Teradata 目标连接器安全指南 - Teradata QueryGrid

充当目标连接器时，Teradata Connector 支持 Trusted、TD2、LDAP、Kerberos、Kerberos SSO 和 TDNEGO 安全机制。以下注意事项适用于上述各种安全机制：

• Teradata® QueryGrid™ 组件和连接器兼容性矩阵
• 通过发起程序连接器分配和通信的用户名和密码的优先级高于为 Teradata 目标连接器定义的用户名和密码。

  例如，如果 Teradata 发起程序提供授权对象，则该授权对象的优先级高于与安全相关的连接器属性设置。定义这些连接器属性是可选的。但是，如果发起程序连接器没有提供凭据，则其连接器属性设置中必须存在用户名和密码。

• 如果更改 QueryGrid 用户的数据库凭据，则也必须更改连接器凭据。如果不更新连接器凭据，旧的缓存连接可能会允许查询成功，一旦缓存中的连接过期，查询将失败。
• 如果发起程序最终用户不是远程系统最终用户，则管理员可以在 QueryGrid 门户组件中定义用户映射。此用户是您在远程系统上授予 CONNECT THROUGH 权限的用户。
• 对于用户映射，会将提交查询的本地用户映射到提交查询的远程用户。用户映射应用如下：
  • 对于 Teradata 发起程序连接器，如果提交查询的本地用户不同于要进行身份验证的用户，则可以在使用 DEFINER 授权进行设置时使用用户映射。
  • 对于目标连接器，当使用 TRUSTED 身份验证机制进行设置且远程用户不同于要进行身份验证的用户时，则需进行用户映射。
  • 对于目标连接器，当使用Trusted连接器属性设置为 true 并且远程用户与要进行身份验证的用户不同时，用户映射适用于 TD、TDNEGO、LDAP 或 Kerberos 身份验证机制。

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system

使用 Trusted 安全模型时，Teradata 目标连接器需要以下属性设置。

Teradata 目标连接器使用 TD2 安全模型时，需要进行以下属性设置。

您可以将 Teradata 目标连接器配置为使用包含用户名和密码的 LDAP 身份验证。这意味着向 Teradata 目标提交查询时可以使用 LDAP 安全机制进行身份验证；例如，Presto 到 Teradata 连接支持 LDAP。必须配置以下属性，以将 LDAP 用于 Teradata 目标连接器。

在配置 QueryGrid 之前必须先完成 Teradata Kerberos 设置。使用 Kerberos 安全模型时，必须对 Teradata 目标连接器设置以下属性。

配置 TDNEGO 身份验证机制时，实际身份验证机制由 TDGSS 自动确定，无需用户参与。Teradata 建议在要使用的正确身份验证机制未知的情况下使用此过程。将身份验证机制设置为 TDNEGO，并在授权对象或连接器属性中提供凭据。

• TDNEGO 支持的身份验证机制：TD2、LDAP、Kerberos 和 Kerberos SSO
• 可用性：在所有支持的客户端和服务器平台上
• 用户名和密码：基于选择的身份验证机制

HTTPS/TLS 连接适用于 Teradata JDBC 驱动程序 17.10.00.07，并与以下数据库兼容：

• Teradata 高级 SQL 引擎 17.10 及更高版本
• Teradata 高级 SQL 引擎 16.20.53.30 及更高版本