16.20 - 例: ディレクトリ ユーザーのIPアクセス制限のテスト - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval

IP GDOで以下のようなIPアクセス制限を定義するものとします。

<?xml version="1.0" encoding="UTF-8"?>
<tdat name="tdat">
  <system name="tnt38">
    <users tag="users">
      <user name="drct01"/>
      <user name="drct02"/>
      <user name="perm01" tag="tagperm01"/>
    </users>
    <ipfilters>
      <ipfilter name="filter1" type="restrictive">
        <allow ip="141.206.36.0/24"/>
        <allow ip="141.206.35.0/24"/>
        <deny ip="141.206.35.88/32"/>
        <appliesto tagref="allusers"/>
      </ipfilter>
    </ipfilters>
  </system>
</tdat>

ユーザーが通常データベースにログオンする際に使用するIPアドレスのユーザーdljにどの制限が適用されるかを判別するために、上記のXML文書エントリに基づいて、tdsbindを使用してユーザー制限(バインド無し)をテストします。

出力の最終行は、ログオンを許可するか、それとも拒否するかを示します。

$ tdsbind -U djl -I 141.206.35.87
LdapGroupBaseFQDN: ou=groups,ou=testing,dc=domain,dc=com
 LdapUserBaseFQDN: ou=people,ou=testing,dc=domain,dc=com
   LdapSystemFQDN: cn=end2end,cn=tdat,ou=testing,dc=domain,dc=com
   LdapServerName: esroot
   LdapServerPort: 389
 LdapServerRealm: esrootdom
Logon by user <djl> from IP <141.206.35.87> is allowed
$ tdsbind -U djl -I 141.206.35.88
LdapGroupBaseFQDN: ou=groups,ou=testing,dc=domain,dc=com
 LdapUserBaseFQDN: ou=people,ou=testing,dc=domain,dc=com
   LdapSystemFQDN: cn=end2end,cn=tdat,ou=testing,dc=domain,dc=com
   LdapServerName: esroot
   LdapServerPort: 389
   LdapServerRealm: esrootdom
Logon by user <djl> from IP <141.206.35.88> is not allowed
$ tdsbind -U djl -I 141.206.35.89
LdapGroupBaseFQDN: ou=groups,ou=testing,dc=domain,dc=com
 LdapUserBaseFQDN: ou=people,ou=testing,dc=domain,dc=com
   LdapSystemFQDN: cn=end2end,cn=tdat,ou=testing,dc=domain,dc=com
   LdapServerName: esroot
   LdapServerPort: 389
  LdapServerRealm: esrootdom
Logon by user <djl> from IP <141.206.35.89> is allowed
$

また、tdsbindを使用して、バインドが行なわれる特定のIPアドレスのLDAPログオンをテストすることもできます。

$ tdsbind -u diperm01 -I 141.206.35.88
Enter LDAP password:
LdapGroupBaseFQDN: ou=groups,ou=testing,dc=doman,dc=com
 LdapUserBaseFQDN: ou=people,ou=testing,dc=doman,dc=com
   LdapSystemFQDN: cn=end2end,cn=tdat,ou=testing,dc=doman,dc=com
   LdapServerName: esroot
   LdapServerPort: 389
  LdapServerRealm: esrootdom
           FQDN: CN=diperm01,OU=people,OU=testing,DC=domain,DC=com
           GUID: 535cbe8b-3bc7-ff4a-a1f1-3c56886b7858
 Audit trail ID: AKNOL3CZ1Y55UVIPRHRLIQ01YLA
       Profiles: profperm01
          Roles: extrole01perm01, extrole02perm01, extrole03perm01
          Users: perm01
Logon by user <perm01> from IP <141.206.35.88> is not allowed
$