Sign-on Asの例の説明 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage
構文要素 説明
mech_name 認証メカニズムを指定します。
Teradata認証の場合
  • KRB5
  • SPNEGO
  • LDAP
ディレクトリ認証の場合:
  • KRB5
  • SPNEGO
user_credentials ログオン用のユーザー名とパスワードを指定します。そして次のルールに従う必要があります:
  • Teradata認証の場合、ユーザー名は一致するデータベース ユーザーが存在するネットワーク ユーザー名またはディレクトリ ユーザー名です。
  • ディレクトリ認証の場合、ユーザー名は一致するディレクトリ ユーザーが存在するネットワーク ユーザー名です。
  • パスワードは常にネットワーク パスワードです。

有効なユーザー信頼証明の形式

KRB5とSPNEGOの.logdata文では:

diruser@@dirpassword

Kerberos認証(SPNEGOメカニズム)を使用した場合のSign-On Asは、Windowsクライアントからのみ使用可能です。
LDAPの場合は.logdata文:
  • authcid= diruser password= dirpassword
  • diruser@@dirpassword
  • diruser password= dirpassword

KRB5とSPNEGOの.logon文では:

domain_username,domain_password

LDAPの.logon文では

dir_username,dirpassword

UPNの正しい解釈の保証

ログオン diruser、dirpasswordについては、ユーザー 指定を“a@b”か“a/b”または“a\b”にすることができます。ユーザー指定を解釈するためにLdapCredentialIsUPNを設定します。LdapCredentialIsUPNを参照してください。
  • LdapCredentialIsUPNプロパティがないか、yesに設定されている場合(デフォルト)、システムはユーザー指定をUPNとして扱う。これは、IETF1964のルールに準拠している必要がある。
    LdapCredentialIsUPNがyesに設定されている場合、ログオンにUPNが“a\@b”または“a\/b”または“a\\b”として表示される必要があります。ここで、バックスラッシュが付いた文字は、システムに、後に続く文字の扱い方を示しています。
  • CredentialIsUPNプロパティがnoに設定されている場合、システムは特殊文字を無視し、ユーザーの仕様がAutheidであると考えます。
authorization_qualifier ユーザーがディレクトリによって許可され(AuthorizationSupported=yes)、次の1つ以上が該当する場合に必須:
  • ディレクトリ ユーザーは、複数のユーザーオブジェクトまたはプロファイル オブジェクトにマッピングされる。
  • LDAPがSASL/DIGEST-MD5バインドを使用するように設定されていて(デフォルト)、ディレクトリが複数のレルムを提供し、LdapServerRealmプロパティの値が“”に設定されている(デフォルト)。
    LDAPで使用されるDIGEST-MD5認証プロトコルは廃止されました。Teradataでは、TLS保護を備えたシンプル バインドを使用し、DIGEST-MD5の使用を中止することを強く推奨します。

複数のデータベース ユーザーにマップされた ディレクトリ ユーザーには、以下の特徴があります。

ディレクトリ ユーザーが複数のデータベース ユーザーにマップされている場合、セッションに必要なデータベースの権限を持っているユーザーをフォームで指定します。

user= database_username

データベース ユーザー名は個別のデータベース ユーザーあるいはEXTUSERにすることができます。
複数のプロファイルにマッピングされているディレクトリ ユーザー
  • ディレクトリ ユーザーが複数のプロファイルにマッピングされている場合は、セッション プロファイルを識別するために.logdata文にprofile=profile_nameを指定する。
  • ディレクトリ ユーザーが1つ以上のデータベース ユーザーと1つのプロファイルにマップされている場合、セッションはマップされたデータベース ユーザーに属するプロファイルではなく個別にマップされたプロファイルに従う。
ディレクトリは複数のレルムに対応しています(LDAP認証のみ)。

ディレクトリに表示されるレルム(通常はディレクトリの完全修飾DNS名)を、例えば次のように指定します。

realm=directory_FQDNSName

システムはレルム情報を次のように処理します。
  • ログオンでレルムが指定されず、LdapServerRealmプロパティの値によって有効なレルムが取得されない場合、ログオンは失敗します。
  • ディレクトリが.logdata文に含まれているレルムを提供しない場合、ログオンは失敗します。
  • .logdata文が必要なレルムを指定した場合、有効なレルム仕様であればログオンは成功します。
Tdpid 必須。 tdpidは、Teradata Vantageシステム、Unityサーバー、またはログオンに成功した場合はホスト グループを識別します。
, , ログインがアカウントを指定し、ディレクトリ ユーザー名およびディレクトリ パスワードが.logdataに表示されている場合は、, ,は、これらの例外をアカウント指定より優先する必要がある:
  • .logonステートメントにユーザーの資格情報が表示される場合、カンマは1つだけ必要です。
  • .logonでアカウントが指定されていない場合は、カンマは必要ありません。
"account" オプション。 アカウント文字列の指定は、二重引用符で囲む必要がある。

アカウントについての詳細は、<Teradata Vantage™ - データベースの管理、B035-1093>を参照してください。