流集数据收集器配置：用户认证_输入该数据收集器集的用户-优快云博客

本文链接：https://blog.youkuaiyun.com/cao1234js/article/details/127388398

用户认证

数据收集器可以根据 LDAP 或文件对用户帐户进行身份验证。最佳做法是使用 LDAP（如果您的组织有 LDAP）。默认情况下，数据收集器使用基于文件的身份验证。

数据收集器提供了多个角色，用于确定用户可以执行的操作。用于将角色分配给用户帐户的步骤会有所不同，具体取决于您使用的是基于 LDAP 的身份验证还是基于文件的身份验证。

注意：数据收集器的生产部署应与 LDAP 身份验证集成。

配置 LDAP 身份验证

如果您的组织使用 LDAP，请将数据收集器配置为使用 LDAP 身份验证。配置 LDAP 身份验证后，用户将使用其 LDAP 用户名和密码登录到数据收集器。

要配置 LDAP 身份验证，请执行以下任务：

配置 LDAP 连接信息。
（可选）配置与 LDAP 服务器的安全连接。
将 LDAP 组映射到数据收集器角色。
（可选）配置多个 LDAP 服务器。
如果使用映射R阶段，请为映射器启用 LDAP 身份验证。

步骤 1.配置 LDAP 连接信息

要启用 LDAP 身份验证，请在数据收集器配置文件和目录中配置 LDAP 连接信息。sdc.propertiesldap-login.conf$SDC_CONF

在数据收集器配置文件$SDC_CONF/sdc.属性，通过将属性设置为 ldap 来启用 LDAP 身份验证。
在$SDC_CONF/sdc.properties 文件中，通过将 http.身份验证属性设置为“基本”、“摘要”或“窗体”来定义 HTTP 身份验证类型。

HTTP 身份验证类型确定如何通过 HTTP 将密码从浏览器传输到数据收集器。摘要式身份验证对用户凭据进行加密。基本身份验证和表单身份验证按原样传输用户凭据。要确保安全传输用户凭据以进行基本身份验证和表单身份验证，请将数据收集器配置为使用 HTTPS，并使用 LDAPS 或 StartTLS 配置与 LDAP 的安全连接。

