この例は、与えられたIPアドレスからLDAPを使用して永久ユーザーの認証および許可プロパティを検証する方法を示します。 次を実行します。
tdgssauth -u userconflow -m ldap -i 198.51.100.20
ユーザー名(-u)は、bteq .logonコマンドで指定されるユーザー名と同じです。-mオプションは、使用するログオン メカニズム(この場合LDAP)を指定します。-iオプションはユーザーの接続元IPアドレスを指定します。
結果:
1> Please enter a password: 2> Status: authenticated, not authorized 3> Database user: userconflow [permanent user] 4> Authenticated user: ldap://dsa1.example.com:389/uid=userconflow,ou=principals,dc=example,dc=com 5> Audit trail identifier: userconflow 6> Authenticating service: dbssvc 7> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20] 8> Mechanism specific data: userconflow 9> 10> Security context capabilities: replay detection 11> out of sequence detection 12> confidentiality 13> integrity 14> protection ready 15> exportable security context 16> 17> Minimum quality of protection: 1 (Low) with confidentiality and integrity 18> Options: none
次に、コマンドからの出力について説明します。
行番号 | 説明 |
---|---|
1> Enter a password | プロンプトが表示されたら、指定メカニズムのユーザー パスワードを入力します。この例では、指定メカニズムがldapであるためユーザーのLDAPパスワードを入力します。KRB5が指定メカニズムである場合は、ユーザーのKRB5パスワードを入力します。 パスワードを要求されないようにするには、-wを使用してコマンドラインでユーザーのパスワードを指定してください。
コマンド ラインでユーザーのパスワードを指定することは推奨しません。
|
2> Status: authenticated, not authorized | このユーザーは正常に認証されましたが、ディレクトリ内の明示的なTeradataユーザーにマッピングされていません。 |
3> Database user: userconflow [permanent user] | データベース ユーザーの名前。このデータベース ユーザーは永久ユーザーです(DBAがデータベース内に作成したユーザー)。 |
4> Authenticated user: ldap://dsa1.example.com:389/uid=userconflow, ... | ディレクトリ サーバーおよびユーザーを認証したサーバーにおけるユーザーのID。 |
5> Audit trail identifier: userconflow | このユーザーとしてログオンされたセッションによって発生したイベント ログで使用されたユーザーの監査証跡識別子。 |
6> Authenticating service: dbssvc | ユーザーの認証に使用するサービスの名称。サービスは、TdgssUserConfigFile.xmlファイルの<LdapConfig>セクションで構成されます。 |
7> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20] | ユーザー認証に使用される実際の認証メカニズムの名前とオブジェクト識別子(OID)。TDNEGOメカニズムはユーザー認証のために選択した実際のメカニズムを報告します。その他の明示的に名前を付けられたメカニズムはここで自分自身を報告します。 |
8> Mechanism specific data: userconflow | メカニズム固有のデータ。このデータはログイン プロセス中にシステムの他の部分によって使用され、TDGSSは使用しません。すべてではありませんがほとんどの場合、-uコマンドライン オプションでユーザー名を返します。 |
10 - 15> Security context capabilities: replay detection out of sequence detection ... exportable security context |
これらの行は特定のセキュリティ コンテキストの内容を示しています。セキュリティ コンテキストは指定されたメカニズムを使用して名前付きユーザーに対して確立されます。 |
17> Minimum quality of protection: 1 (Low) ... | ユーザーがセッション継続中に使用する必要のある最小QoP。この例では、ディレクトリ構成からユーザーは少なくとも低強度の機密性QoPを使用する必要があります。データベースがこれを強制し、セッションが指定されたものよりも安全性の低いQoPを使用した場合、ユーザー セッションは強制終了されます。 |
18> Options: none | このユーザーに有効な接続オプション。この例では、単語noneはこれが通常の接続であることを示しています。この値にはhas-policyまたはno-direct-connectが含まれます。has-policyはユーザーがデータベースへ接続に平文のみを使用しなければならず、非常に特殊な目的のために使用されることを示しています。no-direct-connectはユーザーはデータベースに直接接続することはできず、Unityを経由する必要があることを示しています。 |