Tdgssauth構文の使用 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

Teradata Databaseコマンド プロンプトからtdgssauthを実行します。テストに必要なtdgssauthオプションを入力します。 例は以下のとおりです。

su - teradata
tdgssauth -u  username  -m  mechanism  -i  IP_address
tdgssauthを使用する場合、次のルールが適用されます。
  • tdgssauthオプションの順序は任意ですが、オプション間はスペースで区切る必要があります。
  • 入力では、大文字と小文字が区別されます。
  • SSL/TLSセットアップの一部としてシステムがCA証明書用に構成されている場合は、teradataユーザー(su - teradata)になります。これにより、rootの代わりにLinuxユーザーteradataとしてtdgssauthが実行されます。これは、CA証明書が存在する場合のシステムの認証方法を正確に反映しています。SSL/TLS保護オプションも参照してください。

tdgssauthオプションの使用

オプション 説明
初期化オプション
-t directory テスト モード初期化を実行します。このモードでは、TDGSSパッケージが通常のTDGSSディレクトリの外部にある場合、ユーザーはそのパッケージへのディレクトリ パスを提供します。このオプションが指定されない場合には、通常のサーバー モードの初期化が実行されます。

-vと相互に排他的です。

-v version サーバー モードの初期化を実行するときにテストするTDGSSのバージョンを指定します。

バージョンが指定されない場合には、現在アクティブなバージョンのTDGSSが想定されます。ディレクトリ/opt/teradata/tdat/tdgssの内容を調べることによって、TDGSSの利用可能なバージョンを判別できます。

-tと一緒には使用できません。サーバー モードの初期化のみで使用できます。

-b tdgssconfig.binファイルが存在する場合、このオプションにより、TDGSSは選択したTDGSSのtdgssconfig.binファイルから構成情報を読み取ることができます。このファイルが存在しない場合、選択したTDGSSのtdgssconfig.bin.prebuiltファイルが読み取られます。このオプションは、UnityノードでUnityベースのLDAPおよびKerberos認証をデバッグする場合に便利です。

どちらのファイルも存在しない場合、コマンドは失敗します。

コンテキスト確立オプション(認証を制御するTdgssauthオプションのためのルールを参照してください)
-m mechanism セキュリティ メカニズムを実行することを指定します。メカニズムを指定しない場合は、メカニズムはデフォルトでTD2になります。
-n target ターゲットのサービス プリンシパル名(SPN)を指定します。

この名前は、Kerberos(KRB5)認証に必要です。これは、文字列TERADATA、スラッシュ文字、およびツールが実行されているノードの完全修飾プライマリDNS名を連結することで形成されます。例えば、ツールがdbc1.example.comという名前のノードから実行されている場合、ターゲット名はTERADATA/dbc1.example.comになります。

ユーザーは、ターゲット名を制御して、非Teradataターゲットをテストしたり、大文字/小文字の区別が必要な場合にプライマリ ノード名を変更したりできます。

-D 委任に対応できるセキュリティ コンテキストの確立を要求します。そのように確立されたコンテキストは、サーバーが他のサービスでクライアントになりすますことを許可します。

このオプションの指定は単なる要求であることに注意してください。コンテキストが委任に対応できるという保証はありません。

-M コンテキストの確立中に相互認証が行なわれることを要求します。相互認証では、コンテキスト確立の2人の参加者が互いに完全に認証する必要があります。

このオプションの指定は単なる要求であることに注意してください。相互認証が実行されるという保証はありません。

-R リプレイ検出を要求します。
-S シーケンス外メッセージの検出を許可するようにコンテキストを確立することを要求します。

このオプションの指定は単なる要求であることに注意してください。シーケンス外検出が可能であるという保証はありません。

-I メッセージの保全性を保証できるセキュリティ コンテキストの確立を要求します。保全性機能を持つコンテキストでは、メッセージの改ざんが発生したタイミングをピアが判断できるように、認証メカニズムに適したメッセージ保全性コードを生成できます。

このオプションの指定は単なる要求であることに注意してください。コンテキストがメッセージ保全性を保証できるという保証はありません。

-C 機密性に対応できるセキュリティ コンテキストの確立を要求します。機密性に対応できるコンテキストは、ネットワーク トラフィックの暗号化または復号化に対応できます。

