Обеспечение требований безопасности при пользовательской авторизации
| Компонент | Тип доступа | Применяемость парольных политик |
|---|---|---|
| ADCP интерфейс системы | Keycloak авторизация через стороннего OIDC провайдера | Обеспечивается провайдером авторизации. При использовании доменной авторизации, на стороне ADFS. |
| Apache Atlas | Keycloak авторизация через стороннего OIDC провайдера / логин-пароль, в зависмости от конфигурации системы | Обеспечивается провайдером авторизации. При использовании доменной авторизации, на стороне ADFS. / Организационное обеспечение парольных политик. Запланирована аутентификация через AD. |
| Gitlab | Логин/пароль на VM. Вход на VM по токену ADCP, выдаваемому на основе авторизации Keycloak через стороннего OIDC провайдера и набора ролей, назначенных пользователю в системе. | Компонент доступен только из интерфейса VM после прохождения авторизации в ADCP. |
| OIDC Provider ADCP | Логин/пароль | Локальный провайдер авторизации. Не используется в большинстве инсталяций. Парольные политики обеспечиваются организационными мерами. |
| Kibana | Keycloak авторизация через стороннего OIDC провайдера | Авторизация через Keycloak ADCP. Исполнение парольных политик зависит от подключенного провайдера авторизации. (При использовании доменной авторизации, на стороне ADFS.) |
| Grafana | Keycloak авторизация через стороннего OIDC провайдера | Авторизация через Keycloak ADCP. Исполнение парольных политик зависит от подключенного провайдера авторизации. (При использовании доменной авторизации, на стороне ADFS.) |
Во всех компонентах системы в которых не поддерживается применение парольных политик, необходимо проводить проверку на соответствие парольным политикам при помощи проведения аудита и формирования регламентов в рамках организации.
Для большинства компонентов, назначение и изменение паролей устанавливается при деплое приложения.
Дополнительные компоненты, которые требуют применения парольных политик для локального доступа:
- ОС на которой установлена система
- ClickHouse
- MongoDB
- RabbitMQ
- PostgreSQL
- NATS
Инструкция по смене пароля Apache Atlas
Применима в случае, если не используется аутентификация в Atlas при помощи стороннего OIDC провайдера.
В текущей реализации пароль для Apache Atlas устанавливается с помощью helm чартов.
В рамках MVP для всех манипуляций с Apache Atlas используется логин admin
Изменение пароля
Для изменения пароля администратора требуется указать в файле чарта
helm-charts-cdp/charts/atlas/values.yaml в блоке atlas.users.admin.password новый пароль.
Логин админ так-же используется сервисами atlas-entity-syncer и atlas-metadata-seed
После изменения пароля в чарте Apache Atlas необходимо изменить пароль для сервисов
atlas-entity-syncer и atlas-metadata-seed
Для этого необходимо в файле helm-charts-cdp/charts/aggregion-cdp/values.yaml изменить поле dataservice.configAtlasSyncer.password указав в нем новый пароль.
Если не выполнить оба изменения, Атлас будет "отвязан" от DCP и его данные не будут обновляться.
После изменения паролей в чартах эти изменения необходимо применить, переустановив контейнеры.
Применение изменений
Для применения изменений требуется выполнить 2 скрипта:
по умолчанию в репозитории они хранятся по путям:
helm-charts-cdp/charts/cdp_deploy.sh
helm-charts-cdp/charts/atlas.sh
До выполнения скриптов необходимо убедиться в том что в скриптах находятся необходимые нейм-спейсы вашего инстанса.
По результатам выполнения скриптов контейнеры будут перезапущены и будут использовать новый пароль
Провайдер авторизации, для входа используется пользовательский пароль в системе ADCP. Рекомендуется при регистрации пользователей назначать пароли в соответствии с парольной политикой компании. Если планируется использовать внутреннего провайдера авторизации системы. При использовании доменной авторизации этот компонент отключен и исключается из деплоя.