Авторизация

Дарья Барышева

Роли и уровни доступа

Авторизация в ADB Control осуществляется на основе ролей (Role Based Access Control, RBAC). Этот механизм предполагает управление доступом к различным функциям системы в зависимости от назначенной каждому пользователю роли.

В ADB Control поддерживаются следующие типы ролей:

  • Owner — владелец системы.

  • Administrator — администратор.

  • Advanced User — пользователь с расширенными правами на доступ к определенным БД.

  • Regular User — обычный пользователь.

ПРИМЕЧАНИЕ

Для пользователей с ролью Regular User логин ассоциируется с именем роли (ROLE) в ADB на основании полного совпадения — за счет этого пользователям предоставляются права на работу с определенными запросами и транзакциями на странице Monitoring.

В таблице ниже представлено распределение прав доступа между приведенными выше ролями.

Права доступа в ADB Control
Право Описание Regular User Advanced User Administrator Owner

View self queries

Просмотр собственных транзакций и команд, а также детальной информации по ним. Имеются в виду транзакции и запросы, запущенные в ADB под ролью, имя которой совпадает с именем пользователя в ADB Control или принадлежит группе LDAP, для которой настроено сопоставление в ADB Control

Да

Да

Да

Да

Kill self queries

Завершение и отмена собственных транзакций и команд. Имеются в виду транзакции и запросы, запущенные в ADB под ролью, имя которой совпадает с именем пользователя в ADB Control или принадлежит группе LDAP, для которой настроено сопоставление в ADB Control

Да

Да

Да

Да

View some queries

Просмотр транзакций и команд, на доступ к которым пользователь имеет соответствующие права (включая детальную информацию)

Нет

Да

Да

Да

Kill some queries

Завершение и отмена транзакций, на доступ к которым пользователь имеет соответствующие права

Нет

Да

Да

Да

View all queries

Просмотр всех транзакций и команд (включая детальную информацию)

Нет

Нет

Да

Да

Kill all queries

Завершение и отмена всех транзакций

Нет

Нет

Да

Да

View resource groups

Просмотр всех ресурсных групп (включая детальную информацию)

Нет

Нет

Да

Да

Change resource group configuration

Возможность изменения конфигурации ресурсных групп

Нет

Нет

Да

Да

View relation audit page

Доступ к странице Audit → Relations, где отображается статистика по количеству обращений к отношениям (relations) ADB

Нет

Нет

Да

Да

View secured relation audit

Просмотр в отдельном модальном окне таблицы с дополнительной (защищенной) информацией по аудиту обращений к отношениям (relations) ADB

Нет

Нет

Да

Да

View Operations audit page

Доступ к странице Audit → Operations, где отображается статистика по запускам пользователями различных операций в ADB Control

Нет

Нет

Да

Да

View Authorization audit page

Доступ к странице Audit → Authorizations, где отображается статистика по входам пользователей в ADB Control/ADB

Нет

Нет

Да

Да

View ADB jobs

Доступ к странице Jobs → ADB Control, где отображается информация о запланированных (Schedule) и выполненных (Audit) в ADB Control системных задачах

Нет

Нет

Да

Да

View backup manager jobs

Доступ к странице Jobs → Backup Manager, где отображается информация о запланированных (Schedule) и выполненных (Audit) в ADB Backup Manager системных задачах

Нет

Нет

Да

Да

View backup manager page

Доступ к странице Backup Manager с возможностью просмотра информации о кластерах, действиях, бэкапах и восстановлениях

Нет

Нет

Да

Да

Run backup manager actions

Возможность запуска действий в ADB Backup Manager

Нет

Нет

Да

Да

Create backup manager configuration

Возможность создания и редактирования конфигурации в ADB Backup Manager

Нет

Нет

Да

Да

View ADB information page

Доступ к странице Information → ADB Control, где отображается актуальная информация о статусе компонентов ADB Control

Нет

Нет

Да

Да

View backup manager information page

Доступ к странице Information → Backup Manager, где отображается актуальная информация о статусе компонентов ADB Backup Manager

