概要
簡易LDAP認証を利用すると、Teradata固有のスキーマ、構造またはエントリが含まれるようにディレクトリを変更しなくても、既存のディレクトリ サービスを利用してTeradata Databaseユーザーを承認することができます。簡易LDAP認証の外部ロールを既存のディレクトリ グループにマッピングします。
利点
- LDAPv3準拠のディレクトリ サーバー(LDAPとKRB5)で動作します。
- Teradataのインフラストラクチャまたはオブジェクトを顧客のディレクトリ サーバーに追加する必要はありません。
- Teradata固有のエントリがディレクトリで必要とされないため、Microsoftの管理コンソール スナップインなどのディレクトリ管理ツールを使用してディレクトリを管理することができます。
- 現在のLDAP構成は影響を受けません。Teradata固有のオブジェクトがすでにディレクトリで構成されていれば、そのモデルを使用し続けることができます。この新しい機能が管理作業に影響を及ぼすことはありません。
簡易LDAP認証とTeradata固有のディレクトリ オブジェクトの両方を使用することはできません。TdgssUserConfigFile.xmlを変更するだけで簡易認証に切り替えることができます。Teradata固有のオブジェクトはディレクトリに残すことができます。簡易認証がサイトのニーズを満たすことを確認した後、Teradata固有のエントリをディレクトリから削除することもできます。
インストール、アップグレード、およびバックダウン
簡易LDAP認証は、インストール時やアップグレード時に手動で有効にする必要があります。 簡易認証を有効にするには、1つ以上のAuthSearch構成要素を含めます。 詳細は、簡易LDAP認証の設定を参照してください。
リリース16.0以上から16.0未満のリリースへのバックダウンは、すべてのソフトウェアを削除し、フレッシュ インストールを実行した後、システム初期化(sysinit)を実行することによって行ないます。
バックダウンの手順
- TdgssUserConfigFile.xmlファイルのバックアップを作成します。
- TdgssUserConfigFile.xmlを編集して、ターゲット バージョンと互換性のない編集内容を削除します。
- run_tdgssconfigユーティリティを実行します。/opt/teradata/tdgss/bin/run_tdgssconfig
- tparesetを実行し、TDGSS構成への変更をアクティブ化します。
tpareset -f “use updated TDGSSCONFIG GDO”
簡易LDAP認証モードと互換性
- ライトウェイトLDAP権限を使用しない場合は、< AuthSearch >をTdgssUserConfigFile.xmlに追加しないでください。
- ライトウェイトLDAP権限を使用しなくなった場合は、<AuthSearch>をTdgssUserConfigFile.xmlから削除します。
- 16.0未満のクライアントは、簡易LDAP認証を使用してTeradata Database 16.0以上に接続することができます。現在インストールされているTeradata Databaseのリリースと互換性のあるクライアントは、簡易LDAP認証を使用することができます。
- ユーザーが複数のディレクトリ グループのメンバーである場合は、すべてのグループが検索に含まれ、グループの名前はユーザーが所有できる外部ロールを識別します。
- ユーザーがいずれのディレクトリ グループのメンバーでもない場合、ロールは返されません。ユーザーはログオンを許可されますが、外部ロールを所有することはできません。これは認証専用ログオンと同じです。
- ユーザー認証が失敗した場合、ログオンは失敗します。
検索パフォーマンス
簡易LDAP認証機能では、LDAPディレクトリを対象としてグループを検索し、見つかったグループをTeradataの外部ロールにマッピングします。Teradataでは、検索の効率を最大限に高めるために、例えば検索ベースと検索範囲を調整する(subtreeからonelevelへ変更する)などしてディレクトリ検索の範囲を狭めることを推奨しています。これは、ディレクトリ検索の最適化で説明したユーザーの検索範囲を最適化する方法と似ています。