16.20 - 例: tdgssauth LDAPを使用してマッピングされていないユーザーの認証と許可の検証 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval

この例は、与えられたIPアドレスからLDAPを使用してマッピングされていないユーザーの認証および許可プロパティを検証する方法を示します。 次を実行します。

tdgssauth -u drct01 -m ldap -i 198.51.100.20

ユーザー名(-u)は、bteq .logonコマンドで指定されるユーザー名と同じです。-mオプションは、使用するログオン メカニズム(この場合LDAP)を指定します。-iオプションはユーザーの接続元IPアドレスを指定します。

結果:

 1> Please enter a password: 
 2>                        Status: authenticated, authorized
 3>                 Database user: drct01 [unmapped user, autoprovisioning candidate]
 4>                       Profile: profxu1
 5>                External roles: extrole01xu1, extrole02xu1, extrole03xu1 
 6>            Authenticated user: ldap://dsa1.example.com:389/uid=drct01,ou=principals,dc=example,dc=com
 7>        Audit trail identifier: drct01
 8>        Authenticating service: dbssvc
 9>     Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20]
10>       Mechanism specific data: drct01
11>
12> Security context capabilities: replay detection
13>                                out of sequence detection
14>                                confidentiality
15>                                integrity
16>                                protection ready
17>                                exportable security context
18>
19> Minimum quality of protection: none
20>                       Options: none

次に、コマンドからの出力について説明します。

行番号 説明
1> Enter a password プロンプトが表示されたら、指定メカニズムのユーザー パスワードを入力します。この例では、指定メカニズムがldapであるためユーザーのLDAPパスワードを入力します。KRB5が指定メカニズムである場合は、ユーザーのKRB5パスワードを入力します。
パスワードを要求されないようにするには、-wを使用してコマンドラインでユーザーのパスワードを指定してください。
コマンド ラインでユーザーのパスワードを指定することは推奨しません。
2> Status: authenticated, authorized ユーザーの認証および承認に成功。
3> Database user: drct01 [unmapped user, autoprovisioning candidate] このユーザーはTeradata Databaseユーザーにマッピングされておらず(非マッピング ユーザー)、オートプロビジョニングの候補者。
4> Profile: profxu1 ユーザーにはセッションに関連付けられたprofxu1プロファイルがあります。
5> External roles: extrole01xu1, extrole02xu1, extrole03xu1 ユーザーは3つの外部ロール、extrol01xu1extrole02xu1、およびextrole03xu1を占有することができます。DBAはデータベース内にこれらのロールを作成し権限を付与する必要があります。
6 > Authenticated user: ldap://dsa1.example.com:389/uid=drct01,ou=principals,dc=example,dc=com ディレクトリ サーバーおよびユーザーを認証したサーバーにおけるユーザーのID。
7> Audit trail identifier: drct01 このユーザーとしてログオンされたセッションによって発生したイベント ログで使用されたユーザーの監査証跡識別子。
8> Authenticating service: dbssvc ユーザーの認証に使用するサービスの名称。サービスは、TdgssUserConfigFile.xmlファイルの<LdapConfig>セクションで構成されます。
9> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20] ユーザー認証に使用される実際の認証メカニズムの名前とオブジェクト識別子(OID)。TDNEGOメカニズムはユーザー認証のために選択した実際のメカニズムを報告します。その他の明示的に名前を付けられたメカニズムはここで自分自身を報告します。
10> Mechanism specific data: drct01 メカニズム固有のデータ。このデータはログイン プロセス中にシステムの他の部分によって使用され、TDGSSは使用しません。すべてではありませんがほとんどの場合、-uコマンドライン オプションでユーザー名を返します。
12 - 17> Security context capabilities: replay detection, out of sequence detection ... exportable security context これらの行は特定のセキュリティ コンテキストの内容を示しています。セキュリティ コンテキストは指定されたメカニズムを使用して名前付きユーザーに対して確立されます。
19> Minimum quality of protection: None ユーザーがセッション継続中に使用する必要がある最小QoP。この例では、このユーザーはセッション継続中QoPをまったく含まないQoPを使用することができます。
20> Options: none このユーザーに有効な接続オプション。この場合、単語noneはこれが通常の接続であることを示しています。この値にはhas-policyまたはno-direct-connectが含まれます。has-policyはユーザーがデータベースへ接続に平文のみを使用しなければならず、非常に特殊な目的のために使用されることを示しています。no-direct-connectはユーザーはデータベースに直接接続することはできず、Unityを経由する必要があることを示しています。