TigerGraph文档
TigerGraph 技术文档目录
TigerGraph 版本比较
GSQL 图数据库算法库
版本发布, 功能变更
INTRODUCTION AND OVERVIEW
TigerGraph 入门指南
GSQL 101
TigerGraph平台概览
Knowledge Base and FAQs
系统管理指南
TigerGraph 管理员指南
硬件及软件配置
安装和配置
系统权限管理
用户权限及验证
LDAP
单点登录(SSO)
数据加密
系统管理
开发者指南
GSQL 语言开发指南
RESTPP API 开发指南
事务处理及ACID支持
图形界面 可视化
Powered by GitBook
Have an account? Sign in

LDAP

轻量目录访问协议(Lightweight Directory Access Protocol 或 LDAP)是业界通行的标准协议。它允许用户通过网络访问和维护文件目录信息。但通常情况下,LDAP服务器主要用于集中式用户验证。TigerGraph支持LDAP,用户可以通过LDAP的用户名和密码直接登录TigerGraph系统。在使用LDAP验证用户账户时,GSQL服务器会联系LDAP服务器获取对应用户的信息。

支持的功能

GSQL支持任何遵循LDAPv3标准协议建立的LDAP服务器,同时也支持StartTLS/SSL连接。

当前版本不支持SASL验证。某些LDAP服务器可能要求客户端发送验证请求时提交证书,然而当前版本的GSQL的LDAP验证不支持客户端证书。

将用户从LDAP映射到GSQL

为了方便管理用户的身份和权限,TigerGraph的GSQL服务器引入了两个概念:代理用户(proxy user)和代理用户组(proxy group)

代理用户

每个代理用户对应一个LDAP用户。外部LDAP用户具体有哪些身份权限,取决于对应的代理用户拥有的权限。

代理用户组

代理用户组是一个由GSQL用户组成的组,它用于管理一组有着类似属性的LDAP用户。

当一个LDAP用户登录GSQL时,它必须满足至少一条现有的代理用户组规则。一旦满足,则该代理用户组中就会生成一个与该LDAP用户对应的代理用户。代理用户的身份权限必须至少不小于它所在的代理用户组的权限。我们可以针对某一个代理用户单独修改它的权限。如果某个代理用户组的权限有变动,则其中的所有的代理用户的权限也会跟着变动。

配置GSQL的LDAP验证

启用TigerGraph的LDAP验证有两个主要步骤:

  1. 配置LDAP连接

  2. 配置GSQL代理用户组和代理用户

为了方便优化LDAP配置参数,我们建议你掌握一些有关LDAP的基础知识,请参考:https://www.ldap.com/basic-ldap-concepts

步骤1 - 配置LDAP连接

配置和启动LDAP要用到以下三条命令:

配置 LDAP:

gadmin工具会提示用户输入LDAP配置参数。

启用该配置:

重启GSQL服务:

下面是一个实际案例:

以下是每个配置参数的具体解释:

security.ldap.enable

若设为"true"即开启LDAP; 设为"false"即关闭LDAP.

security.ldap.host

配置LDAP服务器主机名.

security.ldap.port

配置LDAP服务器端口号.

security.ldap.base_dn

配置基础可辨识名(即Distinguished Name或Base DN), 该参数帮助GSQL在LDAP上检索用户.

security.ldap.search_filter

若配置了检索过滤器(可选),则GSQL只会按照预定的条件搜索符合要求的LDAP用户。过滤器格式必须严格符合LDAP规范(例如条件必须用括号括起来等等)。不同过滤器的比较请参阅:https://www.ldap.com/ldap-filters。官方发布的LDAP过滤器规范请参阅:https://docs.ldap.com/specs/rfc4515.txt

security.ldap.username_attribute

本参数定义了在LDAP上检索用户名时需要查找的属性名。例如,在上面的配置示例中,登录时附加了“-u john”参数,这意味着GSQL服务器会去LDAP服务器上寻找uid为john的用户,并在找到后验证身份。

security.ldap.admin_password & security.ldap.admin_dn

若LDAP服务器为非公共开放服务时,GSQL想要登录LDAP需要用到管理员DN以及对应的密码。

security.ldap.secure.protocol

本参数若设为none,则表示TigerGraph将使用非安全LDAP连接;而若要使用安全连接,则可以将其改成starttls或ssl。

security.ldap.secure.truststore_path & security.ldap.secure.truststore_password

当使用starttls或ssl时,需要配置对应的受信存储路径(truststore path)和对应密码。

security.ldap.secure.truststore_format

当前版本下,TigerGraph支持两种形式的受信存储格式:pkcs12和jks

security.ldap.secure.trust_all

若配置了该参数,则GSQL会信任所有LDAP服务器。

步骤 2 - 配置GSQL代理用户组和用户

本章节将介绍如何配置一个GSQL代理用户组,从而允许LDAP用户前来验证。

配置代理用户组

可以使用CREATE GROUP命令基于某条代理规则建立GSQL代理用户组。举个例子,假设LDAP目录中有一个属性叫做“role”,而“engineering”是“role”属性的一个值。则我们可以根据代理规则"role=engineering"创建代理用户组。一个代理用户组可以包含多条代理规则,下面便是一个实际案例。当用户登录时,GSQL服务器随即在LDAP目录中检索用户。如果该用户复合某个已有代理用户组中的某条代理规则,则系统便会为其创建一个代理用户用于登录系统。

SHOW GROUP命令用于显示一个代理用户组的具体信息。DROP GROUP命令则用于删除一个组。

代理用户

代理用户不需要配置。只要符合某条代理规则,则对应代理用户便会自动创建。代理用户和普通用户很类似。它们的唯一的区别在于,在GSQL中不能修改代理用户的密码,同时代理用户的权限来继承于所属的代理用户组。

Previous
用户权限及验证
Next
单点登录(SSO)
Contents
支持的功能将用户从LDAP映射到GSQL代理用户代理用户组配置GSQL的LDAP验证步骤1 - 配置LDAP连接步骤 2 - 配置GSQL代理用户组和用户代理用户