Unityのメカニズム プロパティ値の統合 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.05
17.00
Published
2020年9月
Language
日本語
Last Update
2021-03-30
dita:mapPath
ja-JP/ied1556235912841.ditamap
dita:ditavalPath
ja-JP/ied1556235912841.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

Unity環境では、特定のメカニズム プロパティの値はUnityサーバー上のUnity構成および接続されたTeradata Vantageシステム上のTdgssUserConfigFile.xmlとの間に必要なリレーションシップを維持する必要があります。許容されるプロパティ構成は、Unityと接続されたデータベース システムへの直接のログオンを両方許可するかどうか、およびすべてのログオンで同じ動作を行なうかどうかによって異なります。

プロパティ値を構成する前に、プロパティの構成要件を確認してください。

すべてのメカニズムに適用されるMechanismEnabledおよびDefaultMechanismを除き、メカニズム プロパティを構成する必要があるのは使用されていればKRB5およびLDAP外部認証メカニズムだけです。

Unityの構成については、<Teradata® Unity™ インストール、構成、アップグレード ガイド、ユーザー用、B035-2523>を参照してください。

以下のテーブルはプロパティ構成ルールを定義していますが、特定の値を決定する方法については説明していません。テーブル内でのプロパティの表示順は、プロパティを含むメカニズムでプロパティが出現する順番とほぼ同じです。テーブルに示されていないプロパティは構成できません。

プロパティ Unityおよび接続されたデータベースでの構成
  • AuthorizationSupported
  • MechanismEnabled
これらのプロパティの値はメカニズムによって異なる場合がありますが、特定のメカニズムではUnityサーバーと接続されているすべてのデータベースで値が同じである必要があります。
Unityを介して接続するクライアントがSPNEGOメカニズムを使用する場合は、TdgssLibraryConfigFile.xmlにあるSPNEGOをTdgssUnityConfig.xmlにコピーし、UnityサーバーでMechanismEnabledプロパティをyesに設定する必要があります。<Teradata® Unity™ インストール、構成、アップグレード ガイド、ユーザー用、B035-2523>を参照してください。
DefaultMechanism データベースに直接接続しているクライアントとUnityを介して接続しているクライアントで同じ認証ビヘイビアが要求される場合、Unityサーバーと接続されたデータベース システムのデフォルト メカニズムは一致する必要があります。
DelegateCredentials このプロパティはUnityでは使用されず、TdgssLibraryConfigFile.xmlではデフォルトで'no'が設定されています。
TdgssUserConfigFile.xmlで過去にこのプロパティを'yes'に設定してTeradata Query Director (製造中止)で使用していたシステムでは、値を'no'に編集する必要があります。
MutualAuthentication Unityを介してログオンしているユーザーに、接続されているデータベース システムに直接ログオンしているユーザーと同じ認証と許可のビヘイビアが要求される場合は、Unityサーバーと接続されているすべてのデータベースで同じ値を設定する必要があります。
VerifyDHKey TD2メカニズムでのみ編集可能です。各データベース システムとUnityサーバーで異なる設定ができます。
TeradataKeyTab Kerberos認証のセットアップの一部として生成されたkeytabファイルの場所を指定します。

格納場所はデータベース システムやUnityサーバーにより変わることがあります。

UseLdapConfig UseLdapConfigプロパティはTeradata GSSに特定のLDAPプロパティ値のために別の<LdapConfig>セクションをルックインするよう指示します。LdapConfigセクションには複数のディレクトリ サービスが定義されており、各サービス用に関連するメカニズム プロパティのセットが構成されています。
Unityを介してログオンしているユーザーに、接続されているデータベース システムに直接ログオンしているユーザーと同じ認証と許可のビヘイビアが要求される場合は、Unityサーバーと接続されているすべてのデータベースで同じ値を設定する必要があります。
<LdapConfig>section Unityサーバーと接続されたデータベース システムの構成ファイルのうち、<LdapConfig>セクション内の各サービスは以下の同一の構成を持つ必要があります。
  • サービスID
  • LdapServerNameの名前の値
  • TLSプロパティと正規化
LdapServerName 認証LDAPディレクトリを特定します。

すべての認証が同じディレクトリで行なわれる場合、Unityサーバーおよび接続されているデータベース システムで同じ値にすることができます。

Unityサーバーと接続されているデータベースシステムとで値が異なる場合があります。例えば、ユーザーがUnityを介して、または接続されている各データベース システムに直接ログオンできる場合は、構成ファイルごとに異なる値を設定して、tdpidローカル ディレクトリ内のユーザーをログオン認証することができます。

  • LdapSystemFQDN
  • LdapBaseFQDN
  • LdapGroupBaseFQDN
  • LdapUserBaseFQDN
LdapSystemFQDNは、LDAP許可構造の親ディレクトリ内のトップ レベル システム オブジェクトを識別します。

