ClickHouse/docs/ru/operations/external-authenticators/kerberos.md

# Kerberos {#external-authenticators-kerberos}

ClickHouse предоставляет возможность аутентификации существующих (и правильно сконфигурированных) пользователей с использованием Kerberos.

В настоящее время возможно использование Kerberos только как внешнего аутентификатора, то есть для аутентификации уже существующих пользователей с помощью Kerberos. Пользователи, настроенные для Kerberos-аутентификации, могут работать с ClickHouse только через HTTP-интерфейс, причём сами клиенты должны иметь возможность аутентификации с использованием механизма GSS-SPNEGO.


!!! info "!!!"
    Для Kerberos-аутентификации необходимо предварительно корректно настроить Kerberos на стороне клиента, на сервере и в конфигурационных файлах самого ClickHouse. Ниже описана лишь конфигурация ClickHouse.


## Настройка Kerberos в ClickHouse {#enabling-kerberos-in-clickhouse}

Для того, чтобы задействовать Kerberos-аутентификацию в ClickHouse, в первую очередь необходимо добавить одну-единственную секцию `kerberos` в `config.xml`.

В секции могут быть указаны дополнительные параметры:

- `principal` &mdash; задаёт имя принципала (canonical service principal name, SPN), используемое при авторизации ClickHouse на Kerberos-сервере.
  - Это опциональный параметр, при его отсутствии будет использовано стандартное имя.

- `realm` &mdash; обеспечивает фильтрацию по реалм (realm). Пользователям, чей реалм не совпадает с указанным, будет отказано в аутентификации.
  - Это опциональный параметр, при его отсутствии фильтр по реалм применяться не будет.

Примеры, как должен выглядеть файл `config.xml`:

```xml
<yandex>
    <!- ... -->
    <kerberos />
</yandex>
```

Или, с указанием принципала:

```xml
<yandex>
    <!- ... -->
    <kerberos>
        <principal>HTTP/clickhouse.example.com@EXAMPLE.COM</principal>
    </kerberos>
</yandex>
```

Или, с фильтрацией по реалм:

```xml
<yandex>
    <!- ... -->
    <kerberos>
        <realm>EXAMPLE.COM</realm>
    </kerberos>
</yandex>
```

!!! Warning "Важно"
    В конфигурационном файле не могут быть указаны одновременно оба параметра. В противном случае, аутентификация с помощью Kerberos будет недоступна для всех пользователей.

!!! Warning "Важно"
    В конфигурационном файле может быть не более одной секции `kerberos`. В противном случае, аутентификация с помощью Kerberos будет отключена для всех пользователей. 


## Аутентификация пользователей с помощью Kerberos {#kerberos-as-an-external-authenticator-for-existing-users}

Уже существующие пользователи могут воспользоваться аутентификацией с помощью Kerberos. Однако, Kerberos-аутентификация возможна только при использовании HTTP-интерфейса.

Имя принципала (principal name) обычно имеет вид:

- *primary/instance@REALM*

Для успешной аутентификации необходимо, чтобы *primary* совпало с именем пользователя ClickHouse, настроенного для использования Kerberos.

### Настройка Kerberos в `users.xml` {#enabling-kerberos-in-users-xml}

Для того, чтобы пользователь имел возможность производить аутентификацию с помощью Kerberos, достаточно включить секцию `kerberos` в описание пользователя в `users.xml` (например, вместо секции `password` или аналогичной ей).

В секции могут быть указаны дополнительные параметры:

- `realm` &mdash; обеспечивает фильтрацию по реалм (realm): аутентификация будет возможна только при совпадении реалм клиента с указанным.
  - Этот параметр является опциональным, при его отсутствии фильтрация применяться не будет.

Пример, как выглядит конфигурация Kerberos в `users.xml`:

```xml
<yandex>
    <!- ... -->
    <users>
        <!- ... -->
        <my_user>
            <!- ... -->
            <kerberos>
                <realm>EXAMPLE.COM</realm>
            </kerberos>
        </my_user>
    </users>
</yandex>
```


!!! Warning "Важно"
    Если пользователь настроен для Kerberos-аутентификации, другие виды уатентификации будут для него недоступны. Если наряду с `kerberos` в определении пользователя будет указан какой-либо другой способ аутентификации, ClickHouse завершит работу.

!!! info ""
    Ещё раз отметим, что кроме `users.xml`, необходимо также включить Kerberos в `config.xml`.

### Настройка Kerberos через SQL {#enabling-kerberos-using-sql}

Пользователей, использующих Kerberos-аутентификацию, можно создать не только с помощью изменения конфигурационных файлов.
Если SQL-ориентированное управление доступом включено в ClickHouse, можно также создать пользователя, работающего через Kerberos, с помощью SQL.

```sql
CREATE USER my_user IDENTIFIED WITH kerberos REALM 'EXAMPLE.COM'
```