对于微软活动目录服务器，请使用基本身份验证或表单身份验证。

在$SDC_CONF/登录名.conf 文件中，配置 LDAP 服务器的连接信息。

在文件中，配置以下属性：

属性	描述: __________
调试	启用 LDAP 调试。默认值为假。
useLdaps	使用 LDAPS（基于 SSL 的 LDAP）协议保护 LDAP 连接。默认值为假。您必须完成其他步骤才能使用 LDAPS，请参阅步骤 2。配置与 LDAP 的安全连接（可选）。
使用启动	使用启动TLS协议保护 LDAP 连接。默认值为假。您必须完成其他步骤才能使用 StartTLS，请参阅步骤 2。配置与 LDAP 的安全连接（可选）。注意：不能同时使用启动点和 LDAPS。如果“使用”和“使用”都设置为 true，则“使用启动”优先。
上下文工厂	LDAP 初始上下文工厂。默认为
主机名	服务器主机名。
港口	服务器端口。要使用未加密的连接或使用受 StartTLS 保护的连接，请输入 LDAP 端口号，通常为 389。要使用受 LDAPS 保护的连接，请输入安全连接的端口号，通常为 636。
绑定	用于查询目录服务器的根可分辨名称（DN）。此用户必须具有搜索目录的权限。
绑定密码	根可分辨名称的密码。为了提高安全性，请将密码保存在文件中，不要添加其他字符、空格或换行符。最佳做法是，文件应具有仅所有者权限。`$SDC_CONF/ldap-bind-password.txt` 默认值为@ldap绑定密码.txt@，它指向密码的文件。`ldap-bind-password.txt`
强制绑定登录	确定是否执行绑定登录检查。使用以下选项之一： false - 数据收集器根据从 LDAP 服务器接收的信息执行身份验证。如果设置为 false，则 bindDn 用户必须有权访问用户的详细信息、密码和组信息。用于摘要式身份验证。 true - 数据收集器将用户凭据传递到 LDAP 服务器进行身份验证。设置为 true 时，bindDn 用户必须有权访问用户的组信息。用于微软活动目录（AD）服务器、基本身份验证或表单身份验证，或者存储在 LDAP 服务器中的密码已加密时使用。不要用于摘要式身份验证。默认值为假。
用户群	用户帐户所在的基本 DN。
用户 Id属性	用户 ID 属性的名称。默认值为 uid。
用户密码属性	存储用户密码的属性的名称。默认值为用户密码。对于微软活动目录服务器，请使用空字符串。
用户对象类	用户对象类的名称。默认值为 inetOrgPerson。
用户过滤器	用于登录到数据收集器的用户属性的名称。例如，LDAP 用户可以使用用户名、uid 或电子邮件地址登录。默认值为。`uid={user}`
角色基数	用于搜索角色成员身份的基本 DN。
角色名称属性	角色名称的属性名称。默认值为角色名称。
角色成员属性	用户名的角色属性的名称。默认值为“成员”。
角色对象类	角色对象类。默认值为“名称组”。
角色过滤器	指定 LDAP 组成员是由 DN 还是由 UID 确定的。输入以下值之一： `"member={dn}"`- 当 LDAP 组按完整 DN 列出成员时使用。 `"memberUid={user}"`- 当 LDAP 组按 uid 列出成员时使用。默认值为 DN。

开放乐透示例

让我们看一个示例文件，看看数据收集器如何使用 LDAP 连接信息对 LDAP 用户进行身份验证。ldap-login.conf

以下示例显示了一个 OpenLDAP 服务器的文件：ldap-login.conf

<span style="color:#333333"><span style="background-color:#eeeeee"><code>ldap {
  com.streamsets.datacollector.http.LdapLoginModule required
  debug="true"
  useLdaps="true"
  useStartTLS="false"
  contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
  hostname="server1"
  port="636"
  bindDn="cn=admin,dc=example,dc=net"
  bindPassword="@ldap-bind-password.txt@"
  forceBindingLogin="false"
  userBaseDn="ou=users,dc=example,dc=net"
  userIdAttribute="uid"
  userPasswordAttribute="userPassword"
  userObjectClass="inetOrgPerson"
  userFilter="uid={user}"
  roleBaseDn="ou=groups,dc=example,dc=net"
  roleNameAttribute="cn"
  roleMemberAttribute="member"
  roleObjectClass="groupOfNames"
  roleFilter="member={dn}";
}; </code></span></span>

当 LDAP 用户登录到数据收集器时，数据收集器将使用文件中的连接信息对用户进行身份验证。数据收集器完成以下步骤以对 LDAP 用户进行身份验证：ldap-login.conf

当强制绑定登录设置为 false 时，通过向 LDAP 服务器发送以下查询来检查用户帐户是否已在配置的 LDAP 服务器中注册：
```
<code>ldapsearch -LLL -H ldaps://<hostname>:<port> -x -D <bindDn> -w <bindPassword> -b <userBaseDn> "(&(objectClass=<userObjectClass>)(<userIdAttribute>=username))"</code>
```
例如，让我们使用上面配置的示例文件，假设中定义的密码是“密码”，并假设用户使用用户名登录到数据收集器。数据收集器将以下查询发送到 LDAP 服务器：ldap-login.confldap-bind-password.txtjdoe
```
<code>ldapsearch -LLL -H ldaps://server1:636 -x -D "cn=admin,dc=example,dc=net" -w password -b "ou=users,dc=example,dc=net" "(&(objectClass=inetOrgPerson)(uid=jdoe))"</code>
```
如果用户帐户不存在，则数据收集器身份验证失败。如果用户帐户存在，数据收集器将继续执行下一个身份验证步骤。

注意：当强制绑定登录设置为 true 时，数据收集器不会将此查询发送到 LDAP 服务器。相反，数据收集器会将用户凭据传递到 LDAP 服务器进行身份验证。如果 LDAP 服务器成功对用户帐户进行身份验证，数据收集器将继续执行下一个身份验证步骤。

通过将以下查询发送到 LDAP 服务器来检查用户帐户属于哪个 LDAP 组：

<span style="color:#333333"><span style="background-color:#eeeeee"><code>ldapsearch -LLL -H ldaps://<hostname>:<port> -x -D <bindDn> -w <bindPassword> -b <roleBaseDn> "(&(objectClass=<roleObjectClass>)(member={dn}))"</code></span></span>

例如，使用上面配置的示例文件，数据收集器将以下查询发送到 LDAP 服务器：ldap-login.conf

<span style="color:#333333"><span style="background-color:#eeeeee"><code>ldapsearch -LLL -H ldaps://server1:636 -x -D "cn=admin,dc=example,dc=net" -w password -b "ou=groups,dc=example,dc=net" "(&(objectClass=groupOfNames)(member="cn=jdoe,ou=users,dc=example,dc=net"))"</code></span></span>

LDAP 服务器返回用户所属的 LDAP 组的名称。数据收集器使用组名来确定映射到 LDAP 组的数据收集器角色，如步骤 3 中所述。将 LDAP 组映射到数据收集器角色。

活动目录示例

下面的示例演示微软活动目录（AD）服务器的文件。数据收集器完成与在 OpenLDAP 中相同的步骤来对活动目录中的 LDAP 用户进行身份验证。ldap-login.conf

<span style="color:#333333"><span style="background-color:#eeeeee"><code>ldap {
     com.streamsets.datacollector.http.LdapLoginModule required
     debug="true"
     useLdaps="true"
     useStartTLS="false"
     contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
     hostname="*******"
     port="636"
     bindDn="********"
     bindPassword="@ldap-bind-password.txt@"
     forceBindingLogin="true"
     userBaseDn="ou=Department,dc=Company,dc=net"
     userIdAttribute="sAMAccountName"
     userPasswordAttribute=""
     userObjectClass="person"
     userFilter="sAMAccountName={user}"
     roleBaseDn="ou=Department,dc=Company,dc=net"
     roleNameAttribute="cn"
     roleMemberAttribute="member"
     roleObjectClass="group"
     roleFilter="member={dn}";
};</code></span></span>

步骤2.配置与 LDAP 的安全连接（可选）

您可以选择将数据收集器配置为使用下列方法之一与 LDAP 服务器建立安全连接：

基于 SSL 的 LDAP

使用 SSL 对 LDAP 连接进行加密。LDAPS 使用该方案。ldaps://

启动

启动TLS 可以在连接过程中使用 TLS 包装未加密的连接。这允许同一端口处理未加密和加密的连接。启动TLS 使用该方案。ldap://

对于任一加密方法，如果 LDAP 服务器证书由私有证书颁发机构（CA）签名或不受缺省 Java 信任库的信任，那么必须创建自定义信任库文件或修改缺省 Java 信任库文件的副本以将 CA 添加到该文件中。然后将数据收集器配置为使用修改后的信任库文件。

使用相同的过程来配置任一安全方法。

在$SDC“中，将”使用“属性或”使用“属性设置为 true。
默认情况下，这两个属性都为 false，因此数据收集器与 LDAP 服务器建立未加密的连接。如果将这两个属性都设置为 true，则优先使用启动TLS。
根据需要，根据您启用的方法在 ldap-login.conf 文件中设置端口属性：
- useLdaps - 使用端口号进行安全连接，通常为 636。
- 使用启动 - 使用 LDAP 端口号，通常为 389。
如果 LDAP 服务器证书由专用 CA 签名或不受缺省 Java 信任库的信任，请创建自定义信任库文件或修改缺省 Java 信任库文件的副本以将 CA 添加到该文件中。然后将数据收集器配置为使用修改后的信任库文件。

缺省情况下，数据收集器使用位于 $JAVA_HOME/jre/lib/安全性/存储/存储中的 Java 信任库文件。如果证书由缺省 Java 信任库文件中包含的 CA 签名，那么不需要创建信任库文件，可以跳过此步骤。

在这些步骤中，我们将展示如何修改缺省信任库文件以将其他 CA 添加到受信任 CA 列表中。如果您希望创建自定义信任库文件，请参阅 keytool 文档。
注意：如果您已将数据收集器配置为使用定制信任库文件来启用 HTTPS，那么只需将此附加 CA 添加到您在步骤 2 中创建的同一已修改信任库文件中即可。创建信任库文件。
1. 使用以下命令设置JAVA_HOME环境变量：
```
<code>export JAVA_HOME=<Java home directory></code>
```
2. 使用以下命令设置SDC_CONF环境变量：
```
<code>export SDC_CONF=<Data Collector configuration directory></code>
```
 例如，对于 RPM 安装，请使用：
```
<code>export SDC_CONF=/etc/sdc</code>
```
3. 使用以下命令将缺省 Java 信任库文件复制到数据收集器配置目录：
```
<code>cp "${JAVA_HOME}/jre/lib/security/cacerts" "${SDC_CONF}/truststore.jks"</code>
```
4. 使用以下密钥工具命令将 CA 证书导入到信任库文件中：
```
<code>keytool -import -file <LDAP certificate> -trustcacerts -noprompt -alias <LDAP alias> -storepass <password> -keystore "${SDC_CONF}/truststore.jks"</code>
```
 例如：
```
<code>keytool -import -file myLDAPServer.pem -trustcacerts -noprompt -alias MyLDAPServer -storepass changeit -keystore "${SDC_CONF}/truststore.jks"</code>
```
5. 在SDC_JAVA_OPTS环境变量中定义以下选项：
 - javax.net.ssl.trustStore- 数据收集器计算机上信任库文件的路径。
 - javax.net.ssl.trustStorePassword- 信任库密码。
 使用安装类型所需的方法修改环境变量。
 例如，按如下方式定义选项：
```
<code>export SDC_JAVA_OPTS="${SDC_JAVA_OPTS} -Djavax.net.ssl.trustStore=/etc/sdc/truststore.jks -Djavax.net.ssl.trustStorePassword=mypassword -Xmx1024m -Xms1024m -server -XX:-OmitStackTraceInFastThrow"</code>
```
 或者，要避免在导出命令中保存密码，请将密码保存在文本文件中，然后定义信任库密码选项，如下所示：-Djavax.net.ssl.trustStorePassword=$(cat passwordfile.txt)
 
 然后，确保密码文件只能由执行导出命令的用户读取。
重新启动数据收集器以启用更改。

第3步.将 LDAP 组映射到数据收集器角色

数据收集器角色确定用户可以执行的任务。将 LDAP 组映射到数据收集器角色。属于该 LDAP 组的经过身份验证的用户帐户可以完成由映射的角色确定的任务。

将 LDAP 组映射到数据收集器角色后，可以为这些组分配管道权限。管道权限确定每个用户拥有的管道访问权限。例如，假设您有一个适用于所有管道开发人员的 LDAP 开发人员组。配置数据收集器 LDAP 属性时，将“创建者”角色分配给“开发人员”组，以便他们可以创建新管道。若要允许组编辑现有管道，请配置每个管道的权限，并将读取和写入权限分配给开发人员组。有关详细信息，请参阅角色和权限。

若要将 LDAP 组映射到数据收集器角色，请在数据收集器配置文件中配置 http.authentication.ldap.role.mapping 属性。$SDC_CONF/sdc.properties

