LdapClientSASLSecProps - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

LdapClientSaslSecPropsプロパティでは、トークン交換のセキュリティ レベルを指定します。

ディレクトリ ユーザーがTeradata Databaseシステムにログオンし、ディレクトリ サーバーとTeradata Database間のSASLトークン交換にDIGEST-MD5バインドが使用される場合、攻撃者は、その交換を攻撃しトークンを平文で送信するようにリダイレクトする可能性があります。DIGEST-MD5トークン交換をさらに保護するためにLdapClientSaslSecPropsプロパティを設定することができます。

デフォルト プロパティ値

LdapClientSaslSecPropsプロパティのデフォルト値はminssf=0であり、それは、セキュリティ レベルがすべてのサポートされるディレクトリ型および構成と互換性はあるが、追加の保護は提供しないことを意味します。

編集ガイドライン

  • 値を設定するには、LDAPメカニズムについてこのプロパティを手動でTdgssUserConfigFile.xmlに追加する必要があります。 構成ファイルの編集についてを参照してください。
  • 使用する場合は、このプロパティをデータベースおよびUnity上で編集します。 Unityのメカニズム プロパティ値の統合も参照してください。
  • プロパティ値をminssf=0に設定した場合、その設定は、高度なセキュリティ レベルを使用できないディレクトリ型および構成との可能性のある矛盾を回避します。
  • ディレクトリ サーバーにauthintまたは、auth-conf QOPを提供させるために、プロパティ値をminssf=1に設定することができます。
    • Auth-intは、データベースとディレクトリ間のメッセージにメッセージ ダイジェスト(署名)を追加します。
    • Auth confは、データベースとディレクトリ間のメッセージに暗号化とメッセージ ダイジェスト(署名とシール)を追加します。

    保全性チェックは、QOPレベルをリセットしパスワードを平文で送信させる中間者攻撃を防ぎます。ほとんどの実装では、minssf=1の設定で十分です。

  • トークン交換を暗号化するために、プロパティ値を設定することができます。設定:
    • minssf=56はDESまたは他の低レベルの暗号を使用
    • minssf=112はトリプルDESおよび他の強力な暗号を使用
    • minssf=128はRC4などの最強の暗号を使用
    minssfを1より上に指定する場合、ディレクトリは対応する暗号化レベルをサポートしなければなりません。また、設定はmaxssfプロパティのディレクトリ設定を超えることはできません。