この例では、ユーザーはNTスタイル ログオンtd/ab111222を使用してVantageにログオンします。
</Mechanism>
<Mechanism Name="ldap">
<MechanismProperties
...
/>
<IdentitySearch
Match="[Tt][Dd]\\(.+)"
Base="ou=user accounts,dc=td,dc=teradata,dc=com"
Scope="subtree"
Filter="(&(objectClass=user)(sAMAccountName=${1}))"/>
BindName="${result}"
DatabaseName="${1}"/>
</Mechanism>
IdentitySearch要素にはディレクトリ検索のパラメータを定義する属性が含まれており、それによってTDGSSが各ディレクトリ ユーザー ログオンの検索を実行します。
| 属性名 | 属性値 | 説明 |
|---|---|---|
| Match (必須) |
"[Tt][Dd]\\(.+)" | ユーザー名(authcid)に一致するPosix正規表現。 |
| Base (必須) |
"ou=user accounts,dc=td,dc=teradata,dc=com" | Match属性の値の部分文字列が置換されるパターン。この置換により、検索ベースとして使用されるDNが構築されます。 |
| Scope (必須) |
"subtree" | 以下のオプションの中から検索スコープを定義する文字列。
|
| Filter (必須) |
"(&(objectClass=user)(sAMAccountName=${1}))」 | Match属性値の識別情報検索用の部分文字列が置換されるパターン。また、IETF RFC 2254で定義されているようにこのパターンは検索フィルタとして使用されます。 |
| BindName [オプション] |
"${result}" | システムがディレクトリにバインドするユーザー名を書き換える方法を定義します。 デフォルトでは、BindName="${result}"は、古い構成との下位互換性を維持します。 ディレクトリ要件に基づいてデフォルトに変更することができます。例えば、”dn:”の後にユーザーのDNが続くDIGEST-MD5ユーザー名(多くのサービスで共通)が必要なディレクトリ サービスとバインドしてDIGEST-MD5を使用する場合、BindName="dn:${result}"を指定すれば、識別情報検索結果の先頭にdnを付け加えることができます。
LDAPで使用されるDIGEST-MD5認証プロトコルは廃止されました。Teradataでは、TLS保護を備えたシンプル バインドを使用し、DIGEST-MD5の使用を中止することを強く推奨します。
|
| DatabaseName [オプション] |
"${1}" | データベースが特定の形式のユーザーを識別できるように、システムがユーザー名を書き換える方法を定義します。 値${1}は、ログオンのuidの部分のみを使用してデータベース内のユーザーを識別し、ユーザー名の${2}、${3}、${4}部分を削除します。 |
検索結果:
WindowsドメインTD、ディレクトリ内のユーザーab111222およびxy333444の存在、および前述の例で指定された検索ベースとスコープに基づいて、識別情報検索は以下の検索条件と結果を生成します。
| ユーザー名 | フィルタ | $(結果) |
|---|---|---|
| td\ab111222 | (&(objectClass=user) (sAMAccountName=ab111222)) | CN=ab111222,OU=NorthAmerica,OU=User Accounts,DC=TD, DC=CORP,DC=COM |
| td\xy333444 | (&(objectClass=user) (sAMAccountName=xy333444)) | CN=xy333444,OU=NorthAmerica,OU=User Accounts,DC=TD, DC=CORP,DC=COM |
| td\user1234 | (&(objectClass=user) (sAMAccountName=user1234)) | 検索結果は返されません。これはユーザーがディレクトリ内に存在しないことを示します。 |