Teradata 到 Teradata 和 Teradata 到 Hive 链接支持具有高级 SQL 引擎未约束委派功能的 Kerberos 单点登录 (Kerberos SSO)。使用 Kerberos SSO,可以利用 krb5 机制从发起 Teradata 系统进行单点登录以运行 QueryGrid 查询。在连接器属性或授权对象中均无需传递目标凭据。Kerberos 令牌从发起 Teradata 系统委派给目标系统,并在使用 GSSAPI 登录的目标系统上导入。
此功能在 Hive 和 Teradata 远程连接器中随附一个新的身份验证机制 Kerberos SSO。
Kerberos SSO 使用注意事项
- Kerberos 版本 1.11 及更高版本支持此功能。
- 高级 SQL 引擎版本 17.10 及更高版本支持此功能。
- 此功能需要 SLES 12 或更高版本。
- 发起 Teradata 和远程系统必须配置在同一 Kerberos 领域(跨领域除外)。
- 从发起 Teradata 系统登录时必须使用 Kerberos 机制。
- 必须将发起 Teradata 系统上的 dbscontrol 标志 ForwardCredential 设置为 TRUE(缺省值),才能在数据库中启用此功能。
- 必须将 Kerberos 票证配置为发起系统中的 forwardable。
- QueryGrid 不支持令牌的 Expiry 或 renewal。
- 当身份验证机制为 Kerberos SSO 时,连接器诊断检查不受支持。