数据收集器提供以下角色：

角色	描述: __________
管理	执行任何数据收集器任务。可以执行下面列出的所有任务，以及启动和停止数据收集器、查看数据收集器配置、数据收集器指标和日志信息。使用程序包管理器安装库。生成支持包。
经理	启动和停止管道，监视管道，配置和重置警报。拍摄、查看和管理快照。
造物主	创建和配置管道和警报、预览数据以及监视管道。导入管道。
客人	查看管道和警报，以及常规监视信息。导出管道。

您可以将多个角色映射到同一组，反之亦然。使用分号分隔 LDAP 组，使用逗号分隔数据收集器角色，如下所示：

<span style="color:#333333"><span style="background-color:#eeeeee"><code><ldap group>:<SDC role>,<additional SDC role>,<additional SDC role>);<ldap group>:<SDC role>,<additional SDC role>... </code></span></span>

完成将 LDAP 组映射到角色后，重新启动数据收集器以启用对配置文件的更改。

以下示例将 DEV LDAP 组映射到创建者角色，将 OPS LDAP 组映射到管理者角色，将超级 LDAP 组同时映射到创建者和管理者：

<span style="color:#333333"><span style="background-color:#eeeeee"><code>DEV:creator;OPS:manager;SUPER:creator,manager</code></span></span>

步骤 4.配置多个 LDAP 服务器（可选）

如果您的组织有多个 LDAP 服务器，则可以将数据收集器配置为连接到每个服务器。

您完成配置多个 LDAP 服务器的步骤取决于以下安装类型：

从压缩包、RPM 包或 Docker 集线器安装

要配置多个 LDAP 服务器，只需在 $SDC_CONF/登录名.conf 中配置其他 LDAP 服务器的连接信息。然后，重新启动数据收集器以启用更改。

Cloudera 管理器安装

对于云端管理器安装，请在云端管理器中的高级配置代码段或安全阀中配置其他 LDAP 服务器的连接信息。

在云端管理器中，选择流集服务，然后单击配置。选择“使用安全阀编辑 LDAP 信息”，然后在 ldap.login.conf 安全阀的数据收集器高级配置代码段中配置所有 LDAP 服务器的连接信息。

当您在安全阀中配置多个 LDAP 服务器时，Cloudera 管理器将忽略在配置选项卡中为属性输入的所有值。ldap.*

配置多个 LDAP 服务器时，请遵循以下准则：

用于登录到数据收集器的 LDAP 用户帐户必须至少在一个已配置的 LDAP 服务器中注册才能进行身份验证。
如果 LDAP 用户帐户属于每个 LDAP 服务器中的不同 LDAP 组，则在将 LDAP 组映射到$SDC_CONF/sdc.properties 文件中的数据收集器角色时，请包括所有组名。
如果其他 LDAP 服务器对绑定 DN 使用不同的密码（连接的根可分辨名称（DN），则直接在 bindPassword 属性中定义密码。

注意：配置多个 LDAP 服务器时，数据收集器会尝试按 ldap-login.conf 文件中列出的顺序连接到每台服务器。如果数据收集器成功验证了其中一个 LDAP 服务器中的用户帐户，则数据收集器仍会继续向其余 LDAP 服务器进行身份验证。这可能会导致数据收集器日志文件包含登录失败错误消息。您可以忽略这些错误消息。

以下示例显示了一个配置为连接到两个 OpenLDAP 服务器（服务器 1 和服务器 2）的 ldap-login.conf 文件。每个服务器对绑定 DN 使用相同的密码：

