Teradata Databaseには、IPアドレスによるデータベース アクセスを制限するための方法が用意されています。
- IP制限をXML文書またはディレクトリ内に作成してから、IP制限GDOに転送します。この後に続くトピックを参照してください。
- IP制限を定義するセキュリティ ポリシーを作成します。ポリシーIP制限の構成と使用の詳細については、ネットワーク セキュリティ ポリシーを参照してください。
IP制限は直接のデータベース ログオン、およびUnity経由のログオンに適用されます。Unity経由のログオンの場合、Teradataゲートウェイはログオン ユーザー名とIPアドレスに加えて、UnityユーザーIDとIPアドレスも受信します。
IP制限は、中間層アプリケーションを介してログオンするユーザーには適用されません。これは、Teradataゲートウェイで元のIPアドレスが認識されないためです。このルールの例外は、クライアントIPアドレスをTeradataゲートウェイに渡すUnityです。
ネットワーク グループ内のIPアドレスのセキュリティ ポリシーを設定することもできます。 ネットワーク セキュリティ ポリシーを参照してください。
リンク ローカルIPアドレス
IPv6とIPv4のリンクローカルIPアドレスは、データベースへの接続がブロックされます。Teradata Databaseのインストール中、ipfilterがipfilter GDOに追加されて、リンクローカルIPアドレス範囲(IPv6の場合はfe80::、IPv4の場合は169.254.0)へのアクセスが制限されます。
以下のipfilterがipfilter.xmlに追加されて、すべてのIPアドレスによるデータベース接続が許可されます。ただし、一覧の範囲でブロックされたアドレスは許可されません。
<ipfilter name="linklocal" type="permissive"> <deny ip="fe80::/10"/> <deny ip="169.254.0.0/255.255.0.0"/> <appliesto tagref="allusers" /> </ipfilter>
リンクローカル制限を構成したら、Teradata Databaseの前のリリースへダウングレードしても、制限は削除されません。リンクローカルIPアドレスが必要な場合は、手動で許可する必要があります。
アップグレードまたはインストール時に、現在ipfiltersを使用していることが検出されると、リンクローカル制限は強制されず、リンクローカル制限を手動で追加することをすすめる警告メッセージが表示されます。
リンクローカルIPアドレス構成を変更するには、IP制限の編集または無効化を参照してください。
IP制限の構成方法については、XMLベースのIP制限の作成を参照してください。