跳到主要内容 跳到补充内容

保护 Talend Identity and Access Management 的连接

使用带有自签名证书的 SSL 连接到 Talend Identity and Access Management

步骤

  1. 将您的 JKS 文件放在 <installation_path>/config 文件夹中。
  2. 打开 <installation_path>/start.sh 文件来编辑它。
  3. 添加以下设置。
    export SERVER_SSL_KEYSTORE=<absolute_path_to_your_jks_file> (for example: /keysotre/server.jks)
    export SERVER_SSL_KEYSTOREPASSWORD=<secret>
    export SERVER_SSL_KEYPASSWORD=<secret>
  4. 打开 <installation_path>/config/iam.properties 文件,并将下面的 URL 从 http 更改为 https
    oidc.url=https://${oidc.host}:${oidc.port}${oidc.context}
  5. 可选: 如果您已在 <installation_path>/config/iam.properties 中为 Talend Administration Center 启用 SSL 连接,请将以下 URL 从 http 更改为 https
    tac.url=https://<host_name>:<port>/org.talend.administrator
  6. 可选: 如果您的 Talend Administration Center 对 SSL 使用自签名证书,如 在 Talend Administration Center 中配置 TLS/SSL 中所述,请按以下步骤操作:
    1. 检索 Talend Administration Center证书或其证书颁发机构,并使用以下命令将其添加到 Talend Identity and Access Management 信任库中:
      keytool -import -trustcacerts -alias <cert-alias> -file <TAC_certificate.crt> -keystore <IAM_truststore.jks>
    2. 将以下行添加至 start.sh
      JAVA_OPTS="${JAVA_OPTS} -Djavax.net.ssl.trustStore=/path/to/trustStore -Djavax.net.ssl.trustStorePassword=trustStore_password"
  7. 可选: 要为 Talend Data StewardshipTalend Data Preparation 等模块启用 SSL 连接,请执行以下操作:
  8. 重新启动 Talend Identity and Access Management

Talend Identity and Access Management 作为服务时的其他密钥库配置

只有当您将 Talend Identity and Access Management 作为系统服务安装时,才必须进行这些配置更改。

Talend Identity and Access Management 的 OIDC 和 SCIM 服务进行这些更改。

步骤

  1. /etc/systemd/system 文件夹中找到 Talend Identity and Access Management 服务 systemd 文件。
    文件名称为:
    • talend-iam-oidc-8.0.1.service
    • talend-iam-scim-8.0.1.service
    数字 8.0.1 表示此示例中使用的已安装版本。
  2. 使用 sudo 权限在文本编辑器中打开服务文件,因为这些文件归 root 用户所有。
    例如, talend-iam-oidc-8.0.1.service 文件的内容是:
     # systemd descriptor file for IAM service
    
    [Unit]
    Description=Talend Identity Access management service (OIDC)
    Before=runlevel3.target runlevel5.target
    After=local-fs.target remote-fs.target network-online.target time-sync.target postgresql.target systemd-journald-dev-log.socket
    Wants=network-online.target
    Conflicts=shutdown.target
    
    [Service]
    Type=simple
    Restart=no
    KillMode=process
    Restart=no
    Environment=SPRING_PROFILES_ACTIVE=onpremise
    ExecStart=/usr/lib/jvm/jre-17/bin/java -Dfile.encoding=UTF-8 -Dspring.mvc.locale=en_US -server -Xms2048m -Xmx2048m -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -Dencryption.keys.file=config/keys.properties -jar lib/oidc.jar
    #ExecStop=
    User=talenduser
    Group=talendgroup
    WorkingDirectory=/opt/Talend-8.0.1/iam
    SuccessExitStatus=143 SIGKILL
    
    [Install]
    WantedBy=multi-user.target
  3. 找到行 Environment=SPRING_PROFILES_ACTIVE=onpremise
  4. 在现有行之后添加密钥库设置:
    Environment=SPRING_PROFILES_ACTIVE=onpremise
    Environment=SERVER_SSL_KEYSTORE=/keystore/server.jks
    Environment=SERVER_SSL_KEYSTOREPASSWORD=Password1
    Environment=SERVER_SSL_KEYPASSWORD=Password2
    ExecStart=/usr/lib/jvm/jre-17/bin/java -Dfile.encoding=UTF-8 -Dspring.mvc.locale=en_US -server -Xms2048m -Xmx2048m -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -Dencryption.keys.file=config/keys.properties -jar lib/oidc.jar
  5. 可选: 如果您的 Talend Administration Center 对 SSL 使用自签名证书,如 在 Talend Administration Center 中配置 TLS/SSL 中所述,请将您 Talend Identity and Access Management 的信任库配置添加到 ExecStart 属性中。
    -Djavax.net.ssl.trustStore=/path/to/trustStore -Djavax.net.ssl.trustStorePassword=trustStore_password

    确保在 -jar <jar name> 之前将这些值添加到字符串的中间。系统将 -jar <jar name> 后的字符串解释为 Java 主函数的命令行参数。

    信息注释警告:

    确保您已将 Talend Administration Center的证书添加到 Talend Identity and Access Management 信任库中。

    上一节对此进行了解释。

  6. 保存 talend-iam-oidc-8.0.1.service 文件。
  7. talend-iam-scim-8.0.1.service 文件重复上述操作。
  8. 保存两个文件后,运行以下命令以重新加载 systemd 环境:
    sudo systemctl daemon-reload
  9. 使用以下命令重新启动两个服务:
    sudo systemctl stop talend-iam-oidc-8.0.1.service
    sudo systemctl stop talend-iam-scim-8.0.1.service
    sudo systemctl start talend-iam-oidc-8.0.1.service
    sudo systemctl start talend-iam-scim-8.0.1.service

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们!