例: データベース ユーザーにマッピングされていないディレクトリ ユーザーのためのTdsbind出力 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage
1  # tdsbind -u drct01
2  Enter LDAP password:
3             LdapGroupBaseFQDN: ou=groups,dc=domain1,dc=com
4              LdapUserBaseFQDN:
5                LdapSystemFQDN: ou=system1,ou=tdat,dc=domain1,dc=com
6                LdapServerName: _ldap._tcp.domain1.com
7                LdapServerPort: 389
8              LdapClientUseTls: yes
9           LdapClientTlsCACert:  /opt/teradata/tdgss/site/certs/ server.pem
10         LdapClientTlsReqCert: demand
11          LdapClientMechanism: simple
12              LdapServiceFQDN: cn=dbssvc,ou=services,dc=domain1,dc=com
13 LdapServicePasswordProtected: yes
14          LdapServicePassword: configured
15      LdapServiceBindRequired: yes
15        LdapClientTlsCRLCheck: none
16 LdapAllowUnsafeServerConnect: yes
17                UseLdapConfig: yes
18       AuthorizationSupported: yes
19
20                         FQDN: uid=drct01,ou=principals,dc=domain1,dc=com
21         AuthUser: ldap://dsa1.domain1.com:389/uid=drct01,   ou=principals,dc=domain1,dc=com
22     DatabaseName: drct01
23          Service: domain1
24         Profiles: profile1
25            Roles: extrole01, extrole02, extrole03

次のテーブルでは、例を説明しています。

行番号 説明
tdsbind入力
1 tdsbind -u drct01 LDAPにディレクトリdrct01ユーザーを承認するように要求します。
2 Enter LDAP password 例では-wオプション(ユーザー パスワード)が指定されていないため、tdsbindはパスワードの入力を求めます。コマンドを実行しているユーザーはパスワードを入力してEnterキーを押します。
tdsbind出力
出力行がLDAPプロパティの値である場合、tdsbindは、対応するプロパティで現在構成されている値を使用します。tdsbindコマンドがLDAPプロパティに対応する変数(例えば-B、-Sおよび-h、または-O list)を使用する場合は、コマンド ライン値が構成されている値を上書きします。
3 LdapGroupBaseFQDN: ou=groups,dc=domain1,dc=com ディレクトリ グループがTeradata Databaseのロールにマップされている場合のグループ オブジェクトのFQDN。
4 LdapUserBaseFQDN ユーザー オブジェクトを含むディレクトリ オブジェクトのFQDN。
5 LdapSystemFQDN: ou=system,ou=Standard Systems,dc=domain1,dc=com LDAPユーザー許可に使用される構造の親であるtdatSystemオブジェクトのFQDN
6 LdapServerName: _ldap._tcp.domain1.com LDAPディレクトリ サーバーの名前。
7 LdapServerPort: 389 tdsbindコマンドはLDAPサーバー ポート(-p)をデフォルトに設定します。コマンドに値が含まれている場合は、その値がデフォルトを上書きします。
LDAPサーバー ポートの個別の指定は廃止されておらず、使用してはなりません。その代わりに、LDAPServerName値の指定の一部としてポート指定を含めることができます。 LdapServerNameを参照してください。
8 LdapClientUseTls: yes デフォルトでは、tdsbindが対応するLDAPClientUseTlsメカニズムのプロパティに関して構成した値を使用します。 yesの値は、TLSを使用してディレクトリ サーバーへの接続を確立することを意味します。
9 LdapClientTlsCACert:/opt/teradata/tdgss/site/certs/server.pem ディレクトリ サーバーCA証明書を格納したファイルを識別します。
10 LdapClientTlsReqCert: demand TLS保護セッションで、システムがディレクトリ サーバー証明書(存在する場合)に対してどのようなチェックを実行するかを指定します。

demandはTeradata Databaseがディレクトリ サーバーに証明書を要求するよう指定します。ディレクトリ サーバーが証明書を提供しなかった場合、または無効な証明書を提供した場合は、接続が終了します。

11 LdapClientMechanism: simple システム上で有効になっているLDAPバインド スタイル。
12 LdapServiceFQDN: cn=dbssvc,ou=services,dc=domain1,dc=com ディレクトリ内のバインド可能オブジェクトのDNで、サービスまたはバインドを必要とするアプリケーションを表わします。
13 LdapServicePasswordProtected: yes 構成中にサービス バインドのパスワードが暗号化形式で格納されたかどうかを示します。
14 LdapServicePassword: configured サービス バインドのパスワード(必要な場合)
15 LdapServiceBindRequired: yes LDAPがサービス(つまりTeradata Database)を要求するかどうかをディレクトリに対してそれ自体で認証する必要があることを示します。
16 LdapClientTlsCRLCheck: none 認証メカニズムがCAの証明書失効リスト(CRL)を使用して、サーバー証明書が失効していないことを検証する方法を示します。

Noneはチェックを実行しないという指定です。

17 LdapAllowUnsafeServerConnect: yes IETF RFC 5746に準拠した接続をサポートしていないソフトウェアを実行しているディレクトリ サーバーでTeradata Databaseを使用できるかどうかを示します。
18 UseLdapConfig: yes TDGSSが、基本メカニズムのプロパティ値ではなく、代替の<LdapConfig>セクションで構成されたメカニズム プロパティを使用するかどうかを示します。
19 AuthorizationSupported: yes LDAPユーザーがディレクトリ内で許可されたデータベース権限かどうかを判断します。
20 適用なし
21 FQDN: uid=drct01,ou=principals,dc=domain1,dc=com ディレクトリ ユーザーのFQDN。

バインド操作が成功した場合は、出力にFQDNが表示されます。

バインド操作が正常に行なわれなかった場合、この時点でエラー メッセージが表示され、tdsbindが終了します。

22 AuthUser: ldap://dsa1.domain1.com:389/uid=dirUser1,ou=principals,dc=domain1,dc=com ディレクトリ ユーザーのグローバル固有識別子(GUID) (ディレクトリがGUIDをサポートしている場合)
23 DatabaseName: dirUser1 ディレクトリ ユーザーのAuditTrailId。<LdapConfig>の<Canonicalization>セクション内の構成に基づく書き換え後のユーザーの名前。
24 Service: local ユーザーを許可したサービスの名前。ユーザーがメカニズムで許可された場合、このフィールドは空白です。
25 Profiles: profxu1 この属性の値は、ディレクトリ ユーザーが1つ以上のプロファイルにマップされている場合にのみ表示されます。
26 Roles: extrole01xu1, extrole02xu1, extrole03xu1 この属性の値は、ディレクトリ ユーザーを含むグループが1つ以上のロールにマップされている場合にのみ表示されます。
27 Users: perm01 ディレクトリ プリンシパルのマップ先になるデータベース ユーザー オブジェクト。