2.15 - Directrices de seguridad del conector de destino de Teradata - Teradata QueryGrid

Teradata® QueryGrid™ Guía de instalación y uso

Product
Teradata QueryGrid
Release Number
2.15
Release Date
Marzo de 2021
Content Type
Administración
Configuración
Guía del usuario
Instalación
Publication ID
B035-5991-031K-ESN
Language
Español (España)
Los conectores de Teradata admiten mecanismos de seguridad De confianza, TD2, LDAP y Kerberos cuando actúan como conectores de destino. Las siguientes consideraciones se aplican a cada uno de los mecanismos de seguridad:
  • El nombre de usuario y la contraseña asignados y comunicados por el conector de iniciador tienen prioridad sobre aquellos definidos para las propiedades del conector de destino de Teradata.

    Por ejemplo, si el iniciador de Teradata proporciona un objeto de autorización, tiene prioridad sobre la configuración de la propiedad del conector relacionada con la seguridad. La definición de estas propiedades del conector es opcional. Sin embargo, si el conector de iniciador no proporciona credenciales, deben existir un nombre de usuario y una contraseña en la configuración de la propiedad del conector.

  • Si cambia las credenciales en la base de datos para un usuario de QueryGrid, también debe cambiar las credenciales en el conector. Si no se actualizan las credenciales del conector, las conexiones antiguas almacenadas en caché pueden permitir que las consultas se realicen correctamente, pero luego producirán un error cuando las conexiones expiren en la memoria caché.
  • Un administrador puede definir asignaciones de usuario en el portlet QueryGrid si el usuario final del iniciador difiere del usuario final del sistema remoto. Este es el usuario al que se ha concedido el privilegio CONNECT THROUGH del sistema remoto.
  • Para la asignación de usuarios, el usuario local que envía la consulta se asigna al usuario remoto que envía la consulta. La asignación de usuarios se aplica de la forma siguiente:
    • Para un conector de iniciador de Teradata, se puede utilizar la asignación de usuarios cuando se configura con autorización de DEFINER, siempre que el usuario local que envía la consulta no sea el mismo que el usuario que se autentica.
    • Para un conector de destino, la asignación de usuarios se aplica cuando se configura con el mecanismo de autenticación TRUSTED y el usuario remoto no es el mismo que el usuario que se autentica.

De confianza

Las cuentas de usuario o servicio de confianza son un usuario de proxy que actúa en nombre del usuario local. Configure las sesiones de confianza mediante la concesión del privilegio CONNECT THROUGH al usuario de proxy o al usuario final permanente. Para ello, realice los siguientes pasos en el sistema remoto:

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system
Se requieren los siguientes valores de propiedad para los conectores de destino de Teradata mediante el modelo de seguridad de confianza.
Configuración Descripción
Mecanismo de autenticación Establézcalo como De confianza.
Usuario Establézcalo como el nombre de usuario de proxy.
Contraseña Establézcalo como la contraseña para el usuario de proxy.

TD2

Se requieren los siguientes valores de propiedad para los conectores de destino de Teradata con el modelo de seguridad TD2.
Configuración Descripción
Mecanismo de autenticación Establézcalo como TD2.
Usuario Establézcalo como el nombre de usuario autorizado.
Contraseña Establézcalo como la contraseña para el usuario autorizado.

LDAP

Puede configurar los conectores de destino de Teradata para utilizar la autenticación LDAP que incluya un nombre de usuario y una contraseña. Esto significa que las consultas con un destino de Teradata se pueden enviar mediante el mecanismo de seguridad LDAP para autenticarse; por ejemplo, la conexión de Presto a Teradata admite LDAP. Las siguientes propiedades deben configurarse para utilizar LDAP con conectores de destino de Teradata.
Configuración Descripción
Mecanismo de autenticación Establézcalo como LDAP.
Nombre de usuario Establézcalo como el nombre de usuario del directorio LDAP.
Contraseña Establézcalo como la contraseña para el usuario.

Para obtener información detallada acerca de cómo configurar los conectores de destino de Teradata para utilizar la autenticación LDAP, consulte Seguridad: Orange Book de integración de directorios y autenticación de usuarios, 541-0004998.

Kerberos

La configuración de Teradata Kerberos debe completarse antes de configurar QueryGrid. Los siguientes valores de propiedad son obligatorios para los conectores de destino de Teradata que usan el modelo de seguridad de Kerberos.
Configuración Descripción
Mecanismo de autenticación Establézcalo en Kerberos.
Nombre de usuario Establézcalo en el nombre principal de Kerberos.
Contraseña Establézcalo como la contraseña para el nombre de la entidad de seguridad de Kerberos.

QueryGrid autentica una entidad de seguridad mediante una contraseña.

Dominio Establézcalo en el dominio Kerberos.

Para obtener más información, consulte Propiedades de conectores y enlaces de Teradata.

Cifrado de puerta de enlace de Teradata

Se admite el cifrado de puerta de enlace de Teradata.