例: tdgssauth 永久ユーザーの認証および許可プロパティの検証 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

この例は、与えられたIPアドレスからLDAPを使用して永久ユーザーの認証および許可プロパティを検証する方法を示します。 次を実行します。

tdgssauth -u userconflow -m ldap -i 198.51.100.20

ユーザー名(-u)は、bteq .logonコマンドで指定されるユーザー名と同じです。-mオプションは、使用するログオン メカニズム(この場合LDAP)を指定します。-iオプションはユーザーの接続元IPアドレスを指定します。

結果:

 1> Please enter a password: 
 2>                        Status: authenticated, not authorized
 3>                 Database user: userconflow [permanent user]
 4>            Authenticated user: ldap://dsa1.example.com:389/uid=userconflow,ou=principals,dc=example,dc=com
 5>        Audit trail identifier: userconflow
 6>        Authenticating service: dbssvc
7>     Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20]
8>       Mechanism specific data: userconflow
9>
10> Security context capabilities: replay detection
11>                                out of sequence detection
12>                                confidentiality
13>                                integrity
14>                                protection ready
15>                                exportable security context
16>
17> Minimum quality of protection: 1 (Low) with confidentiality and integrity
18>                       Options: none

次に、コマンドからの出力について説明します。

行番号 説明
1> Enter a password プロンプトが表示されたら、指定メカニズムのユーザー パスワードを入力します。この例では、指定メカニズムがldapであるためユーザーのLDAPパスワードを入力します。KRB5が指定メカニズムである場合は、ユーザーのKRB5パスワードを入力します。
パスワードを要求されないようにするには、-wを使用してコマンドラインでユーザーのパスワードを指定してください。
コマンド ラインでユーザーのパスワードを指定することは推奨しません。
2> Status: authenticated, not authorized このユーザーは正常に認証されましたが、ディレクトリ内の明示的なVantageユーザーにマッピングされていません。
3> Database user: userconflow [permanent user] データベース ユーザーの名前。このデータベース ユーザーは永久ユーザーです(DBAがデータベース内に作成したユーザー)。
4> Authenticated user: ldap://dsa1.example.com:389/uid=userconflow, ... ディレクトリ サーバーおよびユーザーを認証したサーバーにおけるユーザーのID。
5> Audit trail identifier: userconflow このユーザーとしてログオンされたセッションによって発生したイベント ログで使用されたユーザーの監査証跡識別子。
6> Authenticating service: dbssvc ユーザーの認証に使用するサービスの名称。サービスは、TdgssUserConfigFile.xmlファイルの<LdapConfig>セクションで構成されます。
7> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20] ユーザー認証に使用される実際の認証メカニズムの名前とオブジェクト識別子(OID)。TDNEGOメカニズムはユーザー認証のために選択した実際のメカニズムを報告します。その他の明示的に名前を付けられたメカニズムはここで自分自身を報告します。
8> Mechanism specific data: userconflow メカニズム固有のデータ。このデータはログイン プロセス中にシステムの他の部分によって使用され、TDGSSは使用しません。すべてではありませんがほとんどの場合、-uコマンドライン オプションでユーザー名を返します。
10 - 15> Security context capabilities:

replay detection

out of sequence detection

...

exportable security context

これらの行は特定のセキュリティ コンテキストの内容を示しています。セキュリティ コンテキストは指定されたメカニズムを使用して名前付きユーザーに対して確立されます。
17> Minimum quality of protection: 1 (Low) ... ユーザーがセッション継続中に使用する必要のある最小QoP。この例では、ディレクトリ構成からユーザーは少なくとも低強度の機密性QoPを使用する必要があります。データベースがこれを強制し、セッションが指定されたものよりも安全性の低いQoPを使用した場合、ユーザー セッションは強制終了されます。
18> Options: none このユーザーに有効な接続オプション。この例では、単語noneはこれが通常の接続であることを示しています。この値にはhas-policyまたはno-direct-connectが含まれます。has-policyはユーザーがデータベースへ接続に平文のみを使用しなければならず、非常に特殊な目的のために使用されることを示しています。no-direct-connectはユーザーはデータベースに直接接続することはできず、Unityを経由する必要があることを示しています。