このオプションの指定は単なる要求であることに注意してください。コンテキストが機密性に対応できるという保証はありません。

-? 使用法のメッセージが表示されることを要求します。
-u username 認証するユーザー名を指定します。このオプションは、シングル サインオンをサポートしないメカニズムに必要です。
-w password 信頼証明が必要な場合にユーザーのパスワードを指定します。-wを省略すると、ツールではパスワードの入力を求めるプロンプトが表示され、ユーザーの端末から安全に読み取られます。Teradataでは、コマンド ラインはpsなどのツールを使用すると他のユーザーも見ることができるので、コマンド ラインにパスワードを決して入力しないことを推奨しています。
-a additional-logdata authcidとpassword以外の追加の許可を指定します。例えば、プロファイル情報tdgssauth -u user -w password -a profile=myprofile -m ldapを指定することができます。
-i ipaddr セキュリティ ポリシー テストで使用するクライアントのIPv4またはIPv6アドレス。このオプションが含まれていない場合、セキュリティ ポリシー チェックは実行されません。

-iが含まれていても-uが指定されておらず、メカニズムが非認証(TD2など)の場合、セキュリティ ポリシーのチェックは実行されません。

メッセージ交換オプション
-T text

指定されたtextのラップおよびラップ解除を要求します。ラップとは、メッセージに保全性コードが追加され、必要に応じてメッセージが暗号化されるプロセスです。アンラップとは、ラップされたメッセージが復号化され(暗号化されている場合)、メッセージの保全性が検証されるプロセスです。

メッセージごとに4つのことが起こります。最初に、クライアントのコンテキストを使用してメッセージをラップし、ラップされた結果のトークンを16進数形式でダンプします。2番目に、サーバーのコンテキストを使用して、クライアントのコンテキストによってラップされたメッセージをアンラップし、アンラップ操作の結果をダンプします。3番目に、サーバーのコンテキストを使用して、アンラップされたメッセージをラップし、ラップの結果をダンプします。最後に、クライアントのコンテキストを使用して、サーバーのコンテキストによってラップされたメッセージをアンラップし、アンラップの結果をダンプします。

このツールは、コマンド ラインでゼロ以上の-Tオプションを受け入れます。上述のプロセスは各-Tオプションに続いて実行されます。

-e

暗号化を要求します。具体的には、このオプションは、-Tオプションで指定されたテキストに機密性とメッセージ保全性コードを適用することを要求します。通常、TDGSSはメッセージ保全性コードを追加します。

ポリシー実施が機密性を要求する場合、このオプションには効果はありません。ポリシー実施が保全性のみを要求する場合、またはまったく何も要求しない場合、このオプションは、-Tオプションで指定されたテキストを暗号化することによって機密性を追加します。

-q qop

ラップを特定のQoP(保護品質)で実行することを要求します。適正な値は、0~3の範囲内の数値、またはdefault、low、medium、およびhighのニーモニック名です。

ポリシー実施によりユーザーが-qおよび-eで要求したよりも高い保護が要求される場合、ポリシー実施による選択はユーザーの選択を上書きします。ユーザーの選択がポリシー実施により要求される最小値より大きい場合、ユーザーの選択が使用されます。

トレース オプション
-V level

コンテキストの確立中にトークン ダンプを有効にし、オプションでlevelの値に応じて低レベルのLDAPトレースを追加します。level引数は、次のビット値のOR実行に起因する整数値です。

  • 0x0001 - 実行トレース
  • 0x0002 - LDAPパケット
  • 0x0004 - 渡された引数
  • 0x0008 - 接続情報

    0x0010 - BERエンコーディング

出力にはユーザーのパスワードおよびデータベース サービス パスワードが含まれます。このトレース情報を共有する前に、文字解釈とダンプされた16進数の両方を変更する必要があります。
-l TDNEGOロギング表示を有効にします。

認証を制御するTdgssauthオプションのためのルール

認証を制御するtdgssauthオプションは、-u、-w、および-aです。これらのオプションを使用するときは以下のルールに従います。
  • 認証をサポートするメカニズムの場合は、-uまたは-aの少なくともどちらかを指定する必要があります。
  • このメカニズムが認証をサポートし、-uが指定されている場合、ユーザーの名前とパスワードは正しくエスケープ処理され引用符が付されたユーザー プリンシパル名(UPN)にハード コードされます。-aが指定されている場合、スペース文字と-aオプションで指定された値がUPNに追加され、生成された文字列はmechdata(.logdata)として使用されます。
  • メカニズムが認証をサポートしていて、-uが指定されていない場合、-aを指定する必要があります。そして渡される値はユーザーの名前とパスワードを含む完全なmechdataでなければなりません(レガシー モード)。
  • このメカニズムが認証をサポートしていない場合、セキュリティ ポリシー チェックを行なう場合のみ-uを指定する必要があります。
  • メカニズムが認証をサポートしていても、シングル サインオンをサポートしていない場合は、パスワードが必要です。パスワードは、– wオプションを使用して入力します(非推奨)。またはtdgssauthによりパスワードの入力を安全に求めることができます。