2.16 - Prestoターゲット コネクタのセキュリティ ガイドライン - Teradata QueryGrid

Teradata® QueryGrid™ インストールとユーザー ガイド

Product
Teradata QueryGrid
Release Number
2.16
Release Date
2021年6月
Content Type
インストール
ユーザー ガイド
構成
管理
Publication ID
B035-5991-061K-JPN
Language
日本語 (日本)

LDAPとOkta

Prestoターゲット コネクタはLDAPまたはOkta認証を使用するように構成できます。

現在QueryGridでは、ユーザー名とパスワードを使用する単純なLDAPまたはOkta認証のみがサポートされています。Prestoターゲット コネクタはユーザー名とパスワードをPrestoコーディネータに送信し、これらの資格情報を外部LDAPまたはOktaサービスを使用して評価します。Active DirectoryとOpen LDAPの両方がサポートされています。Prestoにはセキュリティで保護されたLDAP(LDAPS)が必要なため、LDAPサーバーでTLSを有効にしていることを確認してください。LDAP、Okta、またはKerberosでHTTPSを構成する必要があります。

LDAPまたはOktaセキュリティ モデルを使用するPrestoターゲット コネクタには、次のプロパティ設定が必要です。
設定 説明
ポート HTTPSサーバー ポート、またはpresto config.propertiesファイルのhttp-server.https.port値の値に設定します。
認証メカニズム LDAPまたはOktaに設定します。
ユーザー名 LDAPまたはOktaのユーザー名に設定します。
パスワード LDAPまたはOktaのユーザー パスワードに設定します。
SSLトラスト ストアまたはキー ストアのパス Javaトラスト ストアまたはキー ストアの絶対パスに設定します。
SSLトラスト ストアまたはキー ストアのパスワード SSLトラストまたはキー ストアのパスプロパティに入力したJavaトラスト ストアまたはキー ストア ファイルのパスワードに設定します。

詳細については、Prestoコネクタとリンクのプロパティを参照してください。

Kerberos

Prestoターゲット コネクタでKerberos認証を使用するように、QueryGridを設定できます。
設定 説明
Kerberos Keytab PrestoでKerberosを使用する場合は、キータブ認証を使用する必要があります。

Kerberos認証の設定

Kerberos認証を使用する場合、プリンシパルはユーザー名とKeytabファイルを使用して認証できます。Presto Kerberosのセットアップ手順はhttps://teradata.github.io/presto/docs/current/security/server.htmlに記載されています。リモート サーバーのドライバ ノードは、Kerberos認証を確立します。Prestoコネクタは、必要なファイルの格納場所で構成されます。

Kerberosセキュリティ モデルを使用するPrestoターゲット コネクタには、次のプロパティ設定が必要です。
設定 説明
ポート HTTPSサーバー ポート、またはpresto config.propertiesファイルのhttp-server.https.port値の値に設定します。
認証メカニズム Kerberosに設定します。
ユーザー名 Kerberosプリンシパル名に設定します。
レルム ユーザー名プロパティのKerberosプリンシパルにレルムが含まれていない場合は、Kerberosレルムに設定します。
Kerberos Service Name(Kerberosサービス名) Prestoコーディネータのconfig.propertiesファイルに設定されているhttp-server.authentication.krb5.service-nameと一致する必要があります。
Keytab Keytabファイルの絶対パスに設定します。
SSLトラストまたはキー ストアのパス Javaトラスト ストアまたはキー ストアの絶対パスに設定します。
SSLトラスト ストアまたはキー ストアのパスワード SSLトラストまたはキー ストアのパスプロパティに入力したJavaトラスト ストアまたはキー ストア ファイルのパスワードに設定します。

PrestoでKerberosを使用する場合は、Authorization Objects(承認オブジェクト)またはPassword (パスワード)コネクタ プロパティを使用または設定しないでください。LDAPまたはKerberosが有効なPrestoクラスタではHTTPSを構成する必要があります。詳細については、https://docs.starburstdata.com/latest/security/tls.htmlを参照してください。

Kerberosのメンテナンス

デフォルトのKerberos領域の名前または場所、KDC(キー配布センター)のホストの場所、または管理サーバーに変更が生じた場合、Teradata QueryGridの構成を更新する必要があります。