16.20 - LDAPログオン形式の例の説明 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
構文要素 説明
.logmech ldap 認証メカニズムを指定する。これは、LDAPがデフォルト メカニズムとして設定されていない限り必要。

LDAPは、ディレクトリ認証をサポートする唯一のメカニズムです。

user_credentials 指定文に有効なフォーマットを使用して、ディレクトリ名およびパスワードを指定します。
.logdata文または.logon文の中で、ユーザー信頼証明を指定することができます。ただし、許可修飾子を指定する場合には.logdata文を使用することが必要です。
.Logdata文の有効な信頼証明の形式
  • authcid= diruser password= dirpassword
  • diruser @@dirpassword
  • diruser password= dirpassword
.Logon文の有効な信頼証明の形式
  • diruser,dirpassword
ディレクトリ サービスがActive Directoryの場合、または識別情報マップまたは識別情報検索を構成している場合、以下も指定できます。

UPNの正しい解釈の保証

diruserおよびdirpasswordのログオンに関して、ユーザーの指定が“a@b”または“a/b”あるいは“a\b”の場合、ユーザー指定を解釈するためにLdapCredentialIsUPNを設定します。LdapCredentialIsUPNを参照してください。
  • LdapCredentialIsUPNプロパティがないか、yesに設定されている場合(デフォルト)、システムはユーザー指定をUPNとして扱う。これは、IETF1964のルールに準拠している必要がある。
    LdapCredentialIsUPNがyesに設定されている場合、ログオンにUPNが“a\@b”または“a\/b”または“a\\b”として表示される必要があります。ここで、バックスラッシュが付いた文字は、システムに、後に続く文字の扱い方を示しています。
  • CredentialIsUPNプロパティがnoに設定されている場合、システムは特殊文字を無視し、ユーザーの仕様がAutheidであると考えます。
authorization_qualifier 許可パラメータを指定します。これが必要なのは以下の場合です:
  • ディレクトリ ユーザーは、複数のユーザーオブジェクトまたはプロファイル オブジェクトにマッピングされる。
  • LDAPがSASL/DIGEST-MD5バインドを使用するように設定されていて(デフォルト)、ディレクトリが複数のレルムを提供し、LdapServerRealmプロパティの値が“”に設定されている(デフォルト)。
複数の.logdata指定は、空白で区切る必要があります。

複数のデータベース ユーザーにマップされた ディレクトリ ユーザーには、以下の特徴があります。

ディレクトリ ユーザーが1つ以上のデータベース ユーザーにマッピングされている場合、user=database_usernameのフォームでユーザーのうち1つを指定します。

複数のプロファイルにマッピングされているディレクトリ ユーザー
  • ディレクトリ ユーザーが複数のプロファイルにマッピングされている場合は、セッション プロファイルを識別するために.logdata文にprofile=profile_nameを指定する。
  • ディレクトリ ユーザーが1つ以上のデータベース ユーザーと1つのプロファイルにマッピングされている場合、セッションはマッピングされたデータベース ユーザーのプロファイルではなく、個別にマッピングされたプロファイルに従う。

ディレクトリは複数のレルムに対応しています。

ディレクトリに表示されるレルム(通常はディレクトリの完全修飾DNS名)を、例えば次のように指定します。

realm=directory_FQDNSName

システムはレルム情報を次のように処理します。
  • ログオンでレルムが指定されず、LdapServerRealmプロパティの値によって有効なレルムが取得されない場合、ログオンは失敗します。
  • ディレクトリが.logdata文に含まれているレルムを提供しない場合、ログオンは失敗します。
  • .logdata文が必要なレルムを指定した場合、有効なレルム仕様であればログオンは成功します。
Tdpid 必須。 tdpidは、Teradata Databaseシステム、Unityサーバー、またはログオンに成功した場合はホスト グループを識別します。
, , ログインがアカウントを指定し、ディレクトリ ユーザー名およびディレクトリ パスワードが.logdataに表示されている場合は、, ,は、これらの例外をアカウント指定より優先する必要がある:
  • .logonステートメントにユーザーの資格情報が表示される場合、カンマは1つだけ必要です。
  • .logonでアカウントが指定されていない場合は、カンマは必要ありません。
"account" オプション。アカウント文字列は二重引用符で囲む必要があります。アカウントの詳細については、<Teradata Vantage™ - データベース管理、B093-1093>を参照してください。