Teradataターゲット コネクタのセキュリティ ガイドライン - Teradata QueryGrid

Teradataコネクタがターゲット コネクタとして機能する場合は、Trusted、TD2、LDAP、およびKerberosセキュリティ メカニズムがサポートされます。各セキュリティ メカニズムに対し、次の考慮事項が適用されます。

• イニシエータ コネクタから割り当てられていて、そこでやり取りされるユーザー名およびパスワードは、Teradataターゲット コネクタのプロパティに対して定義されているものよりも優先します。

  例えば、Teradataイニシエータが許可オブジェクトを提供する場合は、セキュリティ関連コネクタのプロパティ設定よりも優先します。これらのコネクタ プロパティの定義はオプションです。ただし、イニシエータ コネクタによって信頼証明が提供されていない場合は、ユーザー名とパスワードがそのコネクタのプロパティ設定に含まれている必要があります。

• QueryGridユーザーのデータベースの資格情報を変更する場合は、コネクタの資格情報も変更する必要があります。コネクタの資格情報を更新しないと、古い接続のキャッシュによって、接続がキャッシュで期限切れになった時点で失敗するクエリーを成功させる原因になります。
• 管理者は、QueryGridポートレットで、イニシエータ エンド ユーザーがリモート システム エンド ユーザーと異なる場合にユーザー マッピングを定義できます。これは、リモート システム上でCONNECT THROUGHを付与したユーザーです。
• ユーザー マッピングの場合、クエリーを実行依頼するローカル ユーザーは、クエリーを実行依頼するリモート ユーザーにマップされます。ユーザー マッピングは次のように適用されます。
  • Teradataイニシエータ コネクタの場合、ユーザー マッピングを使用できるのは、クエリーを実行依頼しているローカル ユーザーが認証元のユーザーと同じにならないようにDEFINER許可がユーザー マッピングに設定されている場合です。
  • ターゲット コネクタの場合、ユーザー マッピングが適用可能になるのは、TRUSTED認証メカニズムを使用して設定されていて、リモート ユーザーが認証元のユーザーと同じでない場合です。

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system

TRUSTEDセキュリティ モデルを使用するTeradataターゲット コネクタには、次のプロパティ設定が必要です。

TD2セキュリティ モデルを使用するTeradataターゲット コネクタには、次のプロパティ設定が必要です。

ユーザー名とパスワードに関与するLDAP認証を使用するようにTeradataターゲット コネクタを構成できます。つまり、Teradataターゲットを含むクエリーは許可するためにLDAPセキュリティ メカニズムを使用して送信できます。例えばPresto-Teradata間接続ではLDAPがサポートされています。次のプロパティは、LDAPをTeradataターゲット コネクタで使用するように構成する必要があります。

QueryGridを構成する前に、Teradata Kerberosのセットアップを完了する必要があります。以下のプロパティ設定は、Kerberosセキュリティ モデルを使用したTeradataターゲット コネクタに必要です。