这是本节的多页打印视图。 点击此处打印.

返回本页常规视图.

管理控制台 (Management Console) 中的用户

与您在 Vertica 数据库中创建并通过 SQL 语句向其授予权限和角色的数据库用户不同,MC 用户是在管理控制台 (Management Console) 界面上创建的。MC 用户对数据库而言是外部用户。他们的信息存储在 MC 应用程序/Web 服务器上的内部数据库中。他们对 MC 以及 MC 管理的数据库的访问权限由权限组(也称为访问级别)控制。MC 用户不是系统 (Linux) 用户;他们是 MC 内部数据库中的条目。

权限组类型

MC 上有两种类型的权限组,分别适用于 MC 配置以及数据库访问权限:

  • MC 配置权限包括用于控制哪些用户可以在管理控制台上进行配置(例如,修改 MC 设置、创建和导入 Vertica 数据库、重新启动 MC、通过 MC 界面创建 Vertica 群集,以及创建和管理 MC 用户)的角色。

  • MC 数据库权限包括用于控制哪些用户可以查看或对由 MC 监控的 Vertica 数据库执行操作(例如,查看数据库群集状态、查询和会话活动,监控数据库消息和读取日志文件,更换群集节点和停止数据库)的角色。

如果正在使用 MC,您可能想让组织中的一个或多个用户可以配置和管理 MC,而让其他用户只具有数据库访问权限。要符合这些要求,您可以创建 MC 用户,并为其授予每个权限组中的角色。有关详细信息,请参阅创建 MC 用户

MC 用户类型

下表描述了 MC 上的五种基于角色的用户类型:

有关每个角色的详细信息,请参阅配置权限

您可以在 MC 设置 (MC Settings) 页面的用户管理 (User management) 选项卡中创建用户并向其授予权限(通过角色)。

创建用户并选择身份验证方法

您可以在 MC 设置 (MC Settings) 页面创建用户并向其授予权限(通过角色)。您还可以选择如何在他们访问 MC 时进行身份验证。

  • 要添加由 MC 进行身份验证的用户,请单击用户管理 (User Management)
  • 要添加通过组织的 LDAP 存储库进行身份验证的用户,请单击身份验证 (Authentication)

MC 仅支持一种身份验证方法,所以如果您选择了 MC,所有 MC 用户都将使用他们的 MC 登录凭据进行身份验证。

默认 MC 用户

MC 超级帐户是唯一的默认用户。超级帐户或其他 MC 管理员必须负责创建所有其他 MC 用户。

另请参阅

1 - 创建 MC 用户

MC 为 MC 用户提供了两个身份验证架构:LDAP 或 MC(内部)。您在配置 MC 时选择的方法将成为 MC 对所有 MC 用户进行身份验证时使用的方法。您无法通过 LDAP 对一些 MC 用户进行身份验证,再通过 MC 用数据库中的凭据对另一些 MC 用户进行身份验证。

  • **MC(内部)身份验证。**内部用户身份验证仅限于 MC 自身。您需要使用用户名和密码组合创建用户。此方法会将 MC 用户信息存储在 MC 应用程序/Web 服务器上的内部数据库中,并对密码进行加密。请注意,这些 MC 用户不是系统 (Linux) 用户;他们是 MC 内部数据库中的条目。

  • **LDAP 身份验证。**所有 MC 用户都根据搜索条件通过组织的 LDAP 存储库进行身份验证,但 MC 超级管理员除外,后者是一个 Linux 帐户。MC 仅将 LDAP 的信息用于身份验证目的,而且不会修改 LDAP 信息。同时,MC 不会存储 LDAP 密码,而是将密码传递给 LDAP 服务器以进行身份验证。

此主题包含了创建新的 MC 用户的说明。

  • 如果您选择 MC 身份验证,请遵守创建由 MC 进行身份验证的新用户 一节中的说明。

  • 如果您选择 LDAP 身份验证,请遵守根据 LDAP 创建新用户 一节中的说明。

有关详细信息,请参阅配置管理控制台管理控制台 (Management Console) 中的用户LDAP 身份验证

先决条件

在创建 MC 用户之前,请确保:

  • 您已直接在服务器上或通过 MC 界面创建了数据库,或者将现有数据库群集导入到 MC 界面。请参阅管理数据库群集

  • 您已在服务器上创建了数据库用户帐户(源用户),该帐户具有您想映射到新的(目标)MC 用户的权限和/或角色。请参阅创建数据库用户

  • 您了解您要向新的 MC 用户授予哪些 MC 权限。请参阅用户、角色和权限

  • 您会将 MC 用户映射到分配有 sysmonitor 权限的 Vertica 数据库用户,或映射到 Vertica 数据库超级用户。如果没有 sysmonitor(或超级用户)权限,映射的 MC 用户将无法查看 MC 监控表中的信息,也无法加载 Kafka 流式传输数据。

