2.15 - Presto 目标连接器安全准则 - Teradata QueryGrid

Teradata® QueryGrid™ 安装和用户指南

Product
Teradata QueryGrid
Release Number
2.15
Release Date
2021 年 3 月
Content Type
安装
用户指南
管理
配置
Publication ID
B035-5991-031K-CHS
Language
中文 (简体)

LDAP 和 Okta

可将 Presto 目标连接器配置为使用 LDAP 或 Okta 身份验证。

目前,QueryGrid 支持使用用户名和密码的简单 LDAP 或 Okta 身份验证。Presto 目标连接器将用户名和密码发送到 Presto 协调器,并使用外部 LDAP 或 Okta 服务验证这些凭据。Active Directory 和 Open LDAP 均受支持。Presto 需要使用 Secure LDAP (LDAPS),因此请确保已在 LDAP 服务器上启用 TLS。必须为 LDAP、Okta 或 Kerberos 配置 HTTPS。

使用 LDAP 或 Okta 安全模型时,Presto 目标连接器需要设置以下属性。
设置 说明
端口 设置为 HTTPS 服务器端口,或 presto config.properties 文件中 http-server.https.port 的值。
身份验证机制 设置为 LDAP 或 Okta。
用户名 设置为 LDAP 或 Okta 用户名。
密码 设置为 LDAP 或 Okta 用户密码。
SSL 可信或密钥存储的路径 设置为 Java 可信存储或密钥存储绝对路径。
SSL 可信或密钥存储的密码 设置为您在 SSL 可信或密钥存储的路径属性中输入的 Java 可信存储或密钥存储文件的密码。

有关详细信息,请参阅Presto 连接器和链接属性

Kerberos

可以设置 QueryGrid 以将 Kerberos 身份验证用于 Presto 目标连接器。
设置 说明
Kerberos Keytab 将 Kerberos 用于 Presto 时必须使用 Keytab 身份验证。

kerberos 身份验证设置

使用 Kerberos 身份验证时,可以使用用户名和 Keytab 文件对主体进行身份验证。可在 https://teradata.github.io/presto/docs/current/security/server.html 中找到 Presto Kerberos 设置说明。远程服务器上的驱动程序节点会建立 Kerberos 身份验证;使用所需文件的位置配置 Presto 连接器。

使用 Kerberos 安全模型时,必须对 Presto 目标连接器设置以下属性。
设置 说明
端口 设置为 HTTPS 服务器端口,或 presto config.properties 文件中 http-server.https.port 的值。
身份验证机制 设置为 Kerberos。
用户名 设置为 Kerberos 主体名称。
领域 如果用户名属性中的 Kerberos 主体尚未包含该领域,则设置为 Kerberos 域。
Kerberos 服务名称 必须与在 Presto 协调器 config.properties 文件中设置的http-server.authentication.krb5.service-name 相匹配。
密钥表 设置为 Keytab 文件的绝对路径。
SSL 可信或密钥存储的路径 设置为 Java 可信存储或密钥存储绝对路径。
SSL 可信或密钥存储的密码 设置为您在 SSL 可信或密钥存储的路径属性中输入的 Java 可信存储或密钥存储文件的密码。

将 Kerberos 用于 Presto 时,请勿使用或设置授权对象或密码连接器属性。必须为已启用 Kerberos 或 LDAP 的 Presto 集群配置 HTTPS。有关详细信息,请参见https://docs.starburstdata.com/latest/security/tls.html

Kerberos 维护

如果缺省 Kerberos 领域的名称或位置发生了更改,或者 KDC(密钥分发中心)或管理服务器的主机位置发生了更改,您必须更新 Teradata QueryGrid 的配置。