ディレクトリ ユーザーがUnity経由でのみログオンできる場合は、Unity上で構成されたLdapSystemFQDNのみが有効です。

ディレクトリ ユーザーがUnityを介してログオンするか、またはUnityによって管理されている1つ以上のTeradata Vantageシステムに直接ログオンできる場合。
  • LdapSystemFQDNは、Unity上だけでなく各データベース システム上でも構成しなければなりません。
  • 簡便のため、すべてのデータベース システムとUnity上のLdapSystemFQDNは通常同じシステム オブジェクト(および認証構造)で構成されています。これはIP制限を構成する場合に必要です。

Unityおよび接続されたデータベースシステムがすべて同じシステム オブジェクトを指している場合、Unityおよび接続されたデータベース システムのLdapBaseFQDN、LdapGroupBaseFQDN、およびLdapUserBaseFQDN用のプロパティ値は同じである必要があります。

  • LdapServerRealm
  • LdapClientReferrals
  • LdapClientDeref
  • LdapClientRebindAuthorization
  • LdapClientUseTls
このグループの各プロパティの値は、Unityサーバーと、同じLdapServerName値を使用するすべての接続されたデータベースで同じにする必要があります。

LdapServerName値がデータベース システム間またはシステムとUnityサーバー間で異なる場合、これらのプロパティの値も異なる可能性があります。

LdapClientDebug Unityサーバー上では、接続されているデータベース システム上とは異なる設定ができます。
  • LdapClientTlsRandFile
  • LdapClientRandomDevice
特定のLDAPプロセスで使用する乱数を生成できるシステム ファイルまたはデバイスを特定します。

各プロパティの値は、Unityサーバー上と接続されたVantageシステム上とで異なる値にすることができます。

LdapClientMechanism データベースに直接接続しているクライアントにUnityを介して接続しているクライアントと同じ認証ビヘイビアが要求される場合、このプロパティの値はUnityサーバーと接続されたデータベースシステムの間で一致する必要があります。
  • LdapClientTlsCaCert
  • LdapClientTlsCaCertDir
証明書の場所はUnityサーバーと接続されたデータベース システムによって異なる場合があります。

LdapServerNameの値が同じ場所ではファイルの内容も同じにする必要があります。

  • LdapClientTlsCert
  • LdapClientTlsKey
各プロパティの値は、Unityサーバーおよび接続されたデータベース システムにより異なっていてかまいません。
  • LdapClientTlsReqCert
  • LdapClientTlsCipherSuite
  • LdapClientTlsCRLCheck
データベースに直接接続しているクライアントにUnityを介して接続しているクライアントと同じ認証ビヘイビアが要求される場合、各プロパティの値はUnityサーバーと接続されたデータベースシステムの間で一致する必要があります。
  • LdapServiceFQDN
  • LdapServicePassword
  • LdapServicePasswordFile
  • LdapServicePasswordProtected
値は、Unityサーバーおよび接続されたデータベース シテムにより異なっていてかまいません。
  • LdapServiceBindRequired
  • LdapClientSASLSecProps
データベースに直接接続しているクライアントにUnityを介して接続しているクライアントと同じ認証ビヘイビアが要求される場合、各プロパティの値はUnityサーバーと接続されたデータベースシステムの間で一致する必要があります。
LdapAllowUnsafeServerConnect プロパティ値は、同じLdapServerName値を使用するUnityサーバーや接続されたデータベース システムでは同じにする必要があります。
  • DHKeyP
  • DHKeyG
  • DHkeyP2048
  • DHKeyG2048
Unityサーバーおよび接続されたデータベース システムで各プロパティの値が同じである必要はありません。

Teradataは、これらの値を編集しないことをおすすめします。

MechQOP要素(legacy、default、low、mediumまたはhigh) データベースに直接接続しているクライアントにUnityを介して接続しているクライアントと同じ認証ビヘイビアが要求される場合、各要素の構成はUnityサーバーと接続されたデータベースシステムの間で一致する必要があります。
<LdapConfig>
IdentityMap構成要素とIdentitySearch構成要素
RequiredLibrary要素(KRB5のみ) ファイル名はUnityサーバーと接続されたデータベース システム間で一致する必要はありませんが、ファイルに含まれるKerberosパッケージは同じバージョンでなければなりません。
PROXYメカニズム プロパティ <Teradata® Unity™ インストール、構成、アップグレード ガイド、ユーザー用、B035-2523>および<Teradata® Unity™ユーザー ガイド、B035-2520>を参照してください。
  • ProxySupported
Unityサーバーおよび接続されたすべてのデータベース システムで、"yes"に設定します。
  • CertificateFile
  • PrivateKeyFile
ファイル名は、Unityサーバーおよび接続されたデータベース システム間で一致する必要はありません。
  • PrivateKeyPassword
  • PrivateKeyPasswordProtected
  • SigningHashAlgorithm
データベース システムでのみ構成。
  • CACertFile
  • CACertDir
ファイル名とディレクトリ名はUnityサーバーと接続されたデータベース システム間で一致する必要はありませんが、これらのプロパティ値が取得されるファイル構造では、類似する名前が使用されています。