Управление ролями в Ranger Admin UI
Обзор
Роль в Apache Ranger представляет собой комбинацию пользователей, групп и других ролей. Role-based авторизация поддерживается благодаря наличию ролей в Ranger.
Каждому пользователю в Ranger Admin UI присвоена одна из трех внутренних системных ролей:
-
User
— роль с базовыми правами. -
Admin
— роль со всеми привилегиями для модулей Ranger, кроме Key Manager. Однако такие пользователи могут выдать права на Key Manager сами себе. -
Auditor
— роль со всеми привилегиями для модулей Ranger.
Также существуют кастомные роли, которые создаются администраторами. Управление такими ролями, используемыми в политиках Ranger для сервисов, осуществляется в Ranger Admin UI на вкладке Settings → Users/Groups/Roles → Roles. Здесь можно настроить права для роли, а также для группы или пользователя внутри политики. Внутренние права для модулей Ranger (Settings → Permissions) не управляются кастомными ролями. Также кастомную роль нельзя присвоить пользователю в User → Profile.
Создание кастомной роли
Чтобы добавить новую кастомную роль, следуйте шагам ниже:
-
На странице Settings → Users/Groups/Roles откройте вкладку Roles и нажмите Add New Role.
Создание новой ролиСоздание новой роли -
На открывшейся странице Role Create заполните необходимые поля.
Данные о ролиДанные о роли -
Нажмите Save внизу страницы. Созданная роль появится на вкладке Roles.
Редактирование кастомной роли
Чтобы отредактировать кастомную роль, следуйте шагам ниже:
-
На странице Settings → Users/Groups/Roles откройте вкладку Roles и нажмите в столбце Role Name на имя роли, которую хотите поменять.
Редактирование ролиРедактирование роли -
На открывшейся странцие Role Edit измените необходимую информацию.
Изменение данных о ролиИзменение данных о роли -
Нажмите Save внизу страницы.
Удаление кастомной роли
Чтобы удалить кастомную роль, следуйте шагам ниже:
-
На странице Settings → Users/Groups/Roles откройте вкладку Roles и поставьте галочку возле названия роли, которую хотите удалить.
-
Нажмите .
Удаление ролиУдаление роли -
Подтвердите действие нажатием OK в появившемся окне.
Присвоение ролей
Когда LDAP-пользователи импортируются в Ranger, каждому пользователю присваивается внутренняя роль (по умолчанию — User
). Вы можете изменить роли для пользователей или групп пользователей, применив mapping-фильтр. Для этого измените содержимое файла ranger-ugsync-site.xml:
ranger.usersync.group.based.role.assignment.rules: ROLE_SYS_ADMIN:g:group_name1, group_name2
ranger.usersync.group.based.role.assignment.rules: ROLE_SYS_ADMIN:u:username1, username2
Внешняя роль | Внутренняя роль |
---|---|
ROLE_USER |
User |
ROLE_SYS_ADMIN |
Admin |
ROLE_ADMIN_AUDITOR |
Auditor |
Роли ROLE_KEY_ADMIN
и ROLE_KEY_ADMIN_AUDITOR
недоступны для присвоения и не могут быть использованы в фильтре. Пользователи и группы с недоступными ролями не будут добавлены в Ranger Admin UI.