自動的にプロビジョニングされるディレクトリ ユーザーについて - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

自動プロビジョニングによって、ディレクトリ プリンシパルは、データベース アカウントを作成するDBAなしに、自動的にTeradata Databaseログオンを得ることができます。自動プロビジョニングを使用するには、データベース システムを自動プロビジョニングができるように有効にする必要があり、またディレクトリ プリンシパルはTeradataの外部ロールまたはプロファイルのメンバーである必要があります。ディレクトリ プリンシパルをデータベース ユーザー オブジェクトにマッピングしてはいけません。

初回のログオン時に、自動プロビジョニングされるユーザーのデータベース ユーザー識別情報が作成されます。データベース ユーザー アカウントには、NULLパスワードが与えられます。スプール領域などの属性は、ディレクトリ プリンシパルがマッピングされるプロファイルに従って割り当てられます。あるいは、ディレクトリ プリンシパルがプロファイルのメンバーではない場合は、ゼロに設定されます。

自動プロビジョニングされたアカウントに付与される権限は、ディレクトリ ユーザーが割り当てられている外部ロールによって決まります。自動プロビジョニングされたディレクトリ ユーザーが外部ロールに割り当てられ、データベースにもロールが付与されている場合、ユーザーは両方のロールの権限を持つことができます。ただし、ユーザーは外部から認証されているため、セッションで有効になるのは外部ロールだけです。付与されたロールは明示的に有効にする必要があります。ディレクトリ プリンシパルがロールに割り当てられていない場合、ユーザーはEXTERNAL_AP(システム ユーザー)から権限を継承します。

その後のログインでは、ユーザーは、ディレクトリやKerberosのような認証メカニズムによって認証を受ける必要があります。自動プロビジョニングされたユーザーはディレクトリによって許可を与えられます。

自動プロビジョニングはデフォルトで無効になります。無効になっていると、永久データベース ユーザーにマッピングされていない外部ディレクトリ ユーザーはEXTUSERとしてログオンされます。
EXTUSERに代えて自動プロビジョニングを使用することにはいくつか利点があります。
  • 自動プロビジョニングは、EXTUSERが対象となっている権限の制約を外します。そのような権限制約とは、例えば、EXTUSERにはUSER権利がない、WITH GRANT OPTIONがない、per-DSA-user付与/取り消しがない、などです。
  • 自動プロビジョニングにより、ユーザーごとのスプールおよび一時領域の割り当てができます。
  • 自動プロビジョニングされたユーザーを、ViewpointやTASMなどのツールによって識別できます。
  • 自動プロビジョニングされたユーザーを個別に記録できます。

自動プロビジョニングのための前提条件

サポートされるディレクトリ サーバーが許可のために実行し、構成されている必要があります。

ユーザーを許可するために、TDGSS内のLDAP、Kerberos (KRB5)、あるいはSPNEGO認証メカニズムを構成する必要があります。つまり、Teradata DatabaseノードおよびUnityサーバーに、MechanismEnabled = “yes”およびAuthorizationSupported = “yes”としてTDGSSを構成する必要があります。

データベースとゲートウェイでは、外部認証を有効にする必要があります。

AutoProvision DBSControlパラメータを有効にする必要があります。dbscontrolを実行してm g 81 Tを入力します。

プロファイルと外部のロールは、データベースに存在する必要があります。一致するプロファイルとロール オブジェクトは、ディレクトリに存在する必要があります。

自動プロビジョニングを提供するディレクトリ プリンシパルは、ディレクトリ内のロールやプロファイルに割り当てる必要があります。

ディレクトリ プリンシパルをデータベースのユーザー オブジェクトにマップしてはいけません。

自動プロビジョニングの設定

ディレクトリ、ユーザー、ロール、プロファイル、および外部認証を設定する場合、ディレクトリ データベース ユーザー実装プロセスのステップに従って自動プロビジョニングを含むすべてを構成します。

ディレクトリ、ディレクトリ ユーザー、ディレクトリ、データベース ロール、プロファイル、および外部認証がすでに設定されている場合は、次のステップに従って自動プロビジョニングを有効にして使用します。

  1. DBSControl内のAutoProvisionパラメータを有効にします。
    dbscontrol m g 81 T
  2. 自動プロビジョニングを、選択したディレクトリ プリンシパルに提供するには、それらをディレクトリ内のデータベース オブジェクト(ロールまたはプロファイル)に割り当てます。最初のログオン時に、これらのユーザーにデータベース アカウントが作成されます。