17.11 - Data MoverサーバーでDSCのTLS 1.2データ パス暗号化を有効にする - Teradata Data Mover

Teradata® Data Mover インストール、構成、およびアップグレード ガイドユーザー用

Product
Teradata Data Mover
Release Number
17.11
Release Date
2021年10月
Content Type
インストール
構成
管理
Publication ID
B035-4102-091K-JPN
Language
日本語 (日本)
これはオプションの構成です。

DM自己署名証明書を使用するDM DSAジョブのDSAデータ パスでTLS 1.2暗号化を有効にするには、dmdsa_TLSconfigディレクトリのパッケージ ディレクトリで使用可能なdsa_tlscert.pyスクリプトを実行します。

  • ソースシステムとターゲットシステムの両方がTLSv1.2暗号化をサポートしている必要があります。確認するには、システムで次のコマンドを実行します。"openssl ciphers -v | grep TLS"
  • スクリプトは、ファイルをコピーしてコマンドを実行するために、DM/DSCデーモン サーバからソース/ターゲット システムのポート22に接続する必要があります。ポートが有効なことを確認してください。
  • セキュリティ上の理由によりポート22が開かない場合は、DSA TLS 1.2暗号化を有効にする手動設定に関してカスタマー サポートに支援を依頼してください。
HELP: dsa_tlscert.py  --source <source_TDPID> --source_username <source_system_username>  --source_password <source_system_password>[/ --source_identity_file <identity_file>] --target <target_TDPID> --target_username <target_system_username>  --target_password <target_system_password>[/ --target_identity_file <identity_file>] ] ]
--help                   | --help                                                Displays Help
--source                 | --TDPIP/name of source system                         Source system name
--source_username        | --source sytem user that has sudo permission          Ex: root, ec-user, azureuser, gcpuser
--source_password        | --Source sudo user password  or
--source_identity_file   | --identity file that includes the private key **
--target                 | --TDPIP/name of Target system                         Target system name
--target_usrname         | --Target sytem user that has sudo permission          Ex: root, ec-user, azureuser, gcpuser
--target_password        | --Target sudo user password  or
--target_identity_file   | --identity file that includes the private key **
Example command: python3 dsa_tlscert.py --source sdt35178 --source_username root --source_password datamover --target sdt35179 --target_username root --target_password datamover
このスクリプトは、DM DSAジョブの自己署名証明書を使用して、ソースsssとターゲットttt間のTLS 1.2暗号化を有効にします。
このスクリプトは、共有クライアントハンドラー上の既存のBAR DSA TLS 1.2証明書をサポートしません。
  1. ソースsssとターゲットtttの新しい自己署名証明書のペアを生成します。
    • これにより、DSMAINおよびクライアントハンドラー用のTLS 1.2証明書が生成されます。
    • TLSプロパティの追加によって、clienthandler.propertiesclienthandler.properties.dm_dsaTLSにコピーします。
    • TLSプロパティの追加によって、enableTLS_dsc.shスクリプトを実行し、dsc.propertiesdsc.properties.tlsにコピーされます。
    このオプションは、sssとtttの証明書がすでに存在する場合はそれを上書きします。

    システムのいずれかが別の第3のシステムで既にTLS 1.2暗号化されている場合は、オプション2または3を選択します。

  2. ソースsss用の新しい自己署名証明書を生成し、ターゲットtttからDM生成による既存の自己署名証明書を使用します。
  3. ソースsssからDM生成による既存の自己署名証明書を使用して、ターゲットttt用の新しい自己署名証明書を生成します。
TLS1.2暗号化を終了するには、DSMAINおよびクライアントハンドラーを再起動できる場合には、以下の手動手順を実行します。
  • クライアントハンドラーがインストールされた状態で新たに暗号化されたDSAシステムでは、clienthandler.properties.dm_dsaTLSclienthandler.propertiesにコピーし、すべてのノードでクライアントハンドラーを再起動します。
  • 以前にDSCでTLSが有効化されていない場合は、dsc.properties.tlsdsc.propertiesにコピーしし、DSCを再起動します。
  • dsa_configsysまたはdsc commandlineを使用して、新たに暗号化されたDSAシステムを再構成します。
TLS 1.2暗号化を無効にするには以下を実行します。
  1. dsc.propertiesを編集してtls.datapath.enabled=falseを設定します。
  2. DSCを再起動します。
  3. dsa_configsysまたはdscコマンドラインを使用して、ソース システムを再構成しdsmainを再起動します。
  4. dsa_configsysまたはdscコマンドラインを使用して、ターゲット システムを再構成しdsmainを再起動します。