DSE Unified Authentication(DSE統合認証)の有効化
DSE Unified Authentication(DSE統合認証)を有効にして構成する手順。
DSE Unified Authentication(DSE統合認証)は、3つのプライマリ・バックエンド認証と権限管理サービスへの接続を容易にします。DSE Unified Authentication(DSE統合認証)では以下のサービスを使用します。
- DSE Authenticator(DSEオーセンティケーター):内部パスワード認証、LDAPパススルー認証、およびKerberos認証を使用した認証を提供します。
- DSE Role Manager(DSEロール・マネージャー):ユーザー名をロール名にマッピングしてロールを割り当てたり、LDAPのグループ・メンバーシップを検索してグループ名をロール名にマップしたりします。
- DSE Authorizer(DSEオーソライザー):データベース・オブジェクトのアクセスを制御します。
デフォルトでは、DSE Authenticator(DSEオーセンティケーター)とDSE Authorizer(DSEオーソライザー)は無効になっています。DseAuthenticator以外のオーセンティケーターはサポートされていません。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/dse.yaml |
tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
cassandra.yaml
cassandra.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/cassandra/cassandra.yaml |
tarボール・インストール | installation_location/resources/cassandra/conf/cassandra.yaml |
始める前に
認証を有効にする前に、次の手順を完了します。
- KerberosやLDAPなどの外部認証方法を構成するときは、サービスがアクティブで利用可能であることを確認してください。警告: 認証スキームまたはロール管理モードが構成されていても利用できない場合、DSEは起動に失敗します。
system_auth
キースペースとdse_security
キースペースを、データ・センターごとに3~5のレプリケーション係数を使用するように構成します。「セキュリティ・キースペースのレプリケーション係数の設定」を参照してください。- 既存の環境で認証を有効にする場合は、ドライバーをアップグレードし、アプリケーションを構成して認証情報を提供します。
anonymous
ロールを使用して接続できるようにするには、遷移モードの使用を検討してください。詳細については、「プロダクション環境向けの手順」を参照してください。
手順
各ノードに次の更新を適用します。
-
cassandra.yaml ファイルで、DSE Unified Authentication(DSE統合認証)と権限管理の機能が構成されていることを確認します。
-
dse.yaml ファイルで、対応するオプションを構成します。
-
選択された認証スキーム・オプションを構成します。
警告: DSEを開始するには、kerberos_optionsやldap_optionsで参照される外部サービスにアクセス可能である必要があります。Kerberosベースの認証を使用していない場合は、kerberos_optionsをコメント解除します。
-
nodetool
とdsetool
の操作を許可するようにJMX認証を設定します。「JMX認証の構成」を参照してください。 - DSEを再起動します。「DataStax Enterpriseをサービスとして起動」または「DataStax Enterpriseをスタンドアロン・プロセスとして起動」を参照してください。
次のタスク
- スーパーユーザー・ログインの追加
- ロールを作成し、パーミッションを設定します。参照:ログインとユーザーの設定