LdapServicePasswordFile - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド
Product
Advanced SQL Engine
Teradata Database
Release Number
17.05
17.00
Published
2020年9月
Language
日本語
Last Update
2021-03-30
dita:mapPath
ja-JP/ied1556235912841.ditamap
dita:ditavalPath
ja-JP/ied1556235912841.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

LdapServicePasswordFileの値は、暗号化されたパスワードのリストを格納するファイルの名前を指定します。パスワード ファイルを使用すると、データベースSQL Engineシステムを再起動せずにLDAPサービスのパスワードを変更できます。このファイルに複数のパスワードを保存することで、古いパスワードから新しいパスワードへの移行中でもLDAPログオンが可能になります。

LdapServicePasswordFileプロパティは、次のいずれかの場所に追加できます。
  • TDGSSユーザー構成ファイルのLdapConfigセクションにあるService要素
  • Mechanism Name="mechanism" for the LDAP and KRB5 mechanisms on the server side (SQL Engine or Unity) of TDGSSMechanismProperties要素

有効な設定値

設定 説明
"" LDAPサービス パスワード ファイルが指定されていません。この機能は無効です。
ファイル名 LDAPサービス パスワード ファイルの完全修飾パスとファイル名。

編集ガイドライン

  • 値を設定するには、必要なメカニズムについてこのプロパティを手動でTDGSS構成ファイルに追加する必要があります。構成ファイルの編集についてを参照してください。
  • 使用する場合は、このプロパティをデータベースおよびUnity上で編集します。 Unityのメカニズム プロパティ値の統合も参照してください。
  • LdapServicePasswordFileプロパティを使用する場合、LdapServicePasswordプロパティとLdapServicePasswordProtectedプロパティは無視され、パスワードはパスワード ファイルから排他的に読み取られます。

LDAPサービス パスワード ファイル

LDAPサービス パスワード ファイルを使用すると、データベース システムを再起動せずにLDAPサービス パスワードを変更できます。このファイルには、暗号化されたパスワードのリストが1行につき1件で格納されています。パスワードを変更する場合は、新しいパスワードをファイル内のリストの先頭に追加し、以前のパスワードが2行目以降に表示されるようにします。

すべてのノードでパスワード ファイルを更新した後は、ディレクトリ サーバーで実際のサービス パスワードを変更できます。

LDAPのログオンに失敗すると、Vantageはパスワード ファイル内にあるパスワードを順番に読み取って試します。ファイル内に古いパスワードを残し、すべてのパスワードを試していくこの方法では、すべてのシステム ノードでLDAPパスワード ファイルを更新するときに若干の遅延が生じます。

パスワードの暗号化

LDAPサービス パスワード ファイルにリストされているパスワードは、tdspasswdコマンドライン ユーティリティを使用して暗号化する必要があります。
  1. Vantageシステム コンソールのコマンド プロンプトで、次のように入力します。
    $ tdspasswd -m  mechanism

    ここで、mechanismは認証メカニズムであるldapまたはkrb5です。

  2. システムは新しいパスワードの入力を求めます。
    Enter New password:
Confirm New password:
    パスワードは入力時には表示されません。
  3. システムは新しいパスワードを確認した後、パスワードの暗号化バージョンを生成し、表示します。例: 
    $ tdspasswd -m ldap
Enter New password:
Confirm New password:
AV8Jeq2cvjmAjiHgcSrAUoE=
$
  4. 暗号化された新しいパスワードをLDAPサービス パスワード ファイルの最初の行にコピーします。

LDAPサービス パスワード ファイルの使用上の注意

  • サイトで何度かログオンに失敗した後にアカウントがロックされると、LDAPサービス アカウントが使用できなくなります。これは、ディレクトリが、更新されたパスワード ファイルを受け取って処理する前に、古いパスワードを試みるノードからのログオンが連続して失敗したと認識するためです。サービス アカウント(LdapServiceFQDN)で許可されるログオン試行の回数を増やせない場合は、パスワード変更処理中に手動でのアカウントのロック解除が1件以上必要になることがあります。

    可能であれば、パスワードをリセットする前に、サービス アカウントのアカウント ロックアウト要件をすべて無効にします。次に、パスワードをリセットし、すべてのノードにLDAPログオンを命令します。これにより、新しいパスワードが取得され、すべてのノードで使用されます。その後、サービス アカウントでロックアウト要件を再設定します。

  • pcl(PDEツール)などのツールを使用して、LDAPサービス パスワード ファイルに加えた変更をすべてのノードに反映します。