データベース ノードのTDGSSサイト ディレクトリ、またはUnityサーバー上のファイルのUnityのコピーにあるTdgssUserConfigFile.xmlファイルを次のように変更します(Unityの構成については、<Teradata® Unity™のインストール、構成、アップグレード ガイド、ユーザー用、B035-2523>を参照)。
TDGSS構成の変更を参照してください。
- LdapClientTlsCACertDirプロパティを追加し、そのプロパティ値にsite/ssl/cacertsディレクトリへの完全パスを指定します。 このプロパティは、2つのPEMファイルと2つのシンボリック リンクが配置されているディレクトリの絶対パスを指します。すべてのCA証明書が単一ファイルに含まれている場合、ファイル名を指定する代わりにLdapClientTlsCACertプロパティを使用できます。
- LdapClientTlsReqCertプロパティを追加し、プロパティ値を“demand”に設定します。この値に設定することで、ディレクトリ ユーザーがデータベースにログオンするたびに、Teradata DatabaseまたはUnityサーバーがディレクトリ サーバーに証明書を要求するようになります。ディレクトリが証明書を提供しないか、無効な証明書を提供した場合は、TDGSSは接続を終了します。
構成情報については、LDAP保護プロパティを参照してください。
次の例は、証明書プロパティが構成された、LDAPメカニズムのTdgssUserConfigFile.xmlを示しています。この例は、KRB5またはSPNEGOにも当てはまります(AuthorizationSupportedが"yes"に設定されている場合)。
<Mechanism Name="ldap"> <MechanismProperties ... LdapServerName="ldap://someserver/" LdapClientUseTls="yes" LdapClientTlsCACertDir="/opt/teradata/tdat/tdgss/site/ssl/cacerts/" LdapClientTlsReqCert="demand" /> </Mechanism>
複数のディレクトリサービス用に認証を設定する場合の構成要件については、TdgssUserConfigFile.xmlにおける<LdapConfig>セクションの作成を参照します。