LDAP y Okta
Se puede configurar un conector de destino de Presto para utilizar la autenticación LDAP u Okta.
Actualmente, QueryGrid admite la autenticación LDAP simple u Okta mediante un nombre de usuario y contraseña. El conector de destino de Presto envía un nombre de usuario y una contraseña al coordinador de Presto y valida estas credenciales mediante un servicio LDAP externo u Okta. Se admiten tanto Active Directory como Open LDAP. Presto requiere LDAP seguro (LDAPS), por lo que debe asegurarse de tener TLS habilitado en el servidor LDAP. Se debe configurar HTTPS para LDAP, Okta o Kerberos.
Configuración | Descripción |
---|---|
Puerto | Establézcalo como el puerto del servidor HTTPS, o como el valor de http-server.https.port en el archivo presto config.properties. |
Mecanismo de autenticación | Configúrelo en LDAP u Okta. |
Nombre de usuario | Establézcalo como el nombre de usuario LDAP u Okta. |
Contraseña | Establézcala como la contraseña del usuario LDAP u Okta. |
Ruta del almacén de confianza o de claves de SSL | Establézcala como la ruta absoluta del almacén de claves o el almacén de confianza de Java. |
Contraseña del almacén de confianza o de claves de SSL | Establézcala como la contraseña del archivo del almacén de claves o el almacén de confianza de Java introducida en la propiedad Ruta del almacén de confianza o de claves de SSL. |
Para obtener más información, consulte Propiedades de conectores y enlaces de Presto.
Kerberos
Configuración | Descripción |
---|---|
Kerberos Keytab | La autenticación Keytab debe utilizarse cuando se utiliza Kerberos con Presto. |
Configuración de autenticación Kerberos
Cuando se utiliza la autenticación Kerberos, se puede autenticar una entidad de seguridad mediante un nombre de usuario y un archivo keytab. Las instrucciones de configuración de Kerberos de Presto se pueden encontrar en https://docs.starburst.io/latest/security/kerberos.html. El nodo del controlador del servidor remoto establece la autenticación Kerberos; el conector de Presto se configura con la ubicación del archivo necesario.
Configuración | Descripción |
---|---|
Puerto | Establézcalo como el puerto del servidor HTTPS, o como el valor de http-server.https.port en el archivo presto config.properties. |
Mecanismo de autenticación | Establézcalo en Kerberos. |
Usuario | Establézcalo en el nombre principal de Kerberos. |
Dominio | Establézcalo en el dominio Kerberos si la entidad de seguridad de Kerberos en la propiedad username no contiene ya el dominio. |
Nombre del servicio Kerberos | Debe coincidir con el http-server.authentication.krb5.service-name establecido en el archivo config.properties de coordinador de Presto. |
Tabla de claves | Configúrelo en la ruta de acceso absoluta al archivo Keytab. |
Ruta del almacén de confianza o de claves de SSL | Establézcala como la ruta absoluta del almacén de claves o el almacén de confianza de Java. |
Contraseña del almacén de confianza o de claves de SSL | Establézcala como la contraseña del archivo del almacén de claves o el almacén de confianza de Java introducida en la propiedad Ruta del almacén de confianza o de claves de SSL. |
No utilice ni establezca objetos de autorización ni la propiedad de conector de contraseña cuando utilice Kerberos con Presto. Debe configurarse HTTPS para los clústeres de Presto habilitados para Kerberos o LDAP. Consulte https://docs.starburstdata.com/latest/security/tls.html para obtener más información.
Mantenimiento de Kerberos
Debe actualizar la configuración de Teradata QueryGrid si se cambian el nombre o la ubicación del dominio Kerberos predeterminado, la ubicación del host del KDC (centro de distribución de claves) o el servidor de administración.
Ranger
Teradata QueryGrid es compatible con Ranger en cualquier distribución de Presto donde el proveedor admita Ranger.