You are viewing a plain text version of this content. The canonical link for it is here.
Posted to dev@kylin.apache.org by 仇同心 <qi...@jd.com> on 2016/07/08 02:58:01 UTC
kylin用户角色权限问题
大家好:
关于kylin用户角色权限这块有几点疑问:
一、添加新用户:
官方doc<http://kylin.apache.org/docs/gettingstarted/faq.html>给出解决思路:Kylin是采用Spring security framework做用户认证的,需要配置${KYLIN_HOME}/tomcat/webapps/kylin/WEB-INF/classes/kylinSecurity.xml 的sandbox,testing部分
但是修改完毕后,每次都是需要重启kylin的,如果线上环境是集群部署,这样需要重启所有节点,这样处理不妥当吧?
二、角色:
目前kylin 是不是只有ROLE_MODELER, ROLE_ANALYST, ROLE_ADMIN 这三个角色,看到源码中也是只定义了这三个
public final static String ROLE_ADMIN = "ROLE_ADMIN";
public final static String ROLE_MODELER = "ROLE_MODELER";
public final static String ROLE_ANALYST = "ROLE_ANALYST";
这三种角色各自代表什么意思?权限范围是什么?官网并没有解释。
能否在kylinSecurity.xml新增角色呢?如果不可以,是否还有别的方式?
三、操作中发现权限目前只是在cube级别,能否控制到project级别:
在网上也看过官方的kylin分享方面的文章,有提到:
针对企业对安全的要求,我们有不同力度做安全控制。Kylin有不同用户角色做不同的事情,此外在project和cube层级可以定义ACL帮助在更细力度掌控对cube的使用。
这个在官网也没介绍,能否详细的介绍下?
谢谢!
Re: kylin用户角色权限问题
Posted by Jian Zhong <zh...@apache.org>.
I replied with red pen
2016-07-08 10:58 GMT+08:00 仇同心 <qi...@jd.com>:
> 大家好:
>
> 关于kylin用户角色权限这块有几点疑问:
>
> 一、添加新用户:
>
> 官方doc <http://kylin.apache.org/docs/gettingstarted/faq.html>给出解决思路:Kylin
> 是采用Spring security framework做用户认证的,需要配置${KYLIN_HOME}/tomcat/webapps/kylin/WEB-INF/classes/kylinSecurity.xml
> 的sandbox,testing部分
>
>
>
> 但是修改完毕后,每次都是需要重启kylin的,如果线上环境是集群部署,这样需要重启所有节点,这样处理不妥当吧?
>
> it's not recommended to use 'testing,sandbox' in prod environment, since
> it's only for testing, we suggest you integration ldap
>
in your environment
http://kylin.apache.org/docs15/howto/howto_ldap_and_sso.html
二、角色:
>
> 目前kylin 是不是只有ROLE_MODELER, ROLE_ANALYST, ROLE_ADMIN 这三个角色,看到源码中也是只定义了这三个
>
> public final static String *ROLE_ADMIN *= "ROLE_ADMIN";
> public final static String *ROLE_MODELER *= "ROLE_MODELER";
> public final static String *ROLE_ANALYST *= "ROLE_ANALYST";
>
>
>
> 这三种角色各自代表什么意思?权限范围是什么?官网并没有解释。
>
> 能否在kylinSecurity.xml新增角色呢?如果不可以,是否还有别的方式?
>
> ROLE
>
ADMIN can create,access edit,drop all entity, and load data source
MODELER can create his own project,model,cube, but cannot access other's
project, and canot load data source
ANALYST can only read or query the cube permitted
>
>
> 三、操作中发现权限目前只是在cube级别,能否控制到project级别:
>
> 在网上也看过官方的kylin分享方面的文章,有提到:
>
> 针对企业对安全的要求,我们有不同力度做安全控制。Kylin有不同用户角色做不同的事情,此外在project和cube层级可以定义ACL
> 帮助在更细力度掌控对cube的使用。
>
kylin allows you to grant permission at project level
[image: Inline image 1]
>
> 这个在官网也没介绍,能否详细的介绍下?
>
>
>
> 谢谢!
>
>
>