LDAP 和 Okta
可将 Presto 目标连接器配置为使用 LDAP 或 Okta 身份验证。
目前,QueryGrid 支持使用用户名和密码的简单 LDAP 或 Okta 身份验证。Presto 目标连接器将用户名和密码发送到 Presto 协调器,并使用外部 LDAP 或 Okta 服务验证这些凭据。Active Directory 和 Open LDAP 均受支持。Presto 需要使用 Secure LDAP (LDAPS),因此请确保已在 LDAP 服务器上启用 TLS。必须为 LDAP、Okta 或 Kerberos 配置 HTTPS。
| 设置 | 说明 |
|---|---|
| 端口 | 设置为 HTTPS 服务器端口,或 presto config.properties 文件中 http-server.https.port 的值。 |
| 身份验证机制 | 设置为 LDAP 或 Okta。 |
| 用户名 | 设置为 LDAP 或 Okta 用户名。 |
| 密码 | 设置为 LDAP 或 Okta 用户密码。 |
| SSL 可信或密钥存储的路径 | 设置为 Java 可信存储或密钥存储绝对路径。 |
| SSL 可信或密钥存储的密码 | 设置为您在 SSL 可信或密钥存储的路径属性中输入的 Java 可信存储或密钥存储文件的密码。 |
有关详细信息,请参阅Presto 连接器和链接属性。
Kerberos
| 设置 | 说明 |
|---|---|
| Kerberos Keytab | 将 Kerberos 用于 Presto 时必须使用 Keytab 身份验证。 |
kerberos 身份验证设置
使用 Kerberos 身份验证时,可以使用用户名和 Keytab 文件对主体进行身份验证。可在 https://docs.starburst.io/latest/security/kerberos.html 中找到 Presto Kerberos 设置说明。远程服务器上的驱动程序节点会建立 Kerberos 身份验证;使用所需文件的位置配置 Presto 连接器。
| 设置 | 说明 |
|---|---|
| 端口 | 设置为 HTTPS 服务器端口,或 presto config.properties 文件中 http-server.https.port 的值。 |
| 身份验证机制 | 设置为 Kerberos。 |
| 用户名 | 设置为 Kerberos 主体名称。 |
| 领域 | 如果用户名属性中的 Kerberos 主体尚未包含该领域,则设置为 Kerberos 域。 |
| Kerberos 服务名称 | 必须与在 Presto 协调器 config.properties 文件中设置的http-server.authentication.krb5.service-name 相匹配。 |
| 密钥表 | 设置为 Keytab 文件的绝对路径。 |
| SSL 可信或密钥存储的路径 | 设置为 Java 可信存储或密钥存储绝对路径。 |
| SSL 可信或密钥存储的密码 | 设置为您在 SSL 可信或密钥存储的路径属性中输入的 Java 可信存储或密钥存储文件的密码。 |
将 Kerberos 用于 Presto 时,请勿使用或设置授权对象或密码连接器属性。必须为已启用 Kerberos 或 LDAP 的 Presto 集群配置 HTTPS。有关详细信息,请参阅https://docs.starburstdata.com/latest/security/tls.html。
Kerberos 维护
如果缺省 Kerberos 领域的名称或位置发生了更改,或者 KDC(密钥分发中心)或管理服务器的主机位置发生了更改,您必须更新 Teradata QueryGrid 的配置。
Ranger
Teradata QueryGrid 与供应商支持 Ranger 的 Presto 发行版上的 Ranger 兼容。