Нет

Нет

Да

Да

View configuration page

Доступ к странице Configuration с возможностью управления кластерами, а также настройки политик для jobs (задач по расписанию) и политик безопасности

Нет

Нет

Нет

Да

View users page

Доступ к странице Users с возможностью управления пользователями (создание, редактирование, блокировка, удаление), сопоставлений ролей с группами на LDAP-сервере и настройки расширенных прав

Нет

Нет

Нет

Да

View sessions

Доступ к функционалу страницы Monitoring → Sessions

Нет

Нет

Да

Да

Manage user sessions

Возможность прерывать сессии пользователей ADB Control на странице Users → Active sessions

Нет

Нет

Да

Да

Сопоставление ролей с группами LDAP-сервера

При использовании базовой аутентификации роли назначаются пользователям непосредственно при их создании. Однако, если в ADB Control настроена LDAP-аутентификация, требуется выполнить сопоставление между группами пользователей используемого LDAP-сервера и ролями в ADB Control. Это необходимо, чтобы пользователям были назначены соответствующие разрешения в системе мониторинга.

Управление подобными сопоставлениями осуществляется на вкладке Users → LDAP group mapping в web-интерфейсе ADB Control.

adbc ldap3 dark
Вкладка LDAP group mapping на странице Users
adbc ldap3 light
Вкладка LDAP group mapping на странице Users

Добавление сопоставления

Для добавления нового сопоставления выполните следующие шаги:

  1. Нажмите кнопку Create new mapping на вкладке Users → LDAP group mapping.

    adbc ldap2 dark
    Переход к добавлению сопоставления
    adbc ldap2 light
    Переход к добавлению сопоставления

  2. В открывшемся окне заполните следующие поля:

    • Group — название группы пользователей на LDAP-сервере. Выпадающий список с названиями групп становится доступен после успешной настройки LDAP-аутентификации.

    • Role — роль в ADB Control.

      ВАЖНО

      Каждой группе пользователей LDAP-сервера может быть сопоставлена только одна роль в ADB Control.
      adbc ldap4 dark
      Ввод данных
      adbc ldap4 light
      Ввод данных

  3. Нажмите кнопку Save. В результате добавленное сопоставление отображается на вкладке Users → LDAP group mapping.

    adbc ldap5 dark
    Сопоставление добавлено
    adbc ldap5 light
    Сопоставление добавлено

Редактирование сопоставления

Для редактирования ранее созданного сопоставления выполните следующие шаги:

  1. Нажмите на иконку edit dark edit light в столбце Actions на вкладке Users → LDAP group mapping.

    adbc ldap6 dark
    Переход к редактированию
    adbc ldap6 light
    Переход к редактированию

  2. В открывшемся окне отредактируйте необходимые данные. Состав полей и порядок их заполнения аналогичен описанному выше. Значение поля Group не редактируется.

    adbc ldap7 dark
    Редактирование сопоставления
    adbc ldap7 light
    Редактирование сопоставления

  3. Нажмите кнопку Save. В результате информация о сопоставлении обновляется на вкладке Users → LDAP group mapping.

    adbc ldap8 dark
    Сопоставление обновлено
    adbc ldap8 light
    Сопоставление обновлено

Удаление сопоставления

Для удаления ранее созданного сопоставления выполните следующие шаги:

  1. Нажмите на иконку delete dark delete light в столбце Actions на вкладке Users → LDAP group mapping.

    adbc ldap9 dark
    Переход к удалению
    adbc ldap9 light
    Переход к удалению

  2. Подтвердите операцию удаления в открывшемся окне, нажав на кнопку Delete.

    adbc ldap10 dark
    Подтверждение удаления
    adbc ldap10 light
    Подтверждение удаления

    В результате данные о сопоставлении удаляются с вкладки Users → LDAP group mapping.

    adbc ldap11 dark
    Сопоставление удалено
    adbc ldap11 light
    Сопоставление удалено

Актуализация имен LDAP-групп

ПРИМЕЧАНИЕ

Актуализация имен LDAP-групп выполняется автоматически при каждом запуске ADB Control, если настроена LDAP-аутентификация. Описанный ниже функционал предназначен для актуализации по запросу.

