Cette page ne s’applique pas à ClickHouse Cloud. La fonctionnalité décrite ici n’est pas disponible dans les services ClickHouse Cloud.
Consultez le guide ClickHouse Compatibilité Cloud pour plus d’informations.
Configurer les paramètres de connexion LDAP dans ClickHouse
-
Testez votre connexion à ce serveur LDAP public :
La réponse ressemblera à ceci :
-
Modifiez le fichier
config.xmlet ajoutez ce qui suit pour configurer LDAP :
Les balises
<test_ldap_server> constituent un libellé arbitraire permettant d’identifier un serveur LDAP donné.| Parameter | Description | Example |
|---|---|---|
| host | nom d’hôte ou IP du serveur LDAP | ldap.forumsys.com |
| port | port du service d’annuaire LDAP | 389 |
| bind_dn | chemin modèle vers les utilisateurs | uid={user_name},dc=example,dc=com |
| enable_tls | indique s’il faut utiliser LDAP sécurisé | no |
| tls_require_cert | indique s’il faut exiger un certificat pour la connexion | never |
Dans cet exemple, comme le serveur public utilise le port 389 et n’utilise pas de port sécurisé, nous désactivons TLS à des fins de démonstration.
Consultez la page de documentation LDAP pour plus de détails sur les paramètres LDAP.
-
Ajoutez la section
<ldap>à la section<user_directories>pour configurer le mappage des rôles utilisateur. Cette section définit comment un utilisateur est authentifié et quel rôle il recevra. Dans cet exemple de base, tout utilisateur s’authentifiant via LDAP recevra le rôlescientists_role, qui sera défini dans ClickHouse à une étape ultérieure. La section doit ressembler à ceci :Voici les paramètres de base utilisés ci-dessus :Parameter Description Example server libellé défini dans la section ldap_servers précédente test_ldap_server roles nom des rôles définis dans ClickHouse auxquels les utilisateurs seront associés scientists_role base_dn chemin de base à partir duquel rechercher les groupes de l’utilisateur dc=example,dc=com search_filter filtre de recherche LDAP permettant d’identifier les groupes à sélectionner pour le mappage des utilisateurs (&(objectClass=groupOfUniqueNames)(uniqueMember={bind_dn}))attribute nom de l’attribut dont la valeur doit être renvoyée cn - Redémarrez votre serveur ClickHouse pour appliquer les paramètres.
Configurer les rôles et les permissions de la base de données ClickHouse
Les procédures de cette section supposent que SQL Access Control and Account Management est activé dans ClickHouse. Pour l’activer, consultez le guide SQL sur les utilisateurs et les rôles.
-
Créez un rôle dans ClickHouse portant le même nom que celui utilisé dans la section de mappage des rôles du fichier
config.xml -
Accordez au rôle les privilèges nécessaires. L’instruction suivante accorde des privilèges d’administrateur à tout utilisateur pouvant s’authentifier via LDAP :
Tester la configuration LDAP
- Connectez-vous à l’aide du client ClickHouse
Utilisez la commande
ldapsearch à l’étape 1 pour afficher tous les utilisateurs disponibles dans l’annuaire. Pour tous les utilisateurs, le mot de passe est password.-
Vérifiez que l’utilisateur a bien été associé au rôle
scientists_roleet qu’il dispose des autorisations d’administrateur