簡易LDAP認証の設定 - Teradata Database - Teradata Vantage NewSQL Engine - ユーザーを承認するために簡易LDAPを設定する方法。

前提条件

• LDAPv3互換ディレクトリ サーバー(LDAPまたはKRB5)。 証明済みディレクトリについてを参照してください。
• Teradata Databaseで定義された外部ロール。 外部ロールの作成と削除を参照してください。
  ユーザーはデータベース内のロールに属する必要はありません。ただし、ディレクトリ ユーザーは、ロールにマッピングするグループに属している必要があります。これにより、ユーザーはSET ROLE <extrolename>経由でロールを占有する権限を与えられます。
• 外部ロールに対応するディレクトリ内のグループ エントリ。

簡易認証を使用するためのTeradata Databaseサーバーの設定

1. 最も小さいID番号をもつTeradata Databaseノードにおいて、TdgssUserConfigFile.xmlが格納されているディレクトリに移動します。

   cd /opt/teradata/tdat/tdgss/site

2. TdgssUserConfigFile.xmlのバックアップ コピーを作成します。
3. TdgssUserConfigFile.xmlを編集して、TDGSSがディレクトリでグループのようなエントリを検索できるようにします。
   1. AuthorizationSupportedを"yes"に設定します。
   2. AuthenticationSupportedを"yes"に設定します。
   3. <AuthSearch>セクションを追加します。

      <AuthSearch>セクションが、<LdapConfig>セクションの<Canonicalizations>エリアに、または<MechanismProperties>要素の子として配置されます。どちらの場合も、<AuthSearch>は<IdentitySearch>要素および<IdentityMap>要素と兄弟の関係です。

      例:

      Mechanism Name="ldap">    
         <MechanismProperties       
              AuthenticationSupported="yes"       
              AuthorizationSupported="yes"       
              LdapBaseFQDN="dc=example,dc=com"        
              … />
         <AuthSearch    
              Ref="service-id"    
              Base="search-base"    
              Scope="{onelevel|subtree}"    
              MemberAttribute="member-attribute-name"    
              ObjectClass="object-class-name"    
              NamingAttribute="naming-attribute-name"      
              <AuthSearchMap Match="regex" Pattern="pattern"/>
          />
      </Mechanism>

      各要素の詳細については、<AuthSearch>を参照してください。

4. TDGSSCONFIG.GDO. Runを更新します。

   /opt/teradata/tdgss/bin/run_tdgssconfig

5. [オプション]tdgssauthを使用して新しい構成をテストします。 tdgssauthに関わる操作を参照してください。
6. tparesetを実行して、変更をアクティブ化します。

   tpareset -f “use updated TDGSSCONFIG GDO”