Passer au contenu principal
Cette page ne s’applique pas à ClickHouse Cloud. La fonctionnalité décrite ici n’est pas disponible dans les services ClickHouse Cloud. Consultez le guide ClickHouse Compatibilité Cloud pour plus d’informations.
ClickHouse peut être configuré pour utiliser LDAP afin d’authentifier les utilisateurs de base de données ClickHouse. Ce guide présente un exemple simple d’intégration de ClickHouse à un système LDAP utilisant un annuaire public pour l’authentification.
1

Configurer les paramètres de connexion LDAP dans ClickHouse

  1. Testez votre connexion à ce serveur LDAP public :
    La réponse ressemblera à ceci :
  2. Modifiez le fichier config.xml et ajoutez ce qui suit pour configurer LDAP :
Les balises <test_ldap_server> constituent un libellé arbitraire permettant d’identifier un serveur LDAP donné.
Voici les paramètres de base utilisés ci-dessus :
Dans cet exemple, comme le serveur public utilise le port 389 et n’utilise pas de port sécurisé, nous désactivons TLS à des fins de démonstration.
Consultez la page de documentation LDAP pour plus de détails sur les paramètres LDAP.
  1. Ajoutez la section <ldap> à la section <user_directories> pour configurer le mappage des rôles utilisateur. Cette section définit comment un utilisateur est authentifié et quel rôle il recevra. Dans cet exemple de base, tout utilisateur s’authentifiant via LDAP recevra le rôle scientists_role, qui sera défini dans ClickHouse à une étape ultérieure. La section doit ressembler à ceci :
    Voici les paramètres de base utilisés ci-dessus :
  2. Redémarrez votre serveur ClickHouse pour appliquer les paramètres.
2

Configurer les rôles et les permissions de la base de données ClickHouse

Les procédures de cette section supposent que SQL Access Control and Account Management est activé dans ClickHouse. Pour l’activer, consultez le guide SQL sur les utilisateurs et les rôles.
  1. Créez un rôle dans ClickHouse portant le même nom que celui utilisé dans la section de mappage des rôles du fichier config.xml
  2. Accordez au rôle les privilèges nécessaires. L’instruction suivante accorde des privilèges d’administrateur à tout utilisateur pouvant s’authentifier via LDAP :
3

Tester la configuration LDAP

  1. Connectez-vous à l’aide du client ClickHouse
Utilisez la commande ldapsearch à l’étape 1 pour afficher tous les utilisateurs disponibles dans l’annuaire. Pour tous les utilisateurs, le mot de passe est password.
  1. Vérifiez que l’utilisateur a bien été associé au rôle scientists_role et qu’il dispose des autorisations d’administrateur

Résumé

Cet article a présenté les bases de la configuration de ClickHouse pour l’authentification auprès d’un serveur LDAP, ainsi que pour l’attribution d’un rôle. Il est également possible de configurer des utilisateurs individuels dans ClickHouse tout en les faisant authentifier par LDAP, sans mettre en place de mappage de rôles automatisé. Le module LDAP peut aussi être utilisé pour se connecter à Active Directory.
Dernière modification le 2 juillet 2026