例: tdgssauth LDAPを使用してマッピングされていないユーザーの認証と許可の検証 - Advanced SQL Engine

例: tdgssauth LDAPを使用してマッピングされていないユーザーの認証と許可の検証 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product

Advanced SQL Engine

Teradata Database

Release Number

17.05

17.00

Published

2020年9月

Language

日本語

Last Update

2021-03-30

dita:mapPath

ja-JP/ied1556235912841.ditamap

dita:ditavalPath

ja-JP/ied1556235912841.ditaval

dita:id

B035-1100

Product Category

Software

Teradata Vantage

この例は、与えられたIPアドレスからLDAPを使用してマッピングされていないユーザーの認証および許可プロパティを検証する方法を示します。次を実行します。

tdgssauth -u drct01 -m ldap -i 198.51.100.20

ユーザー名(-u)は、bteq .logonコマンドで指定されるユーザー名と同じです。-mオプションは、使用するログオンメカニズム(この場合LDAP)を指定します。-iオプションはユーザーの接続元IPアドレスを指定します。

結果:

 1> Please enter a password: 
 2>                        Status: authenticated, authorized
 3>                 Database user: drct01 [unmapped user, autoprovisioning candidate]
 4>                       Profile: profxu1
 5>                External roles: extrole01xu1, extrole02xu1, extrole03xu1 
 6>            Authenticated user: ldap://dsa1.example.com:389/uid=drct01,ou=principals,dc=example,dc=com
 7>        Audit trail identifier: drct01
 8>        Authenticating service: dbssvc
 9>     Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20]
10>       Mechanism specific data: drct01
11>
12> Security context capabilities: replay detection
13>                                out of sequence detection
14>                                confidentiality
15>                                integrity
16>                                protection ready
17>                                exportable security context
18>
19> Minimum quality of protection: none
20>                       Options: none

次に、コマンドからの出力について説明します。

行番号	説明
1> Enter a password	プロンプトが表示されたら、指定メカニズムのユーザーパスワードを入力します。この例では、指定メカニズムがldapであるためユーザーのLDAPパスワードを入力します。KRB5が指定メカニズムである場合は、ユーザーのKRB5パスワードを入力します。パスワードを要求されないようにするには、-wを使用してコマンドラインでユーザーのパスワードを指定してください。コマンドラインでユーザーのパスワードを指定することは推奨しません。
2> Status: authenticated, authorized	ユーザーの認証および承認に成功。
3> Database user: drct01 [unmapped user, autoprovisioning candidate]	このユーザーはVantageデータベースユーザーにマッピングされておらず(非マッピングユーザー)、オートプロビジョニングの候補者。
4> Profile: profxu1	ユーザーにはセッションに関連付けられたprofxu1プロファイルがあります。
5> External roles: extrole01xu1, extrole02xu1, extrole03xu1	ユーザーは3つの外部ロール、extrol01xu1、extrole02xu1、およびextrole03xu1を占有することができます。DBAはデータベース内にこれらのロールを作成し権限を付与する必要があります。
6 > Authenticated user: ldap://dsa1.example.com:389/uid=drct01,ou=principals,dc=example,dc=com	ディレクトリサーバーおよびユーザーを認証したサーバーにおけるユーザーのID。
7> Audit trail identifier: drct01	このユーザーとしてログオンされたセッションによって発生したイベントログで使用されたユーザーの監査証跡識別子。
8> Authenticating service: dbssvc	ユーザーの認証に使用するサービスの名称。サービスは、TdgssUserConfigFile.xmlファイルの<LdapConfig>セクションで構成されます。
9> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20]	ユーザー認証に使用される実際の認証メカニズムの名前とオブジェクト識別子(OID)。TDNEGOメカニズムはユーザー認証のために選択した実際のメカニズムを報告します。その他の明示的に名前を付けられたメカニズムはここで自分自身を報告します。
10> Mechanism specific data: drct01	メカニズム固有のデータ。このデータはログインプロセス中にシステムの他の部分によって使用され、TDGSSは使用しません。すべてではありませんがほとんどの場合、-uコマンドラインオプションでユーザー名を返します。
12 - 17> Security context capabilities: replay detection, out of sequence detection ... exportable security context	これらの行は特定のセキュリティコンテキストの内容を示しています。セキュリティコンテキストは指定されたメカニズムを使用して名前付きユーザーに対して確立されます。
19> Minimum quality of protection: None	ユーザーがセッション継続中に使用する必要がある最小QoP。この例では、このユーザーはセッション継続中QoPをまったく含まないQoPを使用することができます。
20> Options: none	このユーザーに有効な接続オプション。この場合、単語noneはこれが通常の接続であることを示しています。この値にはhas-policyまたはno-direct-connectが含まれます。has-policyはユーザーがデータベースへ接続に平文のみを使用しなければならず、非常に特殊な目的のために使用されることを示しています。no-direct-connectはユーザーはデータベースに直接接続することはできず、Unityを経由する必要があることを示しています。