サービス バインド用のTdgssUserConfigFile.xmlの編集 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

サービス バインドを有効にするには、TdgssUserConfigFile.xmlを編集する必要があります。

以下の手順には、TdgssUserConfigFile.xmlの構成で使用するサービス パスワードの暗号化バージョンを生成するステップが含まれています。このステップに従って、LdapServicePasswordプロパティの値が平文で格納されることを防止します。
  1. TdgssUserConfigFile.xmlを変更し、LdapServiceFQDNプロパティにバインド アカウントDNを設定します。
  2. TDGSSCONFIG.GDO. Runを更新します。
    run_tdgssconfig
  3. tdspasswdコマンドを使用して、保護されたパスワードを生成します。
    1. Teradataコマンド プロンプトで以下を入力します。
      $ tdspasswd -m mechanism

      ここで、mechanismは、TdgssUserConfigFile.xmlを編集しているldapなどの認証メカニズムです。

    2. システムは新しいパスワードの入力を求めます。
      Enter New password:
      Confirm New password:
      パスワードは入力時には表示されません。
    3. システムは新しいパスワードを確認した後、パスワードの暗号化バージョンを生成し、表示します。例:
      $ tdspasswd -m ldap
      Enter New password:
      Confirm New password:
      AV8Jeq2cvjmAjiHgcSrAUoE=
      $
      暗号化されたパスワードを使用できるのは、-mオプションで指定したメカニズムのみであり、サービス バインドに対してのみです。
    LdapServiceFQDNのバインド アカウントDNを変更すると、バインド アカウントのプレーン テキストのパスワードが同じままであっても、上記の手順を再度実行する必要があります。
  4. サービス バインド用のサービス ユーザーとパスワードを指定するためのメカニズムを編集します。
    <Mechanism Name="ldap">
       <MechanismProperties
            ...
         LdapServiceBindRequired="yes"
         LdapServiceFQDN="cn=service_id,ou=services,dc=domain,dc=com"
         LdapServicePassword="encrypted_password"
         LdapServicePasswordProtected="yes"
            ...
            />
    </Mechanism>
    LdapServicePasswordProtectedプロパティは、パスワード保護状態の標識としてのみ用意され、保護機能は有効になりません。
    service_id
    ディレクトリ内のサービス ユーザー オブジェクトのCN。
    encrypted_password
    ステップ1c(ステップ1のサブステップc)で生成された暗号化パスワード。
  5. 構成が正しいことを確認します。
    1. tdgsstestcfgを実行して構成をテストします。新しいシェルで、構成ファイルの更新を含むテスト環境が起動します。
      /opt/teradata/tdgss/bin/tdgsstestcfg
    2. TDGSSCONFIG GDOに変更をコミットする前に、tdgssauthなどのユーティリティを実行して新しい構成をテストします。

      <tdgssauthに関わる操作>を参照してください。

    3. テスト シェルを終了します。
      exit
    4. 構成が正しくなるまで、編集とテストを続行します。
  6. run_tdgssconfigユーティリティを実行して、変更をTDGSSCONFIG GDOに送信します。
    run_tdgssconfig
  7. run_tdgssconfigがTPAリセットが必要であることを示している場合は、ID番号が最小のTeradata Vantageノードからtparesetを実行して、TDGSS構成への変更をアクティブにします。
    tpareset “use updated TDGSSCONFIG GDO”
  8. Teradata Unityサーバーを使用している場合は、この手順をTeradata Unityサーバーで繰り返します。Unityの詳細については、<Teradata® Unity™ インストール、構成、アップグレード ガイド、ユーザー用、B035-2523>および<Teradata® Unity™ユーザー ガイド、B035-2520>を参照してください。
LDAPについて構成したサービス バインドは、すべての外部認証メカニズムに適用されます。