Начиная с версии ADB Control 4.7.5 на странице Users → LDAP group mapping доступна актуализизация имен LDAP-групп в ранее добавленных сопоставлениях путем синхронизации с LDAP-сервером. Для запуска актуализации:

  1. Убедитесь, что LDAP-аутентификация ADB Control успешно настроена и на странице Users → LDAP group mapping присутствуют созданные сопоставления ролей ADB Control с группами LDAP.

  2. Нажмите на кнопку Actualise.

    Переход к актуализации групп LDAP
    Переход к актуализации групп LDAP
    Переход к актуализации групп LDAP
    Переход к актуализации групп LDAP

  3. Ознакомьтесь с информацией в открывщемся окне и подтвердите действие путем нажатия Actualise.

    Подтверждение действия
    Подтверждение действия
    Подтверждение действия
    Подтверждение действия

Назначение расширенных прав на доступ к БД

Пользователям с ролью Advanced User могут быть предоставлены права на расширенный доступ к определенным базам данных ADB. Обладая такими правами, пользователи могут просматривать все транзакции и команды, запущенные в соответствующих БД (независимо от того, кто их запустил), а также, при необходимости, прерывать либо отменять их (см. права View some queries и Kill some queries в таблице выше).

Управление подобными разрешениями производится на вкладке Users → Access в web-интерфейсе ADB Control.

adbc access dark
Вкладка Access на странице Users
adbc access light
Вкладка Access на странице Users

Добавление разрешения

Для добавления нового разрешения выполните следующие шаги:

  1. Нажмите кнопку Permit access на вкладке Users → Access.

    adbc access2 dark
    Переход к добавлению разрешения
    adbc access2 light
    Переход к добавлению разрешения

  2. В открывшемся окне заполните следующую информацию:

    • В поле Username укажите одного или нескольких пользователей. Выбор каждого пользователя осуществляется путем ввода его имени и дальнейшего нажатия кнопки +. После этого список пользователей отображается под полем Username — при необходимости ошибочные записи можно удалить.

      adbc access3 dark
      Ввод пользователей
      adbc access3 light
      Ввод пользователей

    • В секции Clusters отметьте те кластеры ADB и базы данных в них, доступ к которым должен быть у добавленных на предыдущем шаге пользователей. Для выбора всех кластеров со всеми БД следует установить флаг Select all (установлен по умолчанию).

      adbc access4 dark
      Выбор кластеров и баз данных
      adbc access4 light
      Выбор кластеров и баз данных

  3. Нажмите кнопку Save. В результате добавленное разрешение отображается на вкладке Users → Access.

    adbc access5 dark
    Разрешение добавлено
    adbc access5 light
    Разрешение добавлено

Редактирование разрешения

Для редактирования ранее созданного разрешения выполните следующие шаги:

  1. Нажмите на иконку edit dark edit light в столбце Actions на вкладке Users → Access.

    adbc access6 dark
    Переход к редактированию
    adbc access6 light
    Переход к редактированию

  2. В открывшемся окне отредактируйте необходимые данные. Состав полей и порядок их заполнения аналогичен описанному выше. Значение поля Username не редактируется.

    adbc access7 dark
    Редактирование разрешения
    adbc access7 light
    Редактирование разрешения

  3. Нажмите кнопку Save. В результате информация о разрешении обновляется на вкладке Users → Access.

    adbc access8 dark
    Разрешение обновлено
    adbc access8 light
    Разрешение обновлено

Удаления разрешения

Для удаления ранее созданного разрешения выполните следующие шаги:

  1. Нажмите на иконку delete dark delete light в столбце Actions на вкладке Users → Access.

    adbc access9 dark
    Переход к удалению
    adbc access9 light
    Переход к удалению

  2. Подтвердите операцию удаления в открывшемся окне, нажав на кнопку Delete.

    adbc access10 dark
    Подтверждение удаления
    adbc access10 light
    Подтверждение удаления

    В результате данные о разрешении удаляются с вкладки Users → Access.

    adbc access11 dark
    Разрешение удалено
    adbc access11 light
    Разрешение удалено
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней