Kerberosのガイドライン
Kerberosの設定に関するDataStaxの推奨事項と要件を説明します。
Kerberosチケットを使用して認証することをDSEクライアントに許可するには、DSEをサービス・プリンシパルに設定するためのDataStax Enterpriseの要件と推奨事項を環境が満たしていることを確認します。DSE Authorizer(DSEオーソライザー)も有効になっている場合は、データベース・アクセス制御のロールにユーザー・プリンシパル(レルムを含む)をマップできます。
注: Kerberosチュートリアルには、DataStax EnterpriseとOpsCenterでクライアント側のDSE Kerberos認証を確立する手順が順を追って説明されています。Kerberosは、秘密鍵暗号化を使用してクライアント/サーバー・アプリケーションに強力な認証を提供するよう設計されたネットワーク認証プロトコルです。Kerberosのインストールと設定については、MIT Kerberos Consortiumのドキュメントを参照してください。
Kerberosのガイドライン
Kerberosを設定し、DataStax EnterpriseをKerberosサービス・プリンシパルとして構成する際は、以下の一般的なガイドラインが適用されます。
- Kerberosに精通しており、以下の各コマンドの使用方法について理解していること。
kinit
、klist
、kdestroy
。 - cassandra.yamlファイルとdse.yamlファイルに対する書き込みパーミッションと、クラスター内のすべてのノードへのアクセス権。
- 構成が完了した後でクラスターを再起動できること。
- 完全に機能するKey Distribution Center(KDC)サーバー。DataStaxでは、複数のKDCサーバーの使用を推奨しています(1台をプライマリまたは管理KDCサーバーとし、その他すべてをセカンダリ・サーバーとして使用)。警告: セキュリティ保護のため、DataStaxでは、DSEクラスターの外部にあるセキュリティ保護されたサーバー上でKDCを実行することを推奨しています。KDCサーバーをDataStax Enterpriseノードにインストールしないでください。
- KDCサーバーの適切なセキュリティ(ファイアウォールや、KDCマシンの物理的な保護など)。
- Kerberosプリンシパルを管理し、キータブ・ファイルをエクスポートする(または、それを行うKDC管理者にアクセスする)権限。
- DSEキータブ・ファイルの確実なセキュリティ保護。DSEサービス・アカウントはキータブ・ファイルを所有し、読み取り/書き込みアクセス権を持っている必要があります(
chmod 600
)。 - Oracle Java 8を使用する場合は、最新バージョンの使用が推奨されます。最小バージョンは1.8.0_151です。
注意: Kerberosセキュリティを使用する場合は、Kerberosチケットの範囲に注意する必要があります。suまたはsudoコマンドを使用すると、既存の認証情報が残されたままになり、その新規ユーザーとして再度認証する必要があります。認証問題が発生した場合は、適切なKerberosチケットを使用していることを確認してください。
DataStax EnterpriseでのKerberosの使用
以下のトピックでは、KerberosをDataStax Enterpriseのさまざまな機能や他のソフトウェアとともに使用する方法について説明します。
- CQLシェル(cqlsh)でSSLを使用する
- Kerberosが有効なクラスターでdsetoolを使用する
- Kerberos認証で監査ロギングを使用する場合、ログイン・イベントはKerberosで発生し、DataStax Enterpriseのログには記録されません。認証履歴はKerberosでのみ使用可能です。DataStax EnterpriseがKerberosを使用してクライアントを認証できない場合は、LOGIN_ERRORイベントがログに記録されます。「データベース監査のセットアップ」を参照してください。
重要: DataStaxでは、Kerberos接続暗号化(qop=auth-conf)またはSSLの使用を推奨します。両方の暗号化を有効にすると、接続が二重に暗号化され、リソースが無駄になります。