如果尚未满足前两个先决条件,您仍然可以创建新的 MC 用户,只是不能将其映射到数据库,直至数据库和目标数据库用户都存在。要在以后向 MC 用户授予数据库访问权限,请参阅向 MC 用户授予数据库访问权限

创建由 MC 进行身份验证的新用户

  1. 以管理员身份登录到 MC,然后导航到** MC 设置 (MC Settings) > 用户管理 (User management)**。

  2. 单击添加

  3. 输入 MC 用户名。

  4. 单击编辑密码 (Edit password),让 MC 生成或创建一个密码。如果 LDAP 已经经过配置,MC 密码字段将不会出现。

  5. 您也可输入用户的电子邮件地址。

  6. 选择 MC 配置权限 (MC configuration permissions) 级别。请参阅配置权限。您在此字段中选择的值也会填充在相应的用户 API 密钥 (User API Key) 中。

  7. 单击数据库访问级别区域 (DB access levels section) 旁边的添加 (Add) 来向此用户授予数据库权限。

    1. **选择数据库。**从 MC 发现的列表中选择数据库(在 MC 界面上创建的或导入到该界面的数据库)。

    2. **数据库用户名。**输入现有的数据库用户名,或者,如果数据库正在运行,则单击省略号 [...] 览数据库用户的列表,然后从列表中选择一个名称。

    3. **数据库密码。**输入数据库用户帐户的密码(不是此用户名的密码)。

    4. **受限制的访问。**为此用户选择数据库级别(ADMIN、IT 或 USER)。

    5. 单击确定 (OK) 关闭添加权限 (Add permissions) 对话框。

    6. 如果 Vertica 数据库配置为需要 TLS,请在使用 TLS 连接 下拉列表中选择。您可以通过 MC 启动证书向导来配置 TLS。请参阅 完成 MC 证书向导。

  8. 将用户的状态 (Status) 保持为已启用(默认)。如果您需要阻止此用户访问 MC,请选择已禁用。

  9. 单击添加用户 (Add User) 结束操作。

创建通过 LDAP 进行身份验证的新用户

在 MC 界面上通过 LDAP 添加用户时,添加新用户 (Add a new user) 对话框中的选项与创建不使用 LDAP 身份验证的用户时的选项稍有不同。由于密码存储在外部(LDAP 服务器),因此密码字段不会显示。如果在树的另一分支发现了用户,那么 MC 管理员可以覆盖默认 LDAP 搜索字符串。添加用户 (Add user) 字段预填充了配置 LDAP 时输入的默认搜索路径。

  1. 登录到 MC 并导航到MC 设置 (MC Settings) > 用户管理 (User management)

  2. 单击添加 (Add),并提供以下信息:

    1. LDAP 用户名。

    2. LDAP 搜索字符串。

    3. 用户属性,然后单击验证用户 (Verify user)

    4. 用户的电子邮件地址。

    5. MC 配置角色。NONE 是默认值。有关详细信息,请参阅配置权限

    6. 数据库访问级别。有关详细信息,请参阅数据库权限

    7. 接受或更改默认用户的状态 (Status)(已启用)。

  3. 单击添加用户 (Add user)

如果在从 LDAP 创建新用户时遇到问题,请联系您组织的 IT 部门。

在单击确定 (OK) 关闭“添加权限 (Add permissions)”对话框后,MC 将尝试向所选 MC 管理的数据库或您组织的 LDAP 目录验证所输入的数据库用户名和密码。如果发现证书无效,则会要求您重新输入。

如果数据库在您创建新用户时不可用,则 MC 会保存用户名/密码,然后在用户以后访问“数据库和群集 (Database and Clusters)”页面时提示用户进行验证。

另请参阅

2 - 管理 MC 用户

您可以在管理控制台 (Management Console) 界面上通过以下页面管理 MC 用户:

  • MC 设置 (MC Settings) > 用户管理 (User management)

  • MC 设置 (MC Settings) > 资源访问 (Resource access)

谁负责管理用户

MC 超级用户管理员(SUPER 角色 (MC))和获授 ADMIN 角色 (MC) 的用户负责管理用户的所有方面事宜,包括他们对 MC 和 MC 管理的数据库的访问权限。

