2.09 - Teradata 目标连接器安全指南 - Teradata QueryGrid

Teradata® QueryGrid™ 安装和用户指南

prodname
Teradata QueryGrid
vrm_release
2.09
created_date
2019 年 5 月
category
安装
用户指南
管理
配置
featnum
B035-5991-059K-CHS
充当目标连接器时,Teradata 连接器支持 Trusted、TD2、LDAP 和 Kerberos 安全机制。以下注意事项适用于上述各种安全机制:
  • 通过发起程序连接器分配和通信的用户名和密码的优先级高于为 Teradata 目标连接器定义的用户名和密码。

    例如,如果 Teradata 发起程序提供授权对象,则该授权对象的优先级高于与安全相关的连接器属性设置。定义这些连接器属性是可选的。但是,如果发起程序连接器没有提供凭据,则其连接器属性设置中必须存在用户名和密码。

  • 如果发起程序最终用户不是远程系统最终用户,则管理员可以在 QueryGrid 门户组件中定义用户映射。此用户是您在远程系统上授予 CONNECT THROUGH 权限的用户。
  • 对于用户映射,会将提交查询的本地用户映射到提交查询的远程用户。用户映射应用如下:
    • 对于 Teradata 发起程序连接器,可以在使用 DEFINER 授权进行设置时使用用户映射,以使提交查询的本地用户不同于要进行身份验证的用户。
    • 对于目标连接器,当使用 TRUSTED 身份验证机制进行设置时,用户映射适用,且远程用户不同于要进行身份验证的用户。

Trusted

可信用户或可信服务帐户是代表本地用户行事的代理用户。通过授予代理用户或永久最终用户 CONNECT THROUGH 权限,可以配置可信会话。要实现此目的,请在远程系统上执行以下步骤:

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system
使用 Trusted 安全模型时,Teradata 目标连接器需要以下属性设置。
设置 说明
身份验证机制 设置为“Trusted”。
用户名 设置为代理用户名。
密码 设置为代理用户的密码。

TD2

Teradata 目标连接器使用 TD2 安全模型时,需要进行以下属性设置。
设置 说明
身份验证机制 设置为 TD2。
用户名 设置为授权用户名。
密码 设置为授权用户的密码。

LDAP

您可以将 Teradata 目标连接器配置为使用包含用户名和密码的 LDAP 身份验证。这意味着向 Teradata 目标提交查询时可以使用 LDAP 安全机制进行身份验证;例如,Presto 到 Teradata 连接支持 LDAP。必须配置以下属性,以将 LDAP 用于 Teradata 目标连接器。
设置 说明
身份验证机制 设置为 LDAP。
用户名 设置为 LDAP 目录用户名。
密码 设置为用户的密码。

有关如何配置 Teradata 目标连接器以使用 LDAP 身份验证的详细信息,请参见《Orange Book: User Authentication and Directory Integration》。

Kerberos

在配置 QueryGrid 之前必须先完成 Teradata Kerberos 设置。使用 Kerberos 安全模型时,必须对 Teradata 目标连接器设置以下属性。
设置 说明
身份验证机制 设置为 Kerberos。
用户名 设置为 Kerberos 主体名称。
密码 设置为 Kerberos 主体名称的密码。

QueryGrid 使用密码对主体进行身份验证。

领域 设置为 Kerberos 领域。

有关详细信息,请参阅Teradata 连接器和链接属性