Doris:联邦认证
LDAP
接入第三方 LDAP 服务为 Doris 提供验证登录和组授权服务。
LDAP 验证登录
LDAP 验证登录指的是接入 LDAP 服务的密码验证来补充 Doris 的验证登录。Doris 优先使用 LDAP 验证用户密码,如果 LDAP 服务中不存在该用户则继续使用 Doris 验证密码,如果 LDAP 密码正确但是 Doris 中没有对应账户则创建临时用户登录 Doris。
开启 LDAP 后,用户在 Doris 和 LDAP 中存在以下几种情况:
| LDAP 用户 | Doris 用户 | 密码 | 登录情况 | 登录 Doris 的用户 |
|---|---|---|---|---|
| 存在 | 存在 | LDAP 密码 | 登录成功 | Doris 用户 |
| 存在 | 存在 | Doris 密码 | 登录失败 | 无 |
| 不存在 | 存在 | Doris 密码 | 登录成功 | Doris 用户 |
| 存在 | 不存在 | LDAP 密码 | 登录成功 | Ldap 临时用户 |
开启 LDAP 后,用户使用 mysql client 登录时,Doris 会先通过 LDAP 服务验证用户密码,如果 LDAP 存在用户且密码正确,Doris 则使用该用户登录;此时 Doris 若存在对应账户则直接登录该账户,如果不存在对应账户则为用户创建临时账户并登录该账户。临时账户具有具有相应对权限(参见 LDAP 组授权),仅对当前连接有效,doris 不会创建该用户,也不会产生创建用户对元数据。 如果 LDAP 服务中不存在登录用户,则使用 Doris 进行密码认证。
以下假设已开启 LDAP 认证,配置 ldap_user_filter = (&(uid={login})),且其他配置项都正确,客户端设置环境变量 LIBMYSQL_ENABLE_CLEARTEXT_PLUGIN=1
例如:
-
Doris 和 LDAP 中都存在账户:
存在 Doris 账户:
jack@'172.10.1.10',密码:123456LDAP 用户节点存在属性:
uid: jack用户密码:abcdef使用以下命令登录 Doris 可以登录
jack@'172.10.1.10'账户:mysql -hDoris_HOST -PDoris_PORT -ujack -p abcdef使用以下命令将登录失败:
mysql -hDoris_HOST -PDoris_PORT -ujack -p 123456 -
LDAP 中存在用户,Doris 中不存在对应账户:
LDAP 用户节点存在属性:
uid: jack用户密码:abcdef使用以下命令创建临时用户并登录 jack@'%',临时用户具有基本权限 DatabasePrivs:Select_priv,用户退出登录后 Doris 将删除该临时用户:
mysql -hDoris_HOST -PDoris_PORT -ujack -p abcdef -
LDAP 不存在用户:
存在 Doris 账户:
jack@'172.10.1.10',密码:123456使用 Doris 密码登录账户,成功:
mysql -hDoris_HOST -PDoris_PORT -ujack -p 123456
LDAP 组授权
DLAP 用户 dn 是 LDAP 组节点的“member”属性则 Doris 认为用户属于该组。LDAP 组授权是将 LDAP 中的 group 映射到 Doris 中的 role,并将所有对应的 role 权限授予登录用户,用户退出登录后 Doris 会撤销对应的 role 权限。在使用 LDAP 组授权前应该在 Doris 中创建相应的 role,并为 role 授权。
登录用户权限跟 Doris 用户和组权限有关,见下表:
| LDAP 用户 | Doris 用户 | 登录用户的权限 |
|---|---|---|
| 存在 | 存在 | LDAP 组权限 + Doris 用户权限 |
| 不存在 | 存在 | Doris 用户权限 |
| 存在 | 不存在 | LDAP 组权限 |
如果登录的用户为临时用户,且不存在组权限,则该用户默认具有 information_schema 的 select_priv 权限
举例:
LDAP 用户 dn 是 LDAP 组节点的 member 属性则认为用户属于该组,Doris 会截取组 dn 的第一个 Rdn 作为组名。
例如用户 dn 为 uid=jack,ou=aidp,dc=domain,dc=com,组信息如下:
dn: cn=doris_rd,ou=group,dc=domain,dc=com
objectClass: groupOfNames
member: uid=jack,ou=aidp,dc=domain,dc=com
则组名为 doris_rd。
假如 jack 还属于 LDAP 组 doris_qa、doris_pm;Doris 存在 role:doris_rd、doris_qa、doris_pm,在使用 LDAP 验证登录后,用户不但具有该账户原有的权限,还将获得 role doris_rd、doris_qa 和 doris_pm 的权限。
注意:
user 属于哪个 group 和 LDAP 树的组织结构无关,示例部分的 user2 并不一定属于 group2 若想让 user2 属于 group2,需要在 group2 的 member 属性中添加 user2
LDAP 示例
更改 Doris 配置
- 在 fe/conf/fe.conf 文件中配置认证方式为 ldap authentication_type=ldap。
- 在 fe/conf/ldap.conf 文件中配置 LDAP 基本信息,
- 设置 LDAP 管理员密码:配置好 ldap.conf 文件后启动 fe,使用 root 或 admin 账号登录 Doris,执行 sql
set ldap_admin_password = password('ldap_admin_password');
使用 mysql 客户端登录
mysql -hDORIS_HOST -PDORIS_PORT -u user -p --enable-cleartext-plugin
输入 ldap 密码
注:使用其它客户端登录可以参考下文中 客户端如何使用明文登录
LDAP 信息缓存
为了避免频繁访问 LDAP 服务,Doris 会将 LDAP 信息缓存到内存中,可以通过 ldap.conf 中的 ldap_user_cache_timeout_s 配置项指定 LDAP 用户的缓存时间,默认为 12 小时;在修改了 LDAP 服务中的信息或者修改了 Doris 中 LDAP 用户组对应的 Role 权限后,可能因为缓存而没有及时生效,可以通过 refresh ldap 语句刷新缓存,详细查看REFRESH-LDAP。
LDAP 验证的局限
- 目前 Doris 的 LDAP 功能只支持明文密码验证,即用户登录时,密码在 client 与 fe 之间、fe 与 LDAP 服务之间以明文的形式传输。
常见问题
-
怎么判断 LDAP 用户在 doris 中有哪些角色?
