DSEロール管理の構成

DSEロール・マネージャーを構成するためのステップ。 LDAPグループまたはCassandraロールとのユーザーの関連付けに基づいて、ユーザーを認証します。

DSEロール・マネージャーは、Cassandraロールで直接操作するか、外部LDAPグループをCassandraロールにマップできます。DSEロール・マネージャーをDSEオーソライザーで使用すると、ロール・ベースのアクセス制御(RBAC)が使用できるようになります。RBACでは、関連する権限をロールに付与することでこの権限をバンドルできるようになるため、パーミッション管理が簡素化されます。ロールは、特定のデータベース・ユーザーまたは他のロールに割り当てることができます。ユーザーとは、ログインする能力を持つロールです。
dse.yamlファイルの場所は、インストールのタイプによって異なります。
Installer-Services /etc/dse/dse.yaml
パッケージ・インストール /etc/dse/dse.yaml
Installer-No Services install_location/resources/dse/conf/dse.yaml
tarボール・インストール install_location/resources/dse/conf/dse.yaml
cassandra.yamlファイルの場所は、インストールのタイプによって異なります。
パッケージ・インストール /etc/dse/cassandra/cassandra.yaml
tarボール・インストール install_location/resources/cassandra/conf/cassandra.yaml

手順

各ノードで、次のようにします。

  1. 認証を構成して、認証を有効にします。
  2. cassandra.yamlファイルで、role_managerrole_manager:com.datastax.bdp.cassandra.auth.DseRoleManager(デフォルト値)であることを確認します。
  3. dse.yamlファイルで、role_management_optionsを設定して、DataStax Enterpriseまたは外部LDAPサーバーで内部的にロールを管理するかどうかを定義します。
    role_management_options:
    mode:internal
    modeの場合、以下の値のいずれかを選択します。
    • internal - (デフォルト)ロールの付与および取り消しは、GRANT ROLEおよびREVOKE ROLEステートメントを使用してCQLで設定されるCassandraデータベース・ロールによって内部的に管理されます。ユーザーは、ログインするために一致するCassandraロールを持つ必要があります。権限を構成するには、「権限管理およびオブジェクト・パーミッションの構成」を参照してください。
    • ldap - ロールの付与および取り消しは、ldap_optionsを使用して構成された外部LDAPサーバーによって管理されます。ロール管理は、外部LDAPディレクトリー・サーバーによって処理されます。DSEロール・マネージャーは、外部LDAPディレクトリー・サーバーからユーザーのロール割り当てをフェッチします。これは、LDAPユーザーのLDAPグループをフェッチすることで実行されます。LDAPグループは、使用可能な一致するCassandraロールを持つ必要があります。Cassandra内の他のロールにロールを付与したり、ロールからロールを取り消すことはできません。ユーザーは、ログインするために一致するCassandraロールを持つ必要はありませんが、ログイン能力を持つCassandraロールに属する必要はあります。LDAP認証を構成して使用するには、「LDAPの構成」の手順を行います。