Kerberosガイドライン
DataStax EnterpriseでのKerberosの概要と推奨事項
このセクションでは、DataStax EnterpriseをKerberosクライアントとして構成する方法について説明します。Kerberosは、セキュリティ保護されていないネットワーク経由で通信するノードが、チケットを使用したセキュアな方法で、相互にIDを確認できるコンピューター・ネットワーク認証プロトコルです。Kerberosのインストールと設定については、MIT Kerberos Consortiumのドキュメントを参照してください。
注: 「Kerberosチュートリアル」には、DataStax EnterpriseをKerberosクライアントとして構成する段階的な手順が説明されています。このチュートリアルは、DataStax EnterpriseおよびOpsCenterでKerberos認証を有効にすることに関心のある方全員を対象にしています。
Kerberosガイドライン
以下の一般的なガイドラインは、Kerberosを設定し、DataStax EnterpriseをKerberosクライアントとして構成する場合に適用されます。
- Kerberosについて学び、MIT Kerberos Consortiumのドキュメントを参照してください。最低限、
kinit
、klist
、kdestroy
コマンドの使用方法を理解しておいてください。 -
注意:Kerberosセキュリティを使用する場合は、Kerberosチケットの範囲に注意する必要があります。suまたはsudoコマンドを使用すると、既存の認証情報が残されたままになり、その新規ユーザーとして再度認証することが必要になります。認証で問題が発生した場合は、適切なKerberosチケットを使用していることを確認してください。
- cassandra.yamlおよびdse.yamlオプションを設定する権限が必要です。
- DataStax EnterpriseノードでKerberosを実装する前に、Kerberosサーバーを設定する必要があります。
- 数台のマシンを認証サーバー(Key Distribution Center [KDC])として設定します。1台のサーバーをプライマリまたは管理KDCとし、その他のサーバーをセカンダリKDCとします。
- Kerberosプリンシパルを管理し、キータブ・ファイルをエクスポートできる権限を有しているか、KDC管理者にそれを依頼できる必要があります。
- KDCサーバーをDataStax Enterpriseノードにインストールしないでください。
- ファイアウォールを各KDCサーバーに設定します。
- KDCマシンを物理的に保護します。
- DataStax Enterpriseを実行しているユーザーが所有するキータブ・ファイルをセキュリティ保護します。ファイルを読み取りおよび書き込みできるのは所有者だけに設定し、その他のユーザーにはパーミッションを与えないようにします(
chmod 600
)。 - Oracle Java 8を使用する場合は、少なくとも1.8.0_40を使用する必要があります。
KerberosをDataStax Enterpriseとともに使用する
以下のトピックでは、KerberosをDataStax Enterpriseのさまざまな機能およびその他のソフトウェアとともに使用するための情報が記載されています。
- KerberosとSSLの同時使用
- Kerberosを使用するためにdsetoolを有効にする
- 監査ロギングをKerberos認証とともに使用している場合、ログイン・イベントはKerberosで発生し、DataStax Enterpriseではログに記録されません。認証履歴は、Kerberosでのみ確認できます。DataStax EnterpriseがKerberosを使用してクライアントを認証できない場合、LOGIN_ERRORイベントがログに記録されます。