Cassandra 中如何配置身份验证？

推荐答案

在 Cassandra 中配置身份验证可以通过以下步骤完成：

1. 修改 cassandra.yaml 配置文件：

   • 打开 cassandra.yaml 文件，通常位于 /etc/cassandra/ 或 /etc/dse/cassandra/ 目录下。
   • 找到 authenticator 配置项，将其值设置为 PasswordAuthenticator：

     authenticator: PasswordAuthenticator

   • 找到 authorizer 配置项，将其值设置为 CassandraAuthorizer：

     authorizer: CassandraAuthorizer

2. 重启 Cassandra 服务：

   • 修改配置文件后，需要重启 Cassandra 服务以使更改生效：

     sudo service cassandra restart

3. 创建用户：

   • 使用 cqlsh 连接到 Cassandra 集群。
   • 创建管理员用户：

     CREATE ROLE admin WITH PASSWORD = 'password' AND SUPERUSER = true AND LOGIN = true;

   • 创建普通用户：

     CREATE ROLE user1 WITH PASSWORD = 'password' AND LOGIN = true;

4. 验证身份验证：

   • 使用新创建的用户登录 cqlsh：

     cqlsh -u user1 -p password

   • 确保只有经过身份验证的用户才能访问数据库。

本题详细解读

1. 身份验证机制

Cassandra 提供了多种身份验证机制，默认情况下是 AllowAllAuthenticator，即不进行任何身份验证。为了增强安全性，可以切换到 PasswordAuthenticator，它要求用户提供用户名和密码才能访问数据库。

2. 授权机制

与身份验证类似，Cassandra 的授权机制默认是 AllowAllAuthorizer，即不进行任何权限控制。通过切换到 CassandraAuthorizer，可以实现基于角色的访问控制（RBAC），允许管理员为用户分配不同的权限。

3. 配置文件详解

• authenticator：指定身份验证的实现类。PasswordAuthenticator 是 Cassandra 内置的基于密码的身份验证机制。
• authorizer：指定授权机制的实现类。CassandraAuthorizer 是 Cassandra 内置的基于角色的授权机制。

4. 用户管理

在启用身份验证后，必须通过 CREATE ROLE 语句创建用户并分配权限。SUPERUSER 属性用于指定用户是否为超级用户，超级用户拥有所有权限。

5. 安全性考虑

• 确保使用强密码，并定期更换密码。
• 限制超级用户的数量，避免权限滥用。
• 定期审计用户权限，确保权限分配合理。

通过以上步骤，可以在 Cassandra 中成功配置身份验证和授权机制，从而增强数据库的安全性。