Kerberosプリンシパルのロールの追加
Kerberosプリンシパル名に一致するロールを作成します。
内部でロール管理モードを使用する場合、ユーザーのプリンシパル名に一致するロールを作成し、ユーザーがログインしてCQL要求を実行できるようにします。
注: DSEは、プリンシパル名がLDAPユーザーの電子メール・アドレス属性と一致する場合、LDAPロール管理によるKerberos認証をサポートします。user_memberof_attributeオプションを使用して、グループ検索を構成します。
手順
-
ログインを有効にして、Kerberos REALMを含むプリンシパル名と一致するロールを作成します。
CREATE ROLE "user_name@REALM" WITH LOGIN = true;
- user_name@REALM - 完全なユーザー・プリンシパル名。大文字または特殊文字を含むロール名は、常に二重引用符で囲みます。
LOGIN = true
- ロールがデータベースにアクセスできるようにします。- (オプション)
SUPERUSER = true
- すべてのデータベース・オブジェクトへのフル・アクセス権をユーザーに付与します。「superuserログインの追加」を参照してください。
-
割り当てを認証スキームにバインドします。
GRANT EXECUTE ON KERBEROS SCHEME TO 'user_name@REALM';
単一引用符でロール名を囲みます。名前は大文字と小文字が区別されます。
-
新しいロールを管理するための別のロールを許可するには、次のようにします。
GRANT AUTHORIZE FOR ALTER, DROP ON new_role_name TO management_role;
ヒント: すべてのスーパーユーザーは、すべてのロールに対する承認パーミッションを持ちます。このロールを作成したロールは、そのロールへのすべてのパーミッションが付与されます。