跨源认证
跨源认证使用场景
跨源认证用于管理访问CSS和MRS安全环境的认证信息,以及加密存储访问DWS、RDS、DDS、DCS数据源的密码。
- 创建CSS安全集群时,需要指定用户名、密码、CSS安全集群,会有一个证书可供下载。访问CSS安全集群,需要这三个信息,为了便于从DLI连接CSS安全集群,将这三个信息存储到DLI服务中,即为连接CSS安全集群的“跨源认证信息”。
- 创建MRS安全集群时,需要开启Kerberos认证。下载认证凭证,认证凭证中包含“krb5.conf”和“user.keytab”文件。在从DLI连接MRS安全集群时,可将这两个文件存储到DLI服务中,即为连接MRS安全集群的“跨源认证信息”。
- 创建Kafka集群,需要开启SSL访问配置。可在MRS服务,Kafka组件的“服务配置”中进行配置,也可以通过搭建开源Kafka集群,修改配置文件进行开启。
- 通过跨源密码认证,加密存储用于访问DWS、RDS、DDS、DCS数据源的密码。
创建跨源认证信息
- 创建需要访问的数据源。
如果已有可用集群,可不用重新申请。
- 创建CSS安全集群:在CSS服务中创建集群,“集群版本”选择“6.5.4”或“6.5.4”以上版本,并开启“安全模式”。
- 创建MRS安全集群:在MRS服务中申请集群,选择“自定义购买”,“集群版本”选择“MRS 2.1.0”或“MRS 2.1.0”以上版本,并开启“Kerberos认证”。
- 创建Kafka集群:可在MRS服务,Kafka组件的“服务配置”中进行配置。在MRS服务配置SSL具体操作可参考《MapReduce服务用户指南》中《安全配置》章节。
- 创建DWS集群:在DWS服务中申请数据仓库集群,具体请参考《数据仓库服务管理指南》。
- 创建RDS数据源:在RDS服务中申请数据库实例,具体请参考《云数据库快速入门》。
- 创建DCS数据源:在DCS服务中申请缓存实例,具体请参考《分布式缓存指南》。
- 创建DDS数据源:在DDS服务中申请数据库实例,具体请参考《文档数据库服务快速入门》。
- 下载认证凭证。访问DWS、RDS、DCS、DDS数据源请跳过该步骤。
- CSS安全集群:在“集群管理”页面中,单击对应的集群名称,进入“基本信息”页面,找到“安全模式”,下载CSS安全集群的证书。
- MRS安全集群:在“集群列表”页面中,单击对应的集群名称,进入集群信息页面,可“下载认证凭证”。下载认证凭证后,需进行解压,得到“krb5.conf”和“user.keytab”文件。
- 上传“认证凭证”。访问DWS、RDS、DCS、DDS数据源请跳过该步骤。
- 在DLI管理控制台选择“跨源连接”。
- 在“跨源认证”页签,单击“创建”,创建认证信息。
- CSS
表1 参数说明 参数
参数说明
认证信息名称
所创建的跨源认证信息名称。
- 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
- 输入长度不能超过128个字符。
- 建议名称中包含CSS安全集群的名称,便于区分不同集群的安全认证信息。
类型
选择CSS。
用户名称
安全集群的登录用户名。
用户密码
安全集群的登录密码。
Certificate路径
上传“安全证书”的OBS路径。
- MRS
表2 参数说明 参数
参数说明
认证信息名称
所创建的跨源认证信息名称。
- 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
- 输入长度不能超过128个字符。
- 建议名称中包含MRS安全集群的名称,便于区分不同集群的安全认证信息。
类型
选择kerberos。
用户名称
安全集群的登录用户名。
krb5_conf路径
上传“krb5.conf”文件的OBS路径。
说明:“krb5.conf”中需移除[libdefaults]下的“renew_lifetime”配置项,否则可能会遇到“Message stream modified (41)”问题。
keytab路径
上传“user.keytab”文件的OBS路径。
- Kafka
表3 参数说明 参数
参数说明
认证信息名称
所创建的跨源认证信息名称。
- 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
- 输入长度不能超过128个字符。
类型
选择Kafka_SSL。
Truststore路径
上传SSL TRUSTSTORE文件的OBS路径。
Truststore密码
truststore密码。
Keystore路径
上传SSL KEYSTORE(密钥和证书)文件的OBS路径。
Keystore密码
keystore(密钥和证书)密码。
Key密码
keystore中的私钥密码。
- password(跨源密码认证)
访问DWS、RDS、DCS和DDS数据源通过该方式创建跨源认证。
表4 参数说明 参数
参数说明
认证信息名称
所创建的跨源认证信息名称。
- 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
- 输入长度不能超过128个字符。
类型
选择Password。
用户名称
访问数据源的用户名。
用户密码
访问数据源的密码。
- CSS
查找认证信息
在“跨源认证”页签,可在搜索框中输入认证信息名称,查找与之匹配的认证信息。为了用户信息的安全,不会返回密码字段。
更新认证信息
在“跨源认证”页签,单击需要修改的认证信息“操作”列中的“更新”,更改认证信息。目前仅支持更新改用户名称和用户密码。若需要更新证书,请删除该认证信息,再重新创建。
用户名和密码非必填,若不填,则表示不修改该字段。
删除认证信息
在“跨源认证”页签,单击需要修改的认证信息“操作”列中的“删除”,删除不需要的认证信息。