Конференция Arenadata
Новое время — новый Greenplum
Мы приглашаем вас принять участие в конференции, посвященной будущему Open-Source Greenplum 19 сентября в 18:00:00 UTC +3. Встреча будет проходить в гибридном формате — и офлайн, и онлайн. Онлайн-трансляция будет доступна для всех желающих.
Внезапное закрытие Greenplum его владельцем — компанией Broadcom - стало неприятным сюрпризом для всех, кто использует или планирует начать использовать решения на базе этой технологии. Многие ожидают выхода стабильной версии Greenplum 7 и надеются на её дальнейшее активное развитие.
Arenadata не могла допустить, чтобы разрабатываемый годами Open-Source проект Greenplum прекратил своё существование, поэтому 19 сентября мы представим наш ответ на данное решение Broadcom, а участники сообщества получат исчерпывающие разъяснения на все вопросы о дальнейшей судьбе этой технологии.

На конференции вас ждёт обсуждение следующих тем:

  • План возрождения Greenplum;
  • Дорожная карта;
  • Экспертное обсуждение и консультации.
Осталось до события

Аутентификация через Kerberos

ADQM предоставляет возможность аутентифицировать существующих пользователей с использованием протокола Kerberos, который обеспечивает механизм взаимной аутентификации клиента и сервера перед установлением соединения между ними.

Основные понятия, используемые в Kerberos:

  • Принципал (principal) — уникальное имя клиента (пользователя), который проходит аутентификацию через Kerberos.

  • Тикет (ticket) — временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимый сервис.

  • Центр распределения ключей (Key Distribution Center, KDC) — сервис, выдающий тикеты Kerberos и временные сеансовые ключи.

  • Область (realm) — сеть Kerberos, которая включает KDC и одного или нескольких клиентов. Имя realm регистрозависимо, обычно пишется в верхнем регистре и совпадает с именем домена.

Типы центров распределения ключей (KDC)

Для керберизации кластера ADQM доступны следующие типы центров распределения ключей (KDC):

  • MIT Kerberos — состоит из базы данных принципалов и хранилища ключей Kerberos.

  • MS Active Directory — содержит базу данных принципалов и хранилище ключей Windows Server.

  • FreeIPA — бесплатная система управления идентификацией пользователей для Linux/UNIX с открытым исходным кодом.

При использовании любого из этих типов KDC процесс идентификации и аутентификации пользователей практически одинаков. Единственное различие заключается в типе используемого KDC.

Общие требования для керберизации кластера ADQM

Чтобы внедрить Kerberos в существующий кластер ADQM, необходимо выполнение следующих условий:

  • Кластер ADQM установлен, настроен и готов к работе.

  • Хранилище пользователей и ключей MIT Kerberos, Active Directory или FreeIPA настроено и готово к работе.

  • Существует учетная запись администратора MIT Kerberos, Active Directory или FreeIPA с правами на создание, удаление и управление учетными записями пользователей.

Пользователи, настроенные для аутентификации через Kerberos, могут работать с ADQM только через интерфейс HTTP. При этом используемый клиент должен поддерживать механизм SPNEGO. Например, можно использовать утилиту curl. Убедиться, что Kerberos и SPNEGO поддерживаются, можно с помощью следующей команды:

$ curl --version

Пример вывода на экран:

curl 7.81.0 (x86_64-pc-linux-gnu) libcurl/7.81.0 OpenSSL/1.0.2k-fips zlib/1.2.7
Release-Date: 2022-01-05
Protocols: dict file ftp ftps gopher gophers http https imap imaps mqtt pop3 pop3s rtsp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS GSS-API HSTS HTTPS-proxy IPv6 Kerberos Largefile libz NTLM NTLM_WB SPNEGO SSL UnixSockets
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней