用户和角色设置
users.xml 配置文件的 users 部分包含用户设置。
ClickHouse 也支持 SQL 驱动的工作流 来管理用户。我们建议使用它。
users 部分的结构
<users>
<!-- If user name was not specified, 'default' user is used. -->
<user_name>
<password></password>
<!-- Or -->
<password_sha256_hex></password_sha256_hex>
<ssh_keys>
<ssh_key>
<type>ssh-ed25519</type>
<base64_key>AAAAC3NzaC1lZDI1NTE5AAAAIDNf0r6vRl24Ix3tv2IgPmNPO2ATa2krvt80DdcTatLj</base64_key>
</ssh_key>
<ssh_key>
<type>ecdsa-sha2-nistp256</type>
<base64_key>AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBNxeV2uN5UY6CUbCzTA1rXfYimKQA5ivNIqxdax4bcMXz4D0nSk2l5E1TkR5mG8EBWtmExSPbcEPJ8V7lyWWbA8=</base64_key>
</ssh_key>
<ssh_key>
<type>ssh-rsa</type>
<base64_key>AAAAB3NzaC1yc2EAAAADAQABAAABgQCpgqL1SHhPVBOTFlOm0pu+cYBbADzC2jL41sPMawYCJHDyHuq7t+htaVVh2fRgpAPmSEnLEC2d4BEIKMtPK3bfR8plJqVXlLt6Q8t4b1oUlnjb3VPA9P6iGcW7CV1FBkZQEVx8ckOfJ3F+kI5VsrRlEDgiecm/C1VPl0/9M2llW/mPUMaD65cM9nlZgM/hUeBrfxOEqM11gDYxEZm1aRSbZoY4dfdm3vzvpSQ6lrCrkjn3X2aSmaCLcOWJhfBWMovNDB8uiPuw54g3ioZ++qEQMlfxVsqXDGYhXCrsArOVuW/5RbReO79BvXqdssiYShfwo+GhQ0+aLWMIW/jgBkkqx/n7uKLzCMX7b2F+aebRYFh+/QXEj7SnihdVfr9ud6NN3MWzZ1ltfIczlEcFLrLJ1Yq57wW6wXtviWh59WvTWFiPejGjeSjjJyqqB49tKdFVFuBnIU5u/bch2DXVgiAEdQwUrIp1ACoYPq22HFFAYUJrL32y7RxX3PGzuAv3LOc=</base64_key>
</ssh_key>
</ssh_keys>
<access_management>0|1</access_management>
<networks incl="networks" replace="replace">
</networks>
<profile>profile_name</profile>
<quota>default</quota>
<default_database>default</default_database>
<databases>
<database_name>
<table_name>
<filter>expression</filter>
</table_name>
</database_name>
</databases>
<grants>
<query>GRANT SELECT ON system.*</query>
</grants>
</user_name>
<!-- Other users settings -->
</users>
user_name/password
密码可以以明文或 SHA256(十六进制格式)指定。
-
要以明文形式分配密码(不推荐),请将其放在
password元素中。例如,
<password>qwerty</password>。密码可以留空。
-
要使用其 SHA256 哈希分配密码,请将其放在
password_sha256_hex元素中。例如,
<password_sha256_hex>65e84be33532fb784c48129675f9eff3a682b27168c0ea744b2cf58ee02337c5</password_sha256_hex>。如何从 shell 生成密码的示例
PASSWORD=PASSWORD"; echo -n "$PASSWORD" | sha256sum | tr -d '-'
结果的第一行是密码。第二行是相应的 SHA256 哈希值。
-
为了与 MySQL 客户端兼容,密码可以以双 SHA1 哈希值指定。将其放在
password_double_sha1_hex元素中。例如,
<password_double_sha1_hex>08b4a0f1de6ad37da17359e592c8d74788a83eb0</password_double_sha1_hex>。如何从 shell 生成密码的示例
PASSWORD=PASSWORD"; echo -n "$PASSWORD" | sha1sum | tr -d '-' | xxd -r -p | sha1sum | tr -d '-'
结果的第一行是密码。第二行是相应的双 SHA1 哈希值。
