本节介绍了如何配置文件或目录的访问控制权限,以增强访问安全性。
操作步骤
- 选择“资源 > 访问 > 帐户”。
- 单击帐户名,选择“协议 > 大数据服务”页签。
- 在“访问控制”区域,单击“修改”。
系统右侧弹出“修改访问控制”页面。
- 选择认证模式。
- Security:安全等级较高,通过第三方kerberos完成验证。
- 可选:在“超级用户证书”区域,选择“.keytab”格式文件并单击“上传”。
- 可选:在“kerberos配置”区域,选择“.conf”格式文件并单击“上传”。
- Simple:安全等级较低,通过宿主节点完成验证。
“超级用户证书”和“kerberos配置”用于Security模式,Simple模式无需配置。
- Security:安全等级较高,通过第三方kerberos完成验证。
- 设置基本信息,相关参数如表1。
表1 基本配置参数 参数名称
参数说明
token认证
是否启用token认证。
启用token认证后,token上会携带用户信息,是执行下载数据等服务操作时对用户进行认证和鉴权的一个识别依据。
UMASK
创建文件或者目录时使用的UMASK。用于控制默认权限,不使默认的文件和目录具有完全的控制权。
说明:需输入3位8进制UMASK。
超级用户组
超级用户组的名称。超级用户组具有操作命名空间的所有权限。
[取值范围]
- 长度范围是1~64位。
- 超级用户组由字母、数字、“-”、“_”和“.”组成,不能以“-”开头。
映射规则
Kerberos到本地用户的映射规则,即“auth to local”。
格式有以下两种:- RULE:[n:string](regexp)s/pattern/replacement/
- n: principal中期望有n个component。n取值为1或2。
- string: 用于提取principal中部分component,组成一个短名称。$0代表realm,$1代表第一个component,$2代表第二个component。
- (regexp): 是一个正则表达式,用于匹配第一部分[n:string]输出的短名称,只有当匹配成功才会继续下一步规则。
- s/pattern/replacement/: sed替换命令。pattern为需要被替换的字符,replacement为替换成的字符。
说明:可以配置多条RULE,principal会由上至下以次匹配每条RULE,不匹配则跳过进入下一个RULE。
- DEFAULT: 默认规则,默认将principal的第一个component作为短名称输出。
[示例]
RULE:[1:$1@$0](hdfs@EXAMPLE.COM)s/.*/hdfs/
RPC加密方式
RPC的加密方式。
取值包括:authentication、integrity、privacy。
- 设置代理用户。
- 单击“增加”。
- 相关参数如表2。
表2 代理用户参数 参数名称
参数说明
代理用户
代理用户的名称。
[取值范围]
- 长度范围是1~64位。
- 代理用户由字母、数字、“-”、“_”和“.”组成,不能以“-”开头。
主机
主机IP地址。
[取值范围]
- 由单个或多个IPv4地址组成,多个IP地址以英文逗号分隔,可以“*”表示所有IP地址。
- 主机、用户组、用户参数至少三选一。
用户组
用户组名称。
[取值范围]
- 长度范围是0~1023位。
- 用户组由字母、数字、“-”、“_”和“.”组成,不能以“-”开头。由单个或多个用户组名称组成,多个名称以英文逗号分隔,可以“*”表示所有用户组。
- 主机、用户组、用户参数至少三选一。
用户
用户名称。
[取值范围]
- 长度范围是0~1023位。
- 用户由字母、数字、“-”、“_”和“.”组成,不能以“-”开头。由单个或多个用户名称组成,多个名称以英文逗号分隔,可以“*”表示所有用户。
- 主机、用户组、用户参数至少三选一。
- 可选:单击“移除”删除此条配置。
- 可选:单击“增加”继续新增代理用户。
- 单击“确定”。