Настройка ClickHouse для использования LDAP при аутентификации и сопоставлении ролей

Not supported in ClickHouse Cloud

Примечание

Эта страница не относится к ClickHouse Cloud. Описанная здесь функция недоступна в услугах ClickHouse Cloud. См. руководство ClickHouse Совместимость с ClickHouse Cloud для получения дополнительной информации.

ClickHouse можно настроить на использование LDAP для аутентификации пользователей базы данных. В этом руководстве приведён простой пример интеграции ClickHouse с системой LDAP, которая аутентифицирует пользователей по общедоступному каталогу.

1. Настройка параметров подключения LDAP в ClickHouse

1. Протестируйте подключение к этому публичному серверу LDAP:

   $ ldapsearch -x -b dc=example,dc=com -H ldap://ldap.forumsys.com
   

   Ответ будет примерно таким:

   # расширенный LDIF
   #
   # LDAPv3
   # база <dc=example,dc=com> с областью subtree
   # фильтр: (objectclass=*)
   # запрос: ALL
   #
   
   # example.com
   dn: dc=example,dc=com
   objectClass: top
   objectClass: dcObject
   objectClass: organization
   o: example.com
   dc: example
   ...
   

2. Отредактируйте файл config.xml и добавьте следующее для настройки LDAP:

   <ldap_servers>
       <test_ldap_server>
       <host>ldap.forumsys.com</host>
       <port>389</port>
       <bind_dn>uid={user_name},dc=example,dc=com</bind_dn>
       <enable_tls>no</enable_tls>
       <tls_require_cert>never</tls_require_cert>
       </test_ldap_server>
   </ldap_servers>
   
   Примечание

   Тег <test_ldap_server> — это произвольная метка для идентификации конкретного сервера LDAP.

   Ниже перечислены основные параметры, используемые выше:

   Parameter	Description	Example
   host	имя хоста или IP сервера LDAP	ldap.forumsys.com
   port	порт каталога для сервера LDAP	389
   bind_dn	шаблон пути к пользователям	uid={user_name},dc=example,dc=com
   enable_tls	использовать ли защищённый LDAP	no
   tls_require_cert	требовать ли сертификат для подключения	never

   Примечание

   В этом примере, поскольку публичный сервер использует порт 389 и не использует защищённый порт, мы отключаем TLS в демонстрационных целях.

   Примечание

   Дополнительные сведения о параметрах LDAP см. на странице документации LDAP.

3. Добавьте раздел <ldap> в раздел <user_directories> для настройки сопоставления ролей пользователей. Этот раздел определяет, когда пользователь аутентифицирован и какую роль он получит. В этом базовом примере любой пользователь, аутентифицирующийся в LDAP, получит роль scientists_role, которая будет определена на следующем шаге в ClickHouse. Раздел должен выглядеть примерно так:

   <user_directories>
       <users_xml>
           <path>users.xml</path>
       </users_xml>
       <local_directory>
           <path>/var/lib/clickhouse/access/</path>
       </local_directory>
       <ldap>
             <server>test_ldap_server</server>
             <roles>
                <scientists_role />
             </roles>
             <role_mapping>
                <base_dn>dc=example,dc=com</base_dn>
                <search_filter>(&amp;(objectClass=groupOfUniqueNames)(uniqueMember={bind_dn}))</search_filter>
                <attribute>cn</attribute>
             </role_mapping>
       </ldap>
   </user_directories>
   

   Ниже перечислены основные параметры, используемые выше:

   Parameter	Description	Example
   server	метка, определённая в предыдущем разделе ldap_servers	test_ldap_server
   roles	имена ролей в ClickHouse, к которым будут сопоставлены пользователи	scientists_role
   base_dn	базовый путь, с которого начинается поиск групп с пользователем	dc=example,dc=com
   search_filter	фильтр поиска LDAP для определения групп, выбираемых для сопоставления пользователей	(&(objectClass=groupOfUniqueNames)(uniqueMember={bind_dn}))
   attribute	из какого атрибута должно возвращаться значение	cn

4. Перезапустите сервер ClickHouse, чтобы применить настройки.

2. Настройте роли и разрешения базы данных ClickHouse

Примечание

В этом разделе предполагается, что в ClickHouse включены управление доступом на уровне SQL и управление учётными записями (SQL Access Control and Account Management). Инструкции по включению см. в руководстве SQL Users and Roles.

1. Создайте роль в ClickHouse с тем же именем, которое использовалось в разделе сопоставления ролей в файле config.xml:

   CREATE ROLE scientists_role;
   

2. Назначьте необходимые привилегии этой роли. Следующий оператор назначает административные привилегии любому пользователю, который может пройти аутентификацию через LDAP:

   GRANT ALL ON *.* TO scientists_role;
   

3. Тестирование конфигурации LDAP

1. Войдите в систему с помощью клиента ClickHouse

   $ clickhouse-client --user einstein --password password
   ClickHouse client version 22.2.2.1.
   Connecting to localhost:9000 as user einstein.
   Connected to ClickHouse server version 22.2.2 revision 54455.
   
   chnode1 :)
   
   Примечание

   Используйте команду ldapsearch на шаге 1, чтобы просмотреть всех пользователей, доступных в каталоге. Для всех этих пользователей пароль — password.

2. Проверьте, что пользователь был корректно сопоставлен с ролью scientists_role и имеет права администратора

   SHOW DATABASES
   

   Query id: 93b785ff-1482-4eda-95b0-b2d68b2c5e0f
   
   ┌─name───────────────┐
   │ INFORMATION_SCHEMA │
   │ db1_mysql          │
   │ db2                │
   │ db3                │
   │ db4_mysql          │
   │ db5_merge          │
   │ default            │
   │ information_schema │
   │ system             │
   └────────────────────┘
   
   9 rows in set. Elapsed: 0.004 sec.
   

Итоги

В этой статье были продемонстрированы основы настройки ClickHouse для аутентификации через LDAP-сервер, а также для привязки к роли. Также доступны варианты настройки отдельных пользователей в ClickHouse, при этом аутентифицируя этих пользователей через LDAP без настройки автоматического сопоставления ролей. Модуль LDAP также можно использовать для подключения к Active Directory.