KRB5メカニズムはKerberosユーザー認証とTeradata Database認証をサポートしています。オプションでKRB5メカニズムを構成してユーザーのディレクトリ認証を指定することもできます。このオプションではディレクトリの構成も必要です。 オプション3: ディレクトリ許可による非LDAP外部認証を参照してください。
- Windowsクライアントに表示されるSSPI Kerberos
- UNIX用のKRB5は、Linuxクライアント、サポート対象のTTU UNIXクライアント(IBM z/OSクライアントを除く)、データベース システム上に表示されます。
KRB5メカニズムを使用するには、外部認証制御についてで始まるトピックで説明されているセットアップ手順を完了する必要があります。
Kerberosの複数LANアダプタの制限
ユーザーがSingle Sign-onを採用してKerberos認証を使用する場合、Teradata Databaseノードは最大1つのLANアダプタを持つことができます。また、マシン名はターゲット アダプタに関連付けられたホスト名(hostid)に対応している必要があります。ログオンでKRB5を使用して複数のLANアダプタを持つノードに接続すると、ログオンに失敗します。
複数のLANアダプタを使用する場合は、ログオンの失敗を避けるためにKRB5メカニズムを無効にできます。 MechanismEnabledを参照してください。
例: Teradata DatabaseにおけるLinux構成のためのKRB5
Release 14.0より前にセットアップされたシステムでLinux用KRB5を使用するには、TdgssLibraryConfigFile.xmlからKRB5メカニズムをコピーし、LDAPまたはTeradataKeyTabプロパティを含まないTdgssUserConfigFile.xmlのKRB5メカニズムに置き換える必要があります。
リリース14.0から始まるTeradata Databaseの新規インストールでは、デフォルトでLinux用KRB5がTdgssUserConfigFile.xmlに表示されます。
<!-- KRB5 for TDGSS using GSS-API --> <Mechanism Name="KRB5" ObjectId="1.2.840.113554.1.2.2" LibraryName="gssp2gss" Prefix="gssp2gss" InterfaceType="gss"> <RequiredLibrary Path="/usr/lib64/libgssapi_krb5.so"/> <MechanismProperties AuthenticationSupported="yes" AuthorizationSupported="no" SingleSignOnSupported="yes" DefaultMechanism="no" MechanismEnabled="yes" MechanismRank="40" GenerateCredentialFromLogon="yes" DelegateCredentials="no" MutualAuthentication="yes" ReplayDetection="yes" OutOfSequenceDetection="yes" ConfidentialityDesired="yes" IntegrityDesired="yes" AnonymousAuthentication="no" DesiredContextTime="" DesiredCredentialTime="" CredentialUsage="0" LdapServerName="" LdapServerPort="389" LdapServerRealm="" LdapSystemFQDN="" LdapBaseFQDN="" LdapGroupBaseFQDN="" LdapUserBaseFQDN="" LdapClientReferrals="off" LdapClientDeref="never" LdapClientDebug="0" LdapClientRebindAuth="yes" LdapClientRandomDevice="/dev/urandom" LdapClientMechanism="SASL/DIGEST-MD5" LdapClientUseTls="no" LdapServiceFQDN="" LdapServicePasswordProtected="no" LdapServicePassword="" LdapClientSaslSecProps="" UseLdapConfig="no" TeradataKeyTab="/etc/teradata.keytab" /> <MechQop Value="0"> GLOBAL_QOP_0 </MechQop> </Mechanism>