо изменить пароль. См. Подключение к ADB Control.

Пароль хранится в таблице adcc.user базы данных PostgreSQL (внешней либо внутри контейнера):

$ psql -d adcc
SELECT * FROM adcc.user;

Изменение пароля возможно на вкладке Users → Management в интерфейсе ADB Control. См. Редактирование данных пользователя

adcm

Сервисная учетная запись для API (скрытый администратор ADB Control UI)

Пароль может быть установлен на конфигурационной странице ADB Control в ходе установки ADB Control. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADB Control → UI component parameters → Service password).

Если пароль не заполнен в ADCM, формируется секретный пароль (общий для всех кластеров для обеспечения обратной совместимости).

Пароль хранится в зашифрованном виде в контейнере adcc_database_1:

SELECT password FROM adcc.system_user WHERE username = 'adcm';

Пароль может быть изменен на конфигурационной странице ADB Control (ADB Control → UI component parameters → Service password)

adbm

Сервисная учетная запись (скрытый администратор ADB Control UI) для API сбора информации об изменениях хранилищ и кластеров, отображаемой на странице Audit

Пароль может быть установлен на конфигурационной странице ADBM. Дополнительную информацию можно получить в статье Конфигурационные параметры (ADBM → Password for adbm system-user).

Пароль хранится в зашифрованном виде в контейнере adcc_database_1:

SELECT password FROM adcc.system_user WHERE username = 'adbm';

Пароль может быть изменен на конфигурационной странице ADBM (ADBM → Password for adbm system-user)

Пользователь ADBM API

Приведенный ниже пользователь создается в ходе установки ADBM.

Учетная запись Описание Пароль по умолчанию Изменение пароля

adcc

Пользователь, используемый для аутентификации в ADBM CLI API

Хранится как plaintext в файле /opt/adbm/auth.properties. Значение по умолчанию 1234:

user.adcc = 1234

Разрешения файла:

-rw-r--r-- 1 root root

Путем редактирования файла /opt/adbm/auth.properties. Требуется рестарт ADBM

Пользователь ADCM

Приведенный ниже пользователь создается в ходе установки ADCM.

Учетная запись Описание Пароль по умолчанию Изменение пароля

admin

Администратор ADCM

admin

После установки ADCM изменение пароля возможно в web-интерфейсе ADCM. См. Проверка web-интерфейса ADCM

Учетные записи LDAP

При использовании LDAP-аутентификации необходимо заполнить и сохранить данные административных учетных записей LDAP. Пароли хранятся в виде plaintext в специальных файлах, которые требуется защитить на уровне разрешений файловой системы.

ADB

Настройка LDAP-аутентификации в ADB выполняется в соответствии со статьей Аутентификация LDAP в ADB. Имя сервисной учетной записи LDAP и ее пароль указываются в полях SA Login и Password на конфигурационной странице ADB.

Пароль учетной записи LDAP хранится в следующем файле на координатор-хосте ADB: $COORDINATOR_DATA_DIRECTORY/pg_hba.conf.

Разрешения файла:

-rw-r----- 1 gpadmin gpadmin

Синхронизация пользователей и групп ADB с LDAP-сервером выполняется автоматически с помощью утилиты pg-ldap-sync. См. раздел Синхронизация ADB и LDAP.

ВАЖНО

После синхронизации с LDAP-сервером две локальные роли ADB по-прежнему необходимы и не могут быть заменены пользователями LDAP (см. Роли Arenadata DB):

  • gpadmin

  • gpmon

Другие пользователи (включая суперпользователей) могут контролироваться на стороне LDAP-сервера.

ADB Control

Настройка LDAP-аутентификации в ADB Control выполняется в соответствии со статьей Аутентификация с использованием LDAP. Имя сервисной учетной записи LDAP и ее пароль указываются в полях Login и Password на конфигурационной странице ADB Control.

Пароль учетной записи LDAP хранится в следующих файлах на хосте с ADB Control:

  • /opt/adcc/docker-compose.yaml. Разрешения файла:

    -rw------- 1 root root

  • /opt/adcc/adcc-ui-server-application.yml. Разрешения файла:

    -rw-r--r-- 1 root root

В случае использования LDAP-аутентификации требуется выполнить сопоставление между группами пользователей используемого LDAP-сервера и ролями в ADB Control. Управление подобными сопоставлениями осуществляется на вкладке Users → LDAP group mapping в web-интерфейсе ADB Control. См. раздел Сопоставление ролей с группами LDAP-сервера.

ВАЖНО

После назначения роли Administrator либо Owner определенным LDAP-пользователям и удаления/блокировки дефолтного локального пользователя admin (см. Пользователи ADB Control UI) весь процесс аутентификации может контролироваться на стороне LDAP-сервера.
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней