代理认证

这种方式允许登录用户和实际使用的用户不同,主要作用:控制用户登录时必须为实名用户,但是实际使用大数据平台时,是非实名用户,方便进行权限的校验和管控。 比如:linkis在执行用户提交的任务时,linkis主要进程服务会通过sudo -u ${submit user} 切换到对应用户下,然后执行对应的引擎启动命令, 这就需要为每个${submit user} 提前创建对应的系统用户,并且配置好相关的环境变量。 对于新用户,需要一系列的环境的初始化准备工作, 如果频繁的用户变化,会增大运维成本,而且用户过多,没法针对单个用户配置资源,资源之间无法很好的管控。如果能够实现A代理给指定的代理用户执行,可以将执行入口统一收敛,解决需要初始化环境的问题。

  • 登陆用户:通过用户名密码直接登陆系统的用户
  • 代理用户:作为登陆用户实际执行操作的用户称之为代理用户,代理登陆用户的执行相关操作

对于登陆cookie处理,解析出登录用户和代理用户

  1. 代理用户的cookiekey为:linkis_user_session_proxy_ticket_id_v1
  2. 登录用户的cookie: linkis_user_session_ticket_id_v1

linkis的相关接口能在基于UserName信息,识别出代理用户信息,使用代理用户进行各项操作。并记录审计日志,包含用户的任务执行操作,下载操作 任务提交执行的时候,entrance入口服务修改执行的用户为代理用户

linkis.properties 指定如下参数:

  1. # 打开代理模式
  2. wds.linkis.gateway.conf.enable.proxy.user=true
  3. # 指定代理配置文件
  4. wds.linkis.gateway.conf.proxy.user.config=proxy.properties

在 conf 目录下,创建proxy.properties 文件,内容如下:

  1. # 格式如下:
  2. ${LOGIN_USER}=${PROXY_USER}
  3. # 例如:
  4. enjoyyin=hadoop

如果现有的代理模式不能满足您的需求,也可以对:org.apache.linkis.gateway.security.ProxyUserUtils进一步改造。

修改配置后,需要重启linkis-mg-gateway服务 sh sbin/linkis-daemon.sh start mg-mgtaeway,才能生效

  • 用户分为代理用户和非代理用户,代理类型的用户不能进行再次代理到其他用户执行
  • 需要控制登陆用户与可代理的系统用户列表,禁止出现任意代理的情况,避免权限不可控。最好支持数据库表来配置,并可以直接修改生效,不需要重启服务
  • 单独记录日志文件包含代理用户的操作,如代理执行、函数更新等PublicService的代理用户操作全部记录到日志中,方便审计