TdgssUserConfigFile.xmlにおける<LdapConfig>セクションの作成 - Teradata Database

TdgssUserConfigFile.xmlにおける<LdapConfig>セクションの作成 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product

Teradata Database

Teradata Vantage NewSQL Engine

Release Number

16.20

Published

2019年3月

Language

日本語

Last Update

2019-10-29

dita:mapPath

ja-JP/rmm1512082852218.ditamap

dita:ditavalPath

ja-JP/rmm1512082852218.ditaval

dita:id

B035-1100

Product Category

Software

Teradata Vantage

<LdapConfig>セクションには、少なくとも以下を含める必要があります。

1 <Service>
1 正規化、つまり1つの<Identity Map>または<Identity Search>要素

以下の構成要素をTdgssUserConfigFile.xmlに追加して、<LdapConfig>セクションを作成します。<LdapConfig>セクションは、<Mechanisms>セクションの直下、<Mechanisms>セクションと同じレベルに配置します。
例:
```
<LdapConfig>
  <Services>
    <Service
    ...
    </Service>
    <Service
    ...
    <Service
    ...
    </Service>	
  </Services>
  <Canonicalizations>
  ...
  </Canonicalizations>
</LdapConfig>
```
オプションの<Tls>保護セクションを構成の最初の要素として追加します。このセクションは、構成されたすべてのサービスに対するグローバルデフォルトです。例:
```
<LdapConfig>
  !-- The default TLS configuration goes here. -->
  <Tls
    LdapClientTlsCACertDir="/etc/ssl/certs"
    LdapClientTlsReqCert="allow"
    LdapClientTlsCACert="/etc/ssl/certs.pem"
    LdapClientTlsCert="/etc/ssl/certs/client.pem"
    LdapClientTlsKey="/etc/ssl/certs/key.pem"
    LdapClientTlsRandFile="/dev/rndom"
    LdapClientTlsCipherSuite="!LOW"/>
```
TLS要件がディレクトリサービス間で異なる場合は、次のステップに示すように、TLSを<Service>ごとに個別に構成できます。 SSL/TLS保護オプションも参照してください。サービスの設定は、グローバル設定を上書きします。

ディレクトリサービスごとに<Service>要素を構成します。例:

<Service
      Id="svc.div1root"
      LdapServerName="ldap://div1root/ ldap://tdgss/ ldap://wave/"
      LdapBaseFQDN="dc=div1rootdom,dc=div1dev,dc=corp"
      LdapServiceFQDN="cn=div1root,ou=services,dc=div1rootdom,
dc=div1dev,dc=corp"
      LdapSystemFQDN="cn=end2end,cn=tdat,dc=div1rootdom,
dc=div1dev,dc=corp"
      LdapServicePassword="password"
      LdapClientUseTls="no"
      LdapClientMechanism="simple">
    <!-- Overrides to the default TLS configuration go here. -->
      LdapClientTlsReqCert="demand"
      LdapClientTlsCert="/home/mycert"/>
    </Service>
    <Service
    ...
    </Service>	
</Services>

説明:

プロパティ	説明
Id="svc.div1root"	ディレクトリサービスに固有の名前を付けます。
LdapServerName= ... LdapClientMechanism=	サイトのニーズに応じた、サービスに必要なLDAPプロパティのリスト。デフォルト以外の値を持つプロパティのみを含める必要があります。
LdapServicePassword="password"	このプロパティをステップ4で作成した暗号化パスワードに設定します。
LdapClientTlsReqCert="demand" LdapClientTlsCert="/home/mycert"/>	このサービスについてのみ、オプションでTLSメインセクションのデフォルト値を上書きする値が含まれているTLSサブセクション。

tdspasswdツールを使って、秘密鍵ファイル用の暗号化パスワードを生成します。
```
# tdspasswd -s svc.div1root
Enter New password:
Confirm New password:
ASfb+l7norNgJHZZBufEmRS=
```
ここで、svc.div1rootはステップ3で示した<Service>構成のIdプロパティに指定した値です。

ツールのプロンプトが表示されたら、パスワードを入力します。ツールは、例えば、暗号化されたバージョンのパスワードを生成します: ASfb+l7norNgJHZZBufEmRS=
暗号化されたバージョンのパスワードをステップ3に示した構成でLdapServicePasswordプロパティの値として入力します。