
TDH平台
安装Guardian
Guardian作为TDH集群的基础安全服务,需要通过Transwarp Manager进行安装,并且必须在第一次集群安装完毕后才能安装。
-
从Transwarp Manager菜单选择全局服务 > Guardian:
-
若您的集群还未安装Guardian,Transwarp Manager会弹出提示,您可以在这里选择是否安装,点击“确认”继续:
-
选择Guardian服务的版本,并点击“下一步”:
-
为Guardian服务分配角色。Guardian服务支持高可用性(HA),所以您可以选择启用多台节点作为Guardian Server。我们建议您按照界面推荐的角色个数安装,分布可根据实际情况进行调整。右侧“依赖关系”中必选平台全局的KunDB。配置完成后点击“下一步”继续。
-
设置Guardian服务中的三个重要的密码,包括:
-
Guardian管理员密码。Guardian管理员将管理集群上所有用户在Guardian中的用户名和密码。
-
OpenLDAP超级密码。OpenLDAP超级密码用于管理ApacheDS自身。
-
Guardian Federation管理员密码。Guardian Federation管理员可对Guardian Federation中的租户、用户等进行管理。
-
-
设置完成后点击“下一步”继续。
-
进入服务总览页面,检查您的配置,其中guardian.ds.realm配置项表示Kerberos域名,推荐设置为由全大写英文组成的自定义值,且与其他集群该值互不相同。原则上该值不能在安装完成后修改。当所有配置确认无误后点击“下一步”:
-
系统会弹出确认窗口,点击“确认”开始安装Guardian。安装完成后您会看到成功页面,点击“完成”回到Transwarp Manager主页面。
访问Guardian
安装完成后,您可以通过浏览器访问Guardian Server,进行管理权限等操作。TDH平台可从Transwarp Manager最上方导航栏中全局服务 > Guardian进入Guardian的角色列表,在其中点击可用的Guardian Server访问链接。

由于TDH集群的Guardian默认采用Guardian Federation提供的OAuth 2.0 认证机制,首次登录时会自动跳转到Guardian Federation登录页面(需要在浏览器所在机器中配置好节点IP与主机名的映射)。默认会自动选择“租户内用户”的登录方式,租户ID在TDH中为安装Guardian时设置的Kerberos realm名,TDC中为英文加数字组成的租户名;用户为Guardian中存储的用户。输入用户名、密码及验证码后成功登录后可自动跳转回Guardian服务页面:

TDC平台
安装Guardian
TDC平台的每个租户下都会部署一套Guardian服务。对于系统租户下的Guardian安装,可参考对应版本《TDC安装手册》中“安装TDC”一节;而其他租户下的Guardian,是在创建租户的过程中由TDC平台自动安装的,版本与系统租户下的相同,不可自定义Guardian的版本。
访问Guardian
TDC平台可登录对应租户的TCC服务,点击"安全服务"进入。

TDC集群租户内的Guardian采用CAS单点登录协议(从TDC 3.1.0开始默认改为Guardian Federation),首次登录时会自动跳转到CAS登录页。其中用户为Guardian中存储的用户。输入用户名、密码及验证码后成功登录后可自动跳转回Guardian服务页面:

