LdapClientSASLSecProps - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.05
17.00
Published
2020年9月
Language
日本語
Last Update
2021-03-30
dita:mapPath
ja-JP/ied1556235912841.ditamap
dita:ditavalPath
ja-JP/ied1556235912841.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

LdapClientSaslSecPropsプロパティでは、トークン交換のセキュリティ レベルを指定します。

ディレクトリ ユーザーがTeradata Vantageシステムにログオンし、ディレクトリ サーバーとVantage間のSASLトークン交換にDIGEST-MD5バインドが使用される場合、攻撃者は、その交換を攻撃しトークンを平文で送信するようにリダイレクトする可能性があります。DIGEST-MD5トークン交換をさらに保護するためにLdapClientSaslSecPropsプロパティを設定することができます。
LDAPで使用されるDIGEST-MD5認証プロトコルは廃止されました。Teradataでは、TLS保護を備えたシンプル バインドを使用し、DIGEST-MD5の使用を中止することを強く推奨します。

デフォルト プロパティ値

LdapClientSaslSecPropsプロパティのデフォルト値はminssf=0であり、それは、セキュリティ レベルがすべてのサポートされるディレクトリ型および構成と互換性はあるが、追加の保護は提供しないことを意味します。

編集ガイドライン

  • 値を設定するには、LDAPメカニズムについてこのプロパティを手動でTDGSS構成ファイルに追加する必要があります。構成ファイルの編集についてを参照してください。
  • 使用する場合は、このプロパティをデータベースおよびUnity上で編集します。 Unityのメカニズム プロパティ値の統合も参照してください。
  • プロパティ値をminssf=0に設定した場合、その設定は、高度なセキュリティ レベルを使用できないディレクトリ型および構成との可能性のある矛盾を回避します。
  • ディレクトリ サーバーにauthintまたは、auth-conf QOPを提供させるために、プロパティ値をminssf=1に設定することができます。
    • Auth-intは、データベースとディレクトリ間のメッセージにメッセージ ダイジェスト(署名)を追加します。
    • Auth confは、データベースとディレクトリ間のメッセージに暗号化とメッセージ ダイジェスト(署名とシール)を追加します。

    保全性チェックは、QOPレベルをリセットしパスワードを平文で送信させる中間者攻撃を防ぎます。ほとんどの実装では、minssf=1の設定で十分です。

  • トークン交換を暗号化するために、プロパティ値を設定することができます。設定:
    • minssf=56はDESまたは他の低レベルの暗号を使用
    • minssf=112はトリプルDESおよび他の強力な暗号を使用
    • minssf=128はRC4などの最強の暗号を使用
    minssfを1より上に指定する場合、ディレクトリは対応する暗号化レベルをサポートしなければなりません。また、設定はmaxssfプロパティのディレクトリ設定を超えることはできません。