2.15 - Directrices de seguridad del conector de destino de Presto - Teradata QueryGrid

Teradata® QueryGrid™ Guía de instalación y uso

Product
Teradata QueryGrid
Release Number
2.15
Release Date
Marzo de 2021
Content Type
Administración
Configuración
Guía del usuario
Instalación
Publication ID
B035-5991-031K-ESN
Language
Español (España)

LDAP y Okta

Se puede configurar un conector de destino de Presto para utilizar la autenticación LDAP u Okta.

Actualmente, QueryGrid admite la autenticación LDAP simple u Okta mediante un nombre de usuario y contraseña. El conector de destino de Presto envía un nombre de usuario y una contraseña al coordinador de Presto y valida estas credenciales mediante un servicio LDAP externo u Okta. Se admiten tanto Active Directory como Open LDAP. Presto requiere LDAP seguro (LDAPS), por lo que debe asegurarse de tener TLS habilitado en el servidor LDAP. Se debe configurar HTTPS para LDAP, Okta o Kerberos.

Los siguientes valores de propiedad son obligatorios para los conectores de destino de Presto que utilizan el modelo de seguridad LDAP u Okta.
Configuración Descripción
Puerto Establézcalo como el puerto del servidor HTTPS, o como el valor de http-server.https.port en el archivo presto config.properties.
Mecanismo de autenticación Configúrelo en LDAP u Okta.
Nombre de usuario Establézcalo como el nombre de usuario LDAP u Okta.
Contraseña Establézcala como la contraseña del usuario LDAP u Okta.
Ruta del almacén de confianza o de claves de SSL Establézcala como la ruta absoluta del almacén de claves o el almacén de confianza de Java.
Contraseña del almacén de confianza o de claves de SSL Establézcala como la contraseña del archivo del almacén de claves o el almacén de confianza de Java introducida en la propiedad Ruta del almacén de confianza o de claves de SSL.

Para obtener más información, consulte Propiedades de conectores y enlaces de Presto.

Kerberos

Puede configurar QueryGrid para que utilice la autenticación Kerberos con el conector de destino de Presto.
Configuración Descripción
Kerberos Keytab La autenticación Keytab debe utilizarse cuando se utiliza Kerberos con Presto.

Configuración de autenticación Kerberos

Cuando se utiliza la autenticación Kerberos, se puede autenticar una entidad de seguridad mediante un nombre de usuario y un archivo keytab. Las instrucciones de configuración de Kerberos de Presto se pueden encontrar en https://teradata.github.io/presto/docs/current/security/server.html. El nodo del controlador del servidor remoto establece la autenticación Kerberos; el conector de Presto se configura con la ubicación del archivo necesario.

Los siguientes valores de propiedad son obligatorios para los conectores de destino de Presto que utilizan el modelo de seguridad de Kerberos.
Configuración Descripción
Puerto Establézcalo como el puerto del servidor HTTPS, o como el valor de http-server.https.port en el archivo presto config.properties.
Mecanismo de autenticación Establézcalo en Kerberos.
Usuario Establézcalo en el nombre principal de Kerberos.
Dominio Establézcalo en el dominio Kerberos si la entidad de seguridad de Kerberos en la propiedad username no contiene ya el dominio.
Nombre del servicio Kerberos Debe coincidir con el http-server.authentication.krb5.service-name establecido en el archivo config.properties de coordinador de Presto.
Tabla de claves Configúrelo en la ruta de acceso absoluta al archivo Keytab.
Ruta del almacén de confianza o de claves de SSL Establézcala como la ruta absoluta del almacén de claves o el almacén de confianza de Java.
Contraseña del almacén de confianza o de claves de SSL Establézcala como la contraseña del archivo del almacén de claves o el almacén de confianza de Java introducida en la propiedad Ruta del almacén de confianza o de claves de SSL.

No utilice ni establezca objetos de autorización ni la propiedad de conector de contraseña cuando utilice Kerberos con Presto. Debe considerarse HTTPS para los clústeres de Presto habilitados para Kerberos o LDAP. Consulte https://docs.starburstdata.com/latest/security/tls.html para obtener más información.

Mantenimiento de Kerberos

Debe actualizar la configuración de Teradata QueryGrid si se cambian el nombre o la ubicación del dominio Kerberos predeterminado, la ubicación del host del KDC (centro de distribución de claves) o el servidor de administración.