Kerberosを使用してDSE GraphとGremlin Consoleを使用する
Graph remote.yamlで認証、Kerberos、およびSSL用のユーザー名とパスワードを設定します。
セキュリティが有効な環境でDataStax Enterprise Graphを実行するには、Graphの remote.yamlで設定を構成します。
- DSE Unified Authentication(DSE統合認証) - ユーザー名とパスワードまたはKerberosプリンシパル名を設定します
- SSL暗号化 - キーストアへのパスを有効にして設定します
remote.yaml
remote.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/graph/gremlin-console/conf/remote.yaml |
tarボール・インストール | installation_location/resources/graph/gremlin-console/conf/remote.yaml |
手順
Gremlin Console接続の認証を以下のように構成します。
- Kerberos設定
- Kerberosパラメーターをremote.yamlで以下のように設定します。
hosts: [KMS_hostname] username: null password: null jaasEntry: DseClient # protocol is the the same as the service_principal set in dse.yaml protocol: kerberos_principal_name
注: Kerberosのユーザー名とパスワードは未設定(null)のままにします。コネクターは、ユーザー名とパスワードのパラメーターがnullの場合、無視します。 - keytabとチケット・キャッシュのどちらを使用するかを定義するDseClientのJAAS構成ファイルを作成します。 注: デフォルトのJAAS構成ファイルと場所は、~/.java.login.configです。
- チケット・キャッシュ
DseClient { com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true renewTGT=true; };
- keytabファイル
DseClient { com.sun.security.auth.module.Krb5LoginModule required refreshKrb5Config=true useKeyTab=true keyTab="file_path" useTicketCache=false; };
- チケット・キャッシュ
- (オプション)JAAS構成ファイルに代替のファイル名または場所を使用するには、Gremlin Consoleを起動する前に、環境変数を使用してそれをシステム・プロパティに追加します。
export JAVA_OPTIONS="$JAVA_OPTIONS -Djava.security.auth.login.config=path_to_file"
注: ファイルがデフォルトの場所~/.java.login.configにない場合は必須です。
- Kerberosパラメーターをremote.yamlで以下のように設定します。
- 内部認証またはLDAP認証 - ユーザー名とパスワードのパラメーターを以下のように設定します。
username: database_user password: password
注: パフォーマンスを向上させるには、 search_validity_in_secondsを30分などの高い値に設定します。