<span style="color:#333333"><span style="background-color:#eeeeee"><code>ldap {
  com.streamsets.datacollector.http.LdapLoginModule required
  debug="true"
  useLdaps="false"
  useStartTLS="false"
  contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
  hostname="server1" 
  port="389"                 
  bindDn="*******"
  bindPassword="@ldap-bind-password.txt@"  
  forceBindingLogin="true"
  userBaseDn="ou=People,dc=example,dc=org"
  userIdAttribute="uid"
  userPasswordAttribute="userPassword"
  userObjectClass="inetOrgPerson"
  userFilter="uid={user}"
  roleBaseDn="ou=Groups,dc=example,dc=org"
  roleNameAttribute="cn"
  roleMemberAttribute="member"
  roleObjectClass="groupOfNames"
  roleFilter="member={dn}";


  com.streamsets.datacollector.http.LdapLoginModule required
  debug="true"
  useLdaps="false"
  useStartTLS="false"
  contextFactory="com.sun.jndi.ldap.LdapCtxFactory"
  hostname="server2" 
  port="389"                
  bindDn="*******"
  bindPassword="@ldap-bind-password.txt@"  
  forceBindingLogin="true"
  userBaseDn="ou=People,dc=example,dc=org"
  userIdAttribute="uid"
  userPasswordAttribute="userPassword"
  userObjectClass="inetOrgPerson"
  userFilter="uid={user}"
  roleBaseDn="ou=Groups,dc=example,dc=org"
  roleNameAttribute="cn"
  roleMemberAttribute="member"
  roleObjectClass="groupOfNames"
  roleFilter="member={dn}";
};</code></span></span>

第5步.为映射器阶段启用 LDAP 身份验证

要将 MapR 阶段与配置为使用 LDAP 身份验证的数据收集器一起使用，必须在配置 LDAP 身份验证后执行其他步骤。

Hadoop 的 MapR 发行版使用 Java 认证和授权服务（JAAS）来控制安全性功能部件。该文件指定 JAAS 的配置参数。$MAPR_HOME/conf/mapr.login.conf

数据收集器期望 LDAP 配置位于 JAAS 配置文件中，并覆盖系统属性以指向此文件。$SDC_CONF/ldap-login.confjava.security.auth.login.config

要避免此冲突，请在文件中配置 LDAP 连接信息后，将文件的内容复制到文件中。$MAPR_HOME/conf/mapr.login.conf$SDC_CONF/ldap-login.confldap-login.conf

例如，使用以下命令将文件的内容追加到文件的末尾： mapr.login.conf ldap-login.conf

<span style="color:#333333"><span style="background-color:#eeeeee"><code>cat $MAPR_HOME/conf/mapr.login.conf >> $SDC_CONF/ldap-login.conf</code></span></span>

配置基于文件的身份验证

如果您的组织不使用 LDAP，请将数据收集器配置为使用默认的基于文件的身份验证。

要配置基于文件的身份验证，请执行以下任务：

配置身份验证属性。
配置数据收集器用户、组和角色。

步骤 1.配置身份验证属性

在数据收集器配置文件中配置身份验证属性。 $SDC_CONF/sdc.properties

使用基于文件的身份验证时，可以使用“基本”、“摘要式”或“窗体”类型。默认情况下，数据收集器使用基于文件的身份验证，并使用表单身份验证类型。

在数据收集器配置文件$SDC_CONF/sdc.属性，通过将 http.authentication.login.module 属性设置为文件来启用基于文件的身份验证。
在$SDC_CONF/sdc.properties 文件中，通过将 http.身份验证属性设置为“基本”、“摘要”或“窗体”来定义 HTTP 身份验证类型。
指定数据收集器是否检查关联的 realm.properties 文件的权限，以确定您所使用的认证类型。将属性设置为下列值之一：
- 如果为 true，则确保 realm.properties 文件只允许所有者访问。
- false 可跳过权限检查。
在下一步中，当您配置数据收集器用户和角色时，您将使用 realm.properties 文件。

步骤2.配置用户、组和角色

对于基于文件的身份验证，您可以配置可以登录到数据收集器的用户。您可以为每个用户帐户分配角色，还可以选择创建组并将其分配给用户帐户。

在属性文件中为您使用的身份验证类型配置用户、组和角色：$SDC_CONF/<身份验证>-realm.属性。

数据收集器角色确定用户可以执行的任务。数据收集器提供了多个默认用户帐户。您可以更改或删除这些用户帐户，也可以创建新的用户帐户。为了提高安全性，请更改默认用户帐户的密码。

您还可以创建组并将组分配给相关用户帐户。使用组可以轻松地将管道权限分配给用户组。管道权限确定每个用户拥有的管道访问权限。

例如，假设您使用基于文件的身份验证，并希望创建一个 Ops 组来管理管道。若要处理此问题，在身份验证属性文件中配置用户时，请授予“经理”角色并为每个操作用户添加 Ops 组。然后，编辑他们需要管理的每个管道，为 Ops 组分配读取和执行权限。有关详细信息，请参阅角色和权限。

对于基于文件的身份验证，数据收集器为以下用户帐户提供相应的角色：

用户登入	角色	任务
`admin` / `admin`	管理	执行任何数据收集器任务。可以执行下面列出的所有任务，以及启动和停止数据收集器、查看数据收集器配置、数据收集器指标和日志信息。使用程序包管理器安装库。生成支持包。
`manager` / `manager`	经理	启动和停止管道，监视管道，配置和重置警报。拍摄、查看和管理快照。
`creator` / `creator`	造物主	创建和配置管道和警报、预览数据以及监视管道。导入管道。
`guest` / `guest`	客人	查看管道和警报，以及常规监视信息。导出管道。

对于基于文件的身份验证，数据收集器还提供了包含每个用户的默认“全部”组，以及“开发”和“测试”组。以下示例用户帐户可用于开发和测试用户组：

用户登入	角色	群
`user1` / `user1`	经理和创建者	开发
`user2` / `user2`	经理和创建者	开发
`user3` / `user3`	经理和创建者	测试
`user4` / `user4`	经理和创建者	测试

在属性文件中为您使用的身份验证类型配置用户和组。例如，如果使用基本身份验证，请使用该文件。basic-realm.properties

要对登录信息进行哈希处理，您可以使用 md5 程序，例如 Mac OS X 上的 md5 或 Linux 上的 md5sum。例如，您可以使用以下命令对密码进行哈希处理，以便密码不显示在提示符中：

<span style="color:#333333"><span style="background-color:#eeeeee"><code>read -s pw && echo "$pw" | md5</code></span></span>

对于基本身份验证和表单身份验证，请单独对密码进行哈希处理。例如，当上述命令提示您输入密码时，请仅输入密码。

对于摘要式身份验证，请<用户名>：<实时>：<密码>的组合进行哈希处理，其中 <realm> 是身份验证类型。例如，当上述命令提示您输入密码时，请输入：

<span style="color:#333333"><span style="background-color:#eeeeee"><code><user name>:<realm>:<password></code></span></span>

如下：

<span style="color:#333333"><span style="background-color:#eeeeee"><code>jdoe:digest-realm:JdoePass</code></span></span>

若要配置用户和组，请修改所使用的身份验证类型的属性文件。
文件名为$SDC_CONF/<身份验证>领域属性。

对于每个新用户，使用以下格式添加用户定义：

<span style="color:#333333"><span style="background-color:#eeeeee"><code><user name>: MD5:<md5-text>, user, <role> [, <additional role>, <additional role>...] [, group:<group>, group:<additional group>...]</code></span></span>

注意：为每个用户分配一个或多个角色。请确保在每个用户定义中包含“用户”。

例如，以下行定义了一个名为 jsmith 的用户，该用户分配了创建者角色和开发组：

<span style="color:#333333"><span style="background-color:#eeeeee"><code>jsmith: MD5:6d0258c2440a7d19e916292b231e3190,user,creator,group:Development</code></span></span>