16.20 - Sign-on Asの例の説明 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
構文要素 説明
mech_name 認証メカニズムを指定します。
Teradata Database認証の場合
  • KRB5
  • SPNEGO
  • LDAP
ディレクトリ認証の場合:
  • KRB5
  • SPNEGO
user_credentials ログオン用のユーザー名とパスワードを指定します。そして次のルールに従う必要があります:
  • Teradata Database認証の場合、ユーザー名は一致するデータベース ユーザーが存在するネットワーク ユーザー名またはディレクトリ ユーザー名です。
  • ディレクトリ認証の場合、ユーザー名は一致するディレクトリ ユーザーが存在するネットワーク ユーザー名です。
  • パスワードは常にネットワーク パスワードです。

有効なユーザー信頼証明の形式

KRB5とSPNEGOの.logdata文では:

diruser@@dirpassword

Kerberos認証(SPNEGOメカニズム)を使用した場合のSign-On Asは、Windowsクライアントからのみ使用可能です。
LDAPの場合は.logdata文:
  • authcid= diruser password= dirpassword
  • diruser@@dirpassword
  • diruser password= dirpassword

KRB5とSPNEGOの.logon文では:

domain_username,domain_password

LDAPの.logon文では

dir_username,dirpassword

UPNの正しい解釈の保証

ログオン diruser、dirpasswordについては、ユーザー 指定を“a@b”か“a/b”または“a\b”にすることができます。ユーザー指定を解釈するためにLdapCredentialIsUPNを設定します。LdapCredentialIsUPNを参照してください。
  • LdapCredentialIsUPNプロパティがないか、yesに設定されている場合(デフォルト)、システムはユーザー指定をUPNとして扱う。これは、IETF1964のルールに準拠している必要がある。
    LdapCredentialIsUPNがyesに設定されている場合、ログオンにUPNが“a\@b”または“a\/b”または“a\\b”として表示される必要があります。ここで、バックスラッシュが付いた文字は、システムに、後に続く文字の扱い方を示しています。
  • CredentialIsUPNプロパティがnoに設定されている場合、システムは特殊文字を無視し、ユーザーの仕様がAutheidであると考えます。
authorization_qualifier ユーザーがディレクトリによって許可され(AuthorizationSupported=yes)、次の1つ以上が該当する場合に必須:
  • ディレクトリ ユーザーは、複数のユーザーオブジェクトまたはプロファイル オブジェクトにマッピングされる。
  • LDAPがSASL/DIGEST-MD5バインドを使用するように設定されていて(デフォルト)、ディレクトリが複数のレルムを提供し、LdapServerRealmプロパティの値が“”に設定されている(デフォルト)。
.logdata文内の個々の指定は空白で区切る必要があります。

複数のデータベース ユーザーにマップされた ディレクトリ ユーザーには、以下の特徴があります。

ディレクトリ ユーザーが複数のデータベース ユーザーにマップされている場合、セッションに必要なデータベースの権限を持っているユーザーをフォームで指定します。

user= database_username

データベース ユーザー名は個別のデータベース ユーザーあるいはEXTUSERにすることができます。
複数のプロファイルにマッピングされているディレクトリ ユーザー
  • ディレクトリ ユーザーが複数のプロファイルにマッピングされている場合は、セッション プロファイルを識別するために.logdata文にprofile=profile_nameを指定する。
  • ディレクトリ ユーザーが1つ以上のデータベース ユーザーと1つのプロファイルにマップされている場合、セッションはマップされたデータベース ユーザーに属するプロファイルではなく個別にマップされたプロファイルに従う。
ディレクトリは複数のレルムに対応しています(LDAP認証のみ)。

ディレクトリに表示されるレルム(通常はディレクトリの完全修飾DNS名)を、例えば次のように指定します。

realm=directory_FQDNSName

システムはレルム情報を次のように処理します。
  • ログオンでレルムが指定されず、LdapServerRealmプロパティの値によって有効なレルムが取得されない場合、ログオンは失敗します。
  • ディレクトリが.logdata文に含まれているレルムを提供しない場合、ログオンは失敗します。
  • .logdata文が必要なレルムを指定した場合、有効なレルム仕様であればログオンは成功します。
tdpid/ 必須。 tdpidは、Teradata Databaseシステム、Unityサーバー、またはログオンに成功した場合はホスト グループを識別します。
, , ログインがアカウントを指定し、ディレクトリ ユーザー名およびディレクトリ パスワードが.logdataに表示されている場合は、, ,は、これらの例外をアカウント指定より優先する必要がある:
  • .logonステートメントにユーザーの資格情報が表示される場合、カンマは1つだけ必要です。
  • .logonでアカウントが指定されていない場合は、カンマは必要ありません。
"account" オプション。 アカウント文字列の指定は、二重引用符で囲む必要がある。

アカウントについての詳細は、<Teradata Vantage™ - データベース管理、B035-1093>を参照してください。