KRB5メカニズムはKerberosユーザー認証とTeradata Vantage認証をサポートしています。オプションでKRB5メカニズムを構成してユーザーのディレクトリ認証を指定することもできます。このオプションではディレクトリの構成も必要です。 オプション3: ディレクトリ許可による非LDAP外部認証を参照してください。
これらはKRB5メカニズムのタイプです。
- Windowsクライアントに表示されるSSPI Kerberos
- UNIX用のKRB5は、Linuxクライアント、サポート対象のTTU UNIXクライアント(IBM z