16.20 - 追加ドメイン名の使用 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval

外部認証されたユーザーの全ドメインですべてのログオン名が固有になるようにするには、ユーザー名にドメイン名を追加しなければならない場合があります。 例えば、ドメイン名がないと、domain1内のjoeとdomain2内のjoeを区別できません。

次のようなドメイン情報を提供するメカニズムの外部認証用のドメイン名を追加するように、以下を含めてデータベースを構成できます。
  • KRB5
  • SPNEGO
同じ名前を持つ複数のユーザーが異なるドメインに属している場合でも、複数のユーザーが同じ名前を共有することにはリスクがあるため、Teradataでは、Teradata Database 14.10以降でAppend Domain Name機能を使用しないよう強く推奨しています。すべてのユーザーが固有な名前を持っている場合、この機能は必要ありません。同じ名前を持つ複数のユーザーが異なるドメインに属している場合は、この機能を使用するより、それらのユーザーに固有な名前を再割り当てする方が良い対処法です。 この機能をすでに使用している場合は、差し支えなければすぐに使用をやめてください。 同じ名前を持ち、異なるドメインに属する複数のユーザーがいる場合は、ドメイン名がなくてもそれらのユーザー間を識別できるように、各ユーザーに固有な名前を再割り当てする必要があります。

Append Domain Name機能がすでに設定されているかを確認するには、以下の手順を行ないます。

  1. Gateway Control GDO -dオプションのAppend Domain Name値を問合わせて、ユーザーを識別するためにシステムで使用される名前を調べます。
    • Append Domainをnoに設定した場合、ログオンに含まれているユーザー名が使用されます。
    • Append Domainがyesに設定されている場合、システムが使用する名前はメカニズムに従って異なります。
      • メカニズムがドメイン名を提供する場合、システムはユーザー名を使用します。
      • メカニズムがドメイン名を提供しない場合、システムはusername@domainを使用します。
  2. 現在の値を変更する場合は、次のようにgtwcontrolコマンドに対して-Fオプションで値を切り替えます。
    gtwcontrol -F

    gtwcontrolユーティリティの詳細については、<Teradata Vantage™ - データベース ユーティリティ、B035-1102>を参照してください。

  3. 対応するユーザー名がデータベースでusername@domainと定義されている場合にのみデータベースは追加ドメイン名を受け入れます。例えば、ドメイン“domain1”に属するユーザー“joe”の場合は、それと同様にユーザーを以下のように定義する必要があります。
    CREATE USER "joe@domain1" AS PERM=10000000, PASSWORD=pw1234;
    GRANT LOGON ON ALL TO "joe@domain" WITH NULL PASSWORD;
追加ドメイン名が必要なユーザーに対してのみ、この特別な形式を使用してください。