username/ssh-key
此设置允许使用 SSH 密钥进行身份验证。
给定一个 SSH 密钥(由 ssh-keygen 生成),例如
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDNf0r6vRl24Ix3tv2IgPmNPO2ATa2krvt80DdcTatLj [email protected]
ssh_key 元素应为
<ssh_key>
<type>ssh-ed25519</type>
<base64_key>AAAAC3NzaC1lZDI1NTE5AAAAIDNf0r6vRl24Ix3tv2IgPmNPO2ATa2krvt80DdcTatLj</base64_key>
</ssh_key>
对于其他支持的算法,请将 ssh-ed25519 替换为 ssh-rsa 或 ecdsa-sha2-nistp256。
access_management
此设置启用或禁用为用户使用 SQL 驱动的 访问控制和帐户管理。
可能的值
- 0 — 禁用。
- 1 — 启用。
默认值:0。
grants
此设置允许向选定用户授予任何权限。列表的每个元素都应该是 GRANT 查询,而未指定任何被授权者。
示例
<user1>
<grants>
<query>GRANT SHOW ON *.*</query>
<query>GRANT CREATE ON *.* WITH GRANT OPTION</query>
<query>GRANT SELECT ON system.*</query>
</grants>
</user1>
此设置不能与 dictionaries、access_management、named_collection_control、show_named_collections_secrets 和 allow_databases 设置同时指定。
user_name/networks
用户可以从中连接到 ClickHouse 服务器的网络列表。
列表的每个元素可以具有以下形式之一
-
<ip>— IP 地址或网络掩码。示例:
213.180.204.3,10.0.0.1/8,10.0.0.1/255.255.255.0,2a02:6b8::3,2a02:6b8::3/64,2a02:6b8::3/ffff:ffff:ffff:ffff::。 -
<host>— 主机名。示例:
example01.host.ru。为了检查访问权限,将执行 DNS 查询,并将所有返回的 IP 地址与对等地址进行比较。
-
<host_regexp>— 主机名的正则表达式。示例,
^example\d\d-\d\d-\d\.host\.ru$为了检查访问权限,将为对等地址执行 DNS PTR 查询,然后应用指定的正则表达式。然后,对 PTR 查询的结果执行另一个 DNS 查询,并将所有接收到的地址与对等地址进行比较。我们强烈建议正则表达式以 $ 结尾。
DNS 请求的所有结果都将被缓存,直到服务器重新启动。
示例
要为来自任何网络的用户打开访问权限,请指定
<ip>::/0</ip>
除非您已正确配置防火墙或者服务器未直接连接到 Internet,否则从任何网络打开访问权限是不安全的。
要仅从 localhost 打开访问权限,请指定
<ip>::1</ip>
<ip>127.0.0.1</ip>
user_name/profile
您可以为用户分配设置配置文件。设置配置文件在 users.xml 文件的单独部分中配置。有关更多信息,请参阅 设置配置文件。
user_name/quota
配额允许您跟踪或限制一段时间内的资源使用情况。配额在 users.xml 配置文件的 quotas 部分中配置。
您可以为用户分配配额集。有关配额配置的详细描述,请参阅 配额。
user_name/databases
在本节中,您可以限制 ClickHouse 为当前用户执行的 SELECT 查询返回的行,从而实现基本的行级安全性。
示例
以下配置强制用户 user1 只能看到 table1 的行作为 SELECT 查询的结果,其中 id 字段的值为 1000。
<user1>
<databases>
<database_name>
<table1>
<filter>id = 1000</filter>
</table1>
</database_name>
</databases>
</user1>
filter 可以是任何表达式,结果为 UInt8 类型的值。它通常包含比较和逻辑运算符。database_name.table1 中筛选器结果为 0 的行不会为此用户返回。筛选与 PREWHERE 操作不兼容,并禁用 WHERE→PREWHERE 优化。
角色
您可以使用 user.xml 配置文件的 roles 部分创建任何预定义的角色。
roles 部分的结构
<roles>
<test_role>
<grants>
<query>GRANT SHOW ON *.*</query>
<query>REVOKE SHOW ON system.*</query>
<query>GRANT CREATE ON *.* WITH GRANT OPTION</query>
</grants>
</test_role>
</roles>
这些角色也可以从 users 部分授予用户
<users>
<user_name>
...
<grants>
<query>GRANT test_role</query>
</grants>
</user_name>
<users>