Oracle 目标连接器安全指南 - Teradata QueryGrid

Teradata® QueryGrid™ 安装和用户指南
Product
Teradata QueryGrid
Release Number
2.19
Published
2022 年 7 月
Language
中文 (简体)
Last Update
2022-08-23
dita:mapPath
zh-CN/jpf1654813554544.ditamap
dita:ditavalPath
ft:empty
dita:id
lxg1591800469257
Product Category
Analytical Ecosystem
当作为目标连接器时,Oracle 连接器支持数据库(数据库密码)、操作系统 (OS Auth)、加密(SSL 或 NNE)以及 Kerberos 安全机制的身份验证。Teradata 连接器在充当目标连接器时支持 Trusted、LDAP 和 Kerberos 安全机制。以下注意事项适用于上述各种安全机制:
  • 通过发起程序连接器分配和通信的用户名和密码的优先级高于为 Oracle 目标连接器定义的用户名和密码。

    例如,如果 Teradata 发起程序提供授权对象,Teradata 发起程序设置的优先级将高于安全相关的 Oracle 连接器属性设置。例如,如果 Teradata 发起程序提供授权对象,则该授权对象的优先级高于与安全相关的连接器属性设置。定义这些连接器属性是可选的。但是,如果发起程序连接器没有提供凭据,则其连接器属性设置中必须存在用户名和密码。例如,如果 Teradata 发起程序提供授权对象,则该授权对象的优先级高于与安全相关的连接器属性设置。定义这些连接器属性是可选的。但是,如果发起程序连接器没有提供凭据,则其连接器属性设置中必须存在用户名和密码。

  • 如果使用 OS Auth 授权,管理员可以在 QueryGrid 门户组件中定义用户映射。
  • 对于用户映射,会将提交查询的本地用户映射到提交查询的目标用户。当 Oracle 数据库与 OS 授权机制一起设置时, 用户映射适用, 目标用户与身份验证用户不同。

身份验证

数据库
Oracle 将加密的凭据信息和用户密码存储在数据字典中,以对试图连接到数据库的用户进行身份验证。
Oracle 目标连接器使用数据库密码身份验证时,需要进行以下属性设置。
设置 说明
身份验证机制 设置为 DB Password。
用户名 [可选] 设置为授权的用户名。
密码 [可选] 为授权用户设置密码。
操作系统
操作系统身份验证选项仅在内部系统中可用。
Oracle 目标连接器使用 OS Auth 身份验证时,需要进行以下属性设置。Teradata Connector 用户名的优先级高于在 Oracle 连接器属性中设置的用户名和密码。
设置 说明
身份验证机制 设置为 OS Auth。
用户名 [可选] 设置为授权的用户名。
kerberos

在配置 QueryGrid 之前,必须先完成 Teradata Kerberos 设置。使用 Kerberos 安全模型时,必须对 Teradata 目标连接器设置以下属性。Teradata Connector 用户名以 Oracle 连接器属性中设置的用户名和密码为先例。密码和 keytab 都可以选择进行身份验证,如果同时提供,密码优先于 keytab 身份验证。

设置 说明
身份验证机制 设置为 Kerberos。
用户名 [可选] 设置为 Kerberos 主体名称。
密码 [可选] 设置为 Kerberos 主体名称的密码。

QueryGrid 使用密码对主体进行身份验证。
密钥表 设置为 Kerberos Keytab 文件的绝对路径。

有关更多信息,请参见Oracle 连接器和链接属性

SSL
SSL 可用于对任何 Oracle 服务器(已配置为通过 SSL 通信)的任何客户端进行身份验证。SSL 身份验证可与其他身份验证方法(如数据库密码、Kerberos 等)一起使用。设置 SSL 时必须配置以下连接器属性。
设置 SSL 身份验证需要设置 SSL 加密。
设置 说明
身份验证机制 设置为 SSL。
加密机制 设置为 SSL。
SSL 身份验证 使用下列选项之一,设置要在活动服务器和备用服务器之间使用的身份验证类型:
  • Server - 仅服务器对客户端进行身份验证
  • Server and Client - 两者相互验证
  • Neither - 仅使用加密,不进行身份验证
端口 设置为用于加密通信的端口。
信任库密码 设置 SSL 信任库密码。
信任库路径 设置服务器进行验证时发送的信任库证书路径。仅当 SSL 身份验证设置为“Server”或“Both”时可用。
信任库类型 设置 SSL 信任库类型。
密钥库密码 设置 SSL 密钥库密码。
密钥库路径 设置客户端进行验证时发送的密钥库证书路径。仅当 SSL 身份验证设置为“Server”或“Both”时可用。
密钥库类型 设置密钥库类型。

加密

可以将 Oracle database 配置为支持安全套接字层 (SSL) 或本地网络加密 (NNE),但不能同时支持两者。有关详细信息,请参阅 Oracle 用户手册。

SSL
Oracle 客户端和 Teradata 实例之间进行 SSL 加密通信。设置 SSL 时必须配置以下连接器属性。
设置 说明
加密机制 设置为 SSL。
SSL 身份验证 使用下列选项之一,设置要在活动服务器和备用服务器之间使用的身份验证类型:
  • Server - 仅服务器对客户端进行身份验证
  • Server and Client - 两者相互验证
  • Neither - 仅使用加密,不进行身份验证
端口 设置为用于加密通信的端口。
SSL 服务器 DN 要匹配的服务器判别名。如果 SSL 身份验证设置为 "server" 或 "both",则除了进行服务器身份验证之外,您还可以选择匹配此判别名。
信任库路径 设置服务器进行验证时发送的信任库证书路径。仅当 SSL 身份验证设置为“Server”或“Both”时可用。
信任库类型 设置 SSL 信任库类型。
信任库密码 设置 SSL 信任库密码。
密钥库密码 设置 SSL 密钥库密码。
密钥库路径 设置客户端进行验证时发送的密钥库证书路径。仅当 SSL 身份验证设置为“Server”或“Both”时可用。
密钥库类型 设置密钥库类型。
NNE
NNE 加密允许数据在数据库实例之间来回移动时进行加密。
设置 说明
加密机制 设置为 NNE。
NNE 加密级别 当客户端或充当客户端的服务器连接到数据库实例时,设置为加密行为级别。
NNE 加密类型 数据库实例使用的加密算法列表。算法按所列顺序轮流进行解密,直到其中一种算法成功解密或到达算法列表末尾。
NNE 完整性级别 当客户端或充当客户端的服务器连接到数据库实例时,设置为数据完整性级别。
NNE 完整性类型 设置校验和算法。