获授 IT 角色 (MC) 的用户可以启用或禁用用户帐户。有关详细信息,请参阅用户、角色和权限管理控制台 (Management Console) 中的用户

编辑 MC 用户信息的步骤与创建新用户大致相同,不同之处在于您需要选择现有用户并单击“编辑 (Edit)”。用户信息将被预先填充,以供您编辑和保存。

在 MC 界面中唯一不能更改或移除的用户帐户是 MC 超级帐户。

有关每种用户类型的详细信息,请参阅配置权限

您可以管理哪些类型的用户信息

您可以更改以下用户属性:

  • MC 密码

  • 电子邮件地址。此字段为可选。如果用户使用 LDAP 进行了身份验证,那么电子邮件字段会使用该用户的电子邮件地址(如有)进行预填充。

  • 配置权限 角色

  • 数据库权限 角色

您还可以更改用户的状态(启用/禁用对 MC 的访问)并删除用户。

关于用户名

创建并保存用户后,您不能更改用户的 MC 用户名,但是您可以删除用户帐户,并使用新名称创建新的用户帐户。删除用户帐户后唯一会失去的是该用户帐户的审核活动,但是 MC 会立即使用该用户的新帐户恢复日志记录活动。

3 - 向 MC 用户授予数据库访问权限

如果在创建用户帐户时没有向 MC 用户授予数据库级别角色,那么您可以在 MC 设置的“用户管理 (User Management)”选项卡中执行此操作。

向用户授予数据库级别角色会将 MC 用户与数据库用户的权限关联起来,并确保 MC 用户不能执行或查看用户帐户在服务器数据库中的权限不允许执行或查看的任何事项。当 MC 用户登录到 MC 时,该用户的数据库相关活动的 MC 权限要与该用户对数据库本身的权限进行对比。只有当用户同时具有 MC 权限和相应的数据库权限时,相应的操作才会在 MC 界面中显示。

先决条件

向 MC 用户授予数据库访问权限之前,请参阅创建 MC 用户中的先决条件。

向 MC 用户授予数据库级别角色

  1. 以管理员身份登录到管理控制台 (Management Console),然后导航到 MC 设置 (MC Settings) > 用户管理 (User management)

  2. 选择 MC 用户,然后单击编辑 (Edit)

  3. 确认 配置权限 是您所希望的权限。NONE 是默认值。

  4. 单击数据库访问级别部分 (DB access levels section) 旁边的添加 (Add),然后提供以下数据库访问凭据:

    1. **选择数据库。**从 MC 发现的列表中选择数据库(在 MC 界面上创建的或导入到该界面的数据库)。

    2. **数据库用户名。**输入现有的数据库用户名,或者,如果数据库正在运行,则单击省略号 [...] 览数据库用户的列表,然后从列表中选择一个名称。

    3. **数据库密码。**输入数据库用户帐户的密码(不是此用户名的密码)。

    4. **受限制的访问。**为此用户选择数据库级别(ADMIN、IT 或 USER)。

    5. 单击确定 (OK) 关闭添加权限 (Add permissions) 对话框。

    6. 如果 Vertica 数据库配置为需要 TLS,请在使用 TLS 连接 下拉列表中选择。您可以通过 MC 启动证书向导来配置 TLS。请参阅 完成 MC 证书向导。

  5. 您也可更改用户的状态 (Status)(默认状态是已启用)。

  6. 单击保存 (Save)

在单击确定 (OK) 关闭“添加权限 (Add permissions)”对话框后,MC 将尝试向所选 MC 管理的数据库或您组织的 LDAP 目录验证所输入的数据库用户名和密码。如果发现证书无效,则会要求您重新输入。

如果数据库在您创建新用户时不可用,则 MC 会保存用户名/密码,然后在用户以后访问“数据库和群集 (Database and Clusters)”页面时提示用户进行验证。

4 - 管理 MC 用户密码

MC 用户密码必须与用户名不同,且必须至少包含以下字符类型中的一种:

  • 大写

  • 小写

  • 数字

  • 特殊字符: ~ ! @ # $ % ^ & * ( ) _ + = - [ ] / ? > < , .

可配置的密码要求

您可以通过导航到主页 (Home) > MC 设置 (MC Settings) > 配置 (Configuration) > **MC 密码配置设置 (MC Password configuration settings) ** 来配置其他的密码要求。

安全问题

用户在创建 MC 帐户时必须设置安全问题。如果用户忘记了密码,他们可以通过回答这些问题来重置密码。这些问题的答案:

  • 必须仅包含字母、数字和空格
  • 长度必须介于 2 到 30 个字符之间(包含)
  • 不区分大小写