Или, без фильтрации по реалм:

```sql
CREATE USER my_user IDENTIFIED WITH kerberos
```
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
+								# Kerberos {#external-authenticators-kerberos}
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								ClickHouse предоставляет возможность аутентификации существующих (и правильно сконфигурированных) пользователей с использованием Kerberos.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								В настоящее время возможно использование Kerberos только как внешнего аутентификатора, то есть для аутентификации уже существующих пользователей с помощью Kerberos. Пользователи, настроенные для Kerberos-аутентификации, могут работать с ClickHouse только через HTTP-интерфейс, причём сами клиенты должны иметь возможность аутентификации с использованием механизма GSS-SPNEGO.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
 								!!! info "!!!"
 								    Для Kerberos-аутентификации необходимо предварительно корректно настроить Kerberos на стороне клиента, на сервере и в конфигурационных файлах самого ClickHouse. Ниже описана лишь конфигурация ClickHouse.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								## Настройка Kerberos в ClickHouse {#enabling-kerberos-in-clickhouse}
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Для того, чтобы задействовать Kerberos-аутентификацию в ClickHouse, в первую очередь необходимо добавить одну-единственную секцию `kerberos` в `config.xml`.
 								В секции могут быть указаны дополнительные параметры:
 								- `principal` &mdash; задаёт имя принципала (canonical service principal name, SPN), используемое при авторизации ClickHouse на Kerberos-сервере.
 								  - Это опциональный параметр, при его отсутствии будет использовано стандартное имя.
 								- `realm` &mdash; обеспечивает фильтрацию по реалм (realm). Пользователям, чей реалм не совпадает с указанным, будет отказано в аутентификации.
 								  - Это опциональный параметр, при его отсутствии фильтр по реалм применяться не будет.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								Примеры, как должен выглядеть файл `config.xml`:
 								```xml
 								<yandex>
 								    <!- ... -->
 								    <kerberos />
 								</yandex>
 								```
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Или, с указанием принципала:
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								```xml
 								<yandex>
 								    <!- ... -->
 								    <kerberos>
 								        <principal>HTTP/clickhouse.example.com@EXAMPLE.COM</principal>
 								    </kerberos>
 								</yandex>
 								```
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Или, с фильтрацией по реалм:
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								```xml
 								<yandex>
 								    <!- ... -->
 								    <kerberos>
 								        <realm>EXAMPLE.COM</realm>
 								    </kerberos>
 								</yandex>
 								```
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								!!! Warning "Важно"
 								    В конфигурационном файле не могут быть указаны одновременно оба параметра. В противном случае, аутентификация с помощью Kerberos будет недоступна для всех пользователей.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								!!! Warning "Важно"
-												Remove trailing whitespaces from docs

											
										
										
											2021-07-29 15:20:55 +00:00
+								    В конфигурационном файле может быть не более одной секции `kerberos`. В противном случае, аутентификация с помощью Kerberos будет отключена для всех пользователей.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								## Аутентификация пользователей с помощью Kerberos {#kerberos-as-an-external-authenticator-for-existing-users}
 								Уже существующие пользователи могут воспользоваться аутентификацией с помощью Kerberos. Однако, Kerberos-аутентификация возможна только при использовании HTTP-интерфейса.
 								Имя принципала (principal name) обычно имеет вид:
 								- *primary/instance@REALM*
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Для успешной аутентификации необходимо, чтобы *primary* совпало с именем пользователя ClickHouse, настроенного для использования Kerberos.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								### Настройка Kerberos в `users.xml` {#enabling-kerberos-in-users-xml}
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Для того, чтобы пользователь имел возможность производить аутентификацию с помощью Kerberos, достаточно включить секцию `kerberos` в описание пользователя в `users.xml` (например, вместо секции `password` или аналогичной ей).
 								В секции могут быть указаны дополнительные параметры:
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								- `realm` &mdash; обеспечивает фильтрацию по реалм (realm): аутентификация будет возможна только при совпадении реалм клиента с указанным.
 								  - Этот параметр является опциональным, при его отсутствии фильтрация применяться не будет.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								Пример, как выглядит конфигурация Kerberos в `users.xml`:
 								```xml
 								<yandex>
 								    <!- ... -->
 								    <users>
 								        <!- ... -->
 								        <my_user>
 								            <!- ... -->
 								            <kerberos>
 								                <realm>EXAMPLE.COM</realm>
 								            </kerberos>
 								        </my_user>
 								    </users>
 								</yandex>
 								```
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								!!! Warning "Важно"
 								    Если пользователь настроен для Kerberos-аутентификации, другие виды уатентификации будут для него недоступны. Если наряду с `kerberos` в определении пользователя будет указан какой-либо другой способ аутентификации, ClickHouse завершит работу.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								!!! info ""
 								    Ещё раз отметим, что кроме `users.xml`, необходимо также включить Kerberos в `config.xml`.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								### Настройка Kerberos через SQL {#enabling-kerberos-using-sql}
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Пользователей, использующих Kerberos-аутентификацию, можно создать не только с помощью изменения конфигурационных файлов.
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
+								Если SQL-ориентированное управление доступом включено в ClickHouse, можно также создать пользователя, работающего через Kerberos, с помощью SQL.
 								```sql
 								CREATE USER my_user IDENTIFIED WITH kerberos REALM 'EXAMPLE.COM'
 								```
-												Semi-final kerberos + ldap (ru)

											
										
										
											2021-02-28 19:11:29 +00:00
+								Или, без фильтрации по реалм:
-												Added En and Ru Kerberos docs

											
										
										
											2021-02-24 10:10:37 +00:00
 								```sql
 								CREATE USER my_user IDENTIFIED WITH kerberos
 								```