使用 LDAP 用户在 doris 中登录,
show grants;能查看当前用户有哪些角色。其中 ldapDefaultRole 是每个 ldap 用户在 doris 中都有的默认角色。 -
LDAP 用户在 doris 中的角色比预期少怎么排查?
- 通过
show roles;查看预期的角色在 doris 中是否存在,如果不存在,需要通过CREATE ROLE rol_name;创建角色。 - 检查预期的 group 是否在
ldap_group_basedn对应的组织结构下。 - 检查预期 group 是否包含 member 属性。
- 检查预期 group 的 member 属性是否包含当前用户。
- 通过
LDAP 相关概念
在 LDAP 中,数据是按照树型结构组织的。
示例(下文的介绍都将根据这个例子进行展开)
- dc=example,dc=com
- ou = ou1
- cn = group1
- cn = user1
- ou = ou2
- cn = group2
- cn = user2
- cn = user3
LDAP 名词解释
- dc(Domain Component): 可以理解为一个组织的域名,作为树的根结点
- dn(Distinguished Name): 相当于唯一名称,例如 user1 的 dn 为 cn=user1,ou=ou1,dc=example,dc=com user2 的 dn 为 cn=user2,cn=group2,ou=ou2,dc=example,dc=com
- rdn(Relative Distinguished Name): dn 的一部分,user1 的四个 rdn 为 cn=user1 ou=ou1 dc=example 和 dc=com
- ou(Organization Unit): 可以理解为子组织,user 可以放在 ou 中,也可以直接放在 example.com 域中
- cn(common name):名字
- group: 组,可以理解为 doris 的角色
- user: 用户,和 doris 的用户等价
- objectClass:可以理解为每行数据的类型,比如怎么区分 group1 是 group 还是 user,每种类型的数据下面要求有不同的属性,比如 group 要求有 cn 和 member(user 列表),user 要求有 cn,password,uid 等
客户端如何使用明文登录
MySql Client
客户端使用 LDAP 验证需要启用 mysql 客户端明文验证插件,使用命令行登录 Doris 可以使用下面两种方式之一启用 mysql 明文验证插件:
-
设置环境变量
LIBMYSQL_ENABLE_CLEARTEXT_PLUGIN值 1例如在 linux 或者 mac 环境中可以使用:
echo "export LIBMYSQL_ENABLE_CLEARTEXT_PLUGIN=1" >> ~/.bash_profile && source ~/.bash_profile -
每次登录 Doris 时添加参数
--enable-cleartext-pluginmysql -hDORIS_HOST -PDORIS_PORT -u user -p --enable-cleartext-plugin 输入 ldap 密码
Jdbc Client
使用 Jdbc Client 登录 Doris 时,需要自定义 plugin。
首先,创建一个名为 MysqlClearPasswordPluginWithoutSSL 的类,继承自 MysqlClearPasswordPlugin。在该类中,重写 requiresConfidentiality() 方法,并返回 false。
public class MysqlClearPasswordPluginWithoutSSL extends MysqlClearPasswordPlugin {
@Override
public boolean requiresConfidentiality() {
return false;
}
}
在获取数据库连接时,需要将自定义的 plugin 配置到属性中
即(xxx 为自定义类的包名)
- authenticationPlugins=xxx.xxx.xxx.MysqlClearPasswordPluginWithoutSSL
- defaultAuthenticationPlugin=xxx.xxx.xxx.MysqlClearPasswordPluginWithoutSSL
- disabledAuthenticationPlugins=com.mysql.jdbc.authentication.MysqlClearPasswordPlugin
eg:
jdbcUrl = "jdbc:mysql://localhost:9030/mydatabase?authenticationPlugins=xxx.xxx.xxx.MysqlClearPasswordPluginWithoutSSL&defaultAuthenticationPlugin=xxx.xxx.xxx.MysqlClearPasswordPluginWithoutSSL&disabledAuthenticationPlugins=com.mysql.jdbc.authentication.MysqlClearPasswordPlugin";