CQLシェル(cqlsh)でSSLを使用する
Kerberos、内部または外部認証、およびSSLを有効にしてクラスターへの接続を確立します。
cqlsh
でKerberosとSSLを使用するには、サンプル・ファイルを開始点として使用し、環境に応じて変更を加えます。
サンプル・ファイル
DataStax Enterpriseには、Kerberosのみ、SSLのみ、KerberosとSSLの両方を使用する場合にそれぞれの認証の構成に役立つサンプル・ファイルと例が用意されています。環境に合わせて変更を行ってください。
cqlshrc.sample
cqlshrc.sampleファイルのデフォルトの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/cassandra |
tarボール・インストール | installation_location/resources/cassandra/conf |
SSLの例
DataStax Enterpriseには、開始点として使用できるサンプルとしてcqlshrc.sample.sslファイルが用意されています。
[authentication]
username = fred
password = !!bang!!$
[connection]
hostname = 127.0.0.1
port = 9042
[ssl]
certfile = ~/keys/cassandra.cert
validate = false ;; Optional, true by default. See the paragraph below.
[certfiles] ;; Optional section, overrides the default certfile in the [ssl] section.
10.209.182.160 = /etc/dse/cassandra/conf/dsenode0.cer
10.68.65.199 = /etc/dse/cassandra/conf/dsenode1.cer
keytool -importkeystore -srckeystore .keystore -destkeystore user.p12 -deststoretype PKCS12 openssl pkcs12 -in user.p12 -out user.pem -nodes
証明書内のホストが接続先のマシンのホストと照合されるため、PEMキーが必要です。SSL証明書は構成ファイルまたは環境変数として提供する必要があります。環境変数(SSL_CERTFILE
およびSSL_VALIDATE
)は、このファイルに設定されているオプションをすべてオーバーライドします。
KerberosおよびSSL
DataStax Enterpriseには、開始点として使用できるサンプルとしてcqlshrc.sample.kerberos_sslファイルが用意されています。これには、追加のKerberos構成が含まれています。
[kerberos]
service = dse
qops = auth ; default: auth
SSLでのKerberosの使用に関する詳細については、「CQLシェル(cqlsh)でSSLを使用する」を参照してください。
KerberosとSSLの両方を使用する場合の設定は、これらの例のKerberosセクションとSSLセクションを組み合わせたものになります。
サポートされている環境変数は、KRB_SERVICE
、SSL_CERTFILE
、およびSSL_VALIDATE
変数です。
cqlsh認証のデバッグ
認証問題が発生した場合は、--debugオプションを使用してCQLシェル設定および接続の詳細を表示します。