LCMを使用したDSEセキュリティの構成

DataStax Enterpriseクラスターの認証は、Lifecycle Manager構成プロファイルでデフォルトで有効になっています。

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。

パッケージ・インストール：/etc/opscenter/opscenterd.conf
tarボール・インストール：install_location/conf/opscenterd.conf

DataStax Enterpriseクラスターの認証は、Lifecycle Manager（LCM）構成プロファイルでデフォルトで有効になっています。構成プロファイルでは、デフォルトで［DseAuthenticator］を使用します。認証タイプを変更するには、［Config Profile］をクリックし、［Cassandra］セクションの［cassandra.yaml］を選択して、［authenticator］を変更します。

以下のリンクでは、cassandra.yaml構成ファイルの使用可能なセキュリティ・オプションの詳細を確認できます。

authenticator
authorizer
role_manager
server_encryption_options （internode_encryption）
client_encryption_options
transparent_data_encryption_options

LCMによって生成された内部認証局

証明書を手動で準備してデプロイするプロセスは、セキュリティ機能の使用を妨げる可能性があります。デプロイを簡略化するには、Lifecycle Managerにより必要に応じて内部認証局を使用して証明書を生成します。

LCMを初めて起動すると、自己署名による2048ビットのRSA認証局が作成され、[lifecycle_manager].cacerts_directory（opscenterd.conf内）に格納されます。
インストール・ジョブまたは構成ジョブを実行する場合、LCMでは、必要に応じてノードごとにキーストアとトラストストアが生成されます。ノード間の暗号化またはクライアントとノード間の暗号化を有効にしている場合に、構成プロファイルで指定された場所に既存のキーストアまたはトラストストアがないと、証明書の生成が行われます。
ノードごとにキーストアが生成されると、LCMは、ノードに対する証明書の署名要求を作成し、内部認証局により要求に署名して、生成された証明書をJKS形式のキーストアにパッケージ化します。
ノードごとにトラストストアが生成されると、LCMはCA証明書をJKS形式のトラストストアにパッケージ化します。すべてのクラスターにあるすべてのノードの証明書の署名に同じCAが使用されるため、自動的に生成されたすべての証明書を検証できます。

LCMによって生成された証明書を使用するには、「LCM以外で生成された証明書の使用」を参照してください。