2.17 - Teradata 目标连接器安全指南 - Teradata QueryGrid

充当目标连接器时，Teradata 连接器支持 Trusted、TD2、LDAP、Kerberos 和 Kerberos SSO 安全机制。以下注意事项适用于上述各种安全机制：

• Teradata® QueryGrid™ 组件和连接器兼容性矩阵
• 通过发起程序连接器分配和通信的用户名和密码的优先级高于为 Teradata 目标连接器定义的用户名和密码。

  例如，如果 Teradata 发起程序提供授权对象，则该授权对象的优先级高于与安全相关的连接器属性设置。定义这些连接器属性是可选的。但是，如果发起程序连接器没有提供凭据，则其连接器属性设置中必须存在用户名和密码。

• 如果更改 QueryGrid 用户的数据库凭据，则也必须更改连接器凭据。如果不更新连接器凭据，旧的缓存连接可能会允许查询成功，一旦缓存中的连接过期，查询将失败。
• 如果发起程序最终用户不是远程系统最终用户，则管理员可以在 QueryGrid 门户组件中定义用户映射。此用户是您在远程系统上授予 CONNECT THROUGH 权限的用户。
• 对于用户映射，会将提交查询的本地用户映射到提交查询的远程用户。用户映射应用如下：
  • 对于 Teradata 发起程序连接器，如果提交查询的本地用户不同于要进行身份验证的用户，则可以在使用 DEFINER 授权进行设置时使用用户映射。
  • 对于目标连接器，当使用 TRUSTED 身份验证机制进行设置且远程用户不同于要进行身份验证的用户时，则需进行用户映射。

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system

使用 Trusted 安全模型时，Teradata 目标连接器需要以下属性设置。

Teradata 目标连接器使用 TD2 安全模型时，需要进行以下属性设置。

您可以将 Teradata 目标连接器配置为使用包含用户名和密码的 LDAP 身份验证。这意味着向 Teradata 目标提交查询时可以使用 LDAP 安全机制进行身份验证；例如，Presto 到 Teradata 连接支持 LDAP。必须配置以下属性，以将 LDAP 用于 Teradata 目标连接器。

在配置 QueryGrid 之前必须先完成 Teradata Kerberos 设置。使用 Kerberos 安全模型时，必须对 Teradata 目标连接器设置以下属性。