クラスタ・コーディネータの認証

DgraphプロセスとEndeca Serverは両方とも、正しく動作するためにクラスタ・コーディネータの構造に依存しています。

環境内の悪質な要素や機能していない要素がこれらの構造に影響を与えないようにするために、クラスタ・コーディネータを使用しているプログラムは、これらの構造の読取りまたは書込みを行う前にコーディネータによって認証されます。

ACL

クラスタ・コーディネータはACLを使用して、クラスタ・コーディネータ・データ・ツリーのデータ・ノードへのアクセスを制御します。ACL実装はLinuxファイルのアクセス権限に類似しており、権限ビットを使用して、ノードに対する様々な操作とビットを適用する範囲を許可または禁止します。ただし、標準のLinuxの権限とは異なり、クラスタ・コーディネータのノードは、ユーザー、グループおよびすべてのユーザーの3つの標準的な範囲によって制限されません。かわりに、ACLでは、IDとそれらのIDに関連付けられた権限のセットを指定します。

IDと権限は、クラスタ・コーディネータの組込みダイジェスト認証スキームで指定されます。ダイジェスト認証では、クライアントは名前とパスワードを提供する必要があり、また、特定の名前とパスワードを使用して認証されたユーザーへのアクセスが許可されます。

DgraphプロセスとEndeca ServerのACL

DgraphプロセスとEndeca Serverは両方とも、クラスタ全体の単一の名前とパスワードを使用します。名前は常にendecaですが、パスワードはクラスタ・デプロイメントごとにランダムに生成されます。クライアントは、クラスタ・コーディネータとのセッションを確立するとすぐに、これらの資格証明で認証を行います。これ以降、クラスタ・コーディネータのノードを作成すると必ず、すべてのアクセスにこれらの資格証明を必要とするACLを添付します。

資格証明ストレージ

クラスタ・コーディネータ・アクセスのパスワードは、Oracle Fusion Middleware製品の標準シークレット・ストアである、WebLogic資格証明ストア・フレームワーク(CSF)に格納されています。CSFの基本インタフェースは、WebLogicデプロイメントの一部として提供されているJavaライブラリにあります。したがって、Endeca ServerはCSFからクラスタ・コーディネータの資格証明を取得できます。Dgraphプロセスを使用する場合、Endeca ServerはCSFからクラスタ・コーディネータの資格証明を取得し、それらをDgraphプロセスに渡します。