Кассандра контроль доступа

Какую версию Кассандры вы используете? Для версии 1.2.2 и более поздних можно пройти аутентификацию с помощью PasswordAuthenticator и CassandraAuthorizer, как описано в документации (http://www.datastax.com/docs/1.2/security/native_authentication):

1- Измените настройку аутентификатора cassandra.yaml на PasswordAuthenticator:

authenticator: org.apache.cassandra.auth.PasswordAuthenticator

Вы также можете установить авторизатор CassandraAuthorizer:

authorizer: com.datastax.bdp.cassandra.auth.CassandraAuthorizer

2- Настройте коэффициент репликации для пространства ключей system_auth.

3- Перезапустите Кассандру.

Имя суперпользователя и пароль по умолчанию (cassandra), которые вы используете для запуска поддерживаемого клиента, хранятся в Cassandra. Например, чтобы запустить cqlsh:

./cqlsh -u cassandra -p cassandra

Теперь вы можете настроить учетные записи пользователей и авторизовать пользователей для доступа к объектам базы данных, используя CQL для предоставления им разрешений на эти объекты.

Конечно, вы захотите прочитать информацию (по ссылке выше) о том, как «Изменить пароль суперпользователя».

После того, как вы это сделаете, cassandra-cli может быть вызвана так же, как cqlsh в приведенном выше примере:

./cassandra-cli -u username -pw password

Для обзора вы также должны проверить документ: Краткий обзор внутренней аутентификации и безопасности авторизации в DataStax Enterprise и Apache Cassandra

Это единственный ресурс, связанный с аутентификацией, который я обнаружил:

В версии 1.2.2 мы предоставили внутреннюю аутентификацию и авторизацию, которые позволяют вам управлять идентификаторами входа и паролями внутри Cassandra, а также определять, кто и что может делать внутри кластера базы данных с точки зрения авторизации (т. е. разрешений).

По ходу работы я перешел к: Документации DataStax Enterprise 3.0 Управление безопасностью раздел на http://www.datastax.com/docs

DataStax Enterprise 3.0 включает ряд функций для защиты данных. Платформа безопасности обеспечивает расширенную защиту данных для баз данных корпоративного уровня. Используя эти функции, вы можете защитить сообщество DataStax или кластер DataStax Enterprise.

Внутренняя аутентификация с использованием учетных записей и паролей. Управление разрешениями объектов на основе парадигмы GRANT/REVOKE. Шифрование от клиента к узлу с использованием SSL для данных, идущих от клиента к кластеру Cassandra.

DataStax Enterprise предлагает предприятиям дополнительную защиту критически важных данных, не включенную в сообщество DataStax:

Аутентификация Kerberos: протокол сетевой аутентификации, который позволяет узлам, взаимодействующим по незащищенной сети, безопасно подтверждать свою личность друг другу с помощью билетов. Вы также можете настроить Kerberos для использования LDAP для аутентификации.

Прозрачное шифрование данных: кодирование данных, сбрасываемых из памяти в системной памяти в SSTables на диске (данные в состоянии покоя), чтобы сделать их нечитаемыми для неавторизованных пользователей. Шифрование и дешифрование происходит без вмешательства пользователя.

Аудит данных: возможность администратора создавать подробные журналы аудита активности кластера.

Кстати, Сообщество DataStax — сравнение DataStax Enterprise Edition и DataStax Community Edition говорит:

DataStax Community Edition: содержит последнюю версию базы данных Cassandra для управления данными в режиме реального времени, а также бесплатную версию DataStax OpsCenter. Не поддерживается для производственных систем.

В том числе для DataStax Community Edition:

Функции безопасности Общие функции безопасности

Вместо DataStax Enterprise, где упоминается:

Функции безопасности Общие и расширенные функции безопасности

В заключение обратите внимание, возможности безопасности были реализованы начиная с версии 1.2.2, и, возможно, вам вообще не придется платить в зависимости от требуемых компонентов безопасности.

Другие ссылки: Документация по Apache Cassandra 1.2 – раздел "Безопасность", содержащий ресурсы о :

• Настройка и использование внутренней аутентификации
• Управление правами доступа к объектам с помощью внутренней авторизации