为什么 NiFi 不应该限制管理员用户的策略删除?
Why NiFi shouldn't restrict the policy removal for admin user?
我使用的是nifi -1.2.0,开启了Kerberos认证。我在 authorizers.xml 文件的初始管理员身份 属性 中设置了管理员用户。默认情况下,管理员在 NiFi 中拥有完全权限。但是管理员可以删除自己的权限。
一旦删除管理员用户的访问策略,管理员就不能为任何其他用户设置策略。这种行为看起来很奇怪。在任何情况下都不应删除管理员策略,因为我们在 authorizers.xml 文件中设置了管理员用户。
为什么 nifi 不应该限制管理员用户的策略删除?是否需要删除管理员用户本身的权限。
帮助我了解安全流程。
谢谢,
马修斯瓦兰。 S
可以有多个用户具有 "admin" 权限(尽管要清楚,没有特定的 "admin" 角色;只是 broad collection of individual resource policies), and to occasionally restrict those (another admin leaves the organization, transfers to a different role, etc.). I assume in this case, you are talking about the admin user removing the "access all policies" policy from their own account. If you feel that when there is only one user with that policy, they should not be able to remove it, I would suggest you file a Jira request 来更改此行为.
编辑:Matt Gilman 似乎为此问题提交了工单:NIFI-4134。
我使用的是nifi -1.2.0,开启了Kerberos认证。我在 authorizers.xml 文件的初始管理员身份 属性 中设置了管理员用户。默认情况下,管理员在 NiFi 中拥有完全权限。但是管理员可以删除自己的权限。
一旦删除管理员用户的访问策略,管理员就不能为任何其他用户设置策略。这种行为看起来很奇怪。在任何情况下都不应删除管理员策略,因为我们在 authorizers.xml 文件中设置了管理员用户。
为什么 nifi 不应该限制管理员用户的策略删除?是否需要删除管理员用户本身的权限。
帮助我了解安全流程。
谢谢, 马修斯瓦兰。 S
可以有多个用户具有 "admin" 权限(尽管要清楚,没有特定的 "admin" 角色;只是 broad collection of individual resource policies), and to occasionally restrict those (another admin leaves the organization, transfers to a different role, etc.). I assume in this case, you are talking about the admin user removing the "access all policies" policy from their own account. If you feel that when there is only one user with that policy, they should not be able to remove it, I would suggest you file a Jira request 来更改此行为.
编辑:Matt Gilman 似乎为此问题提交了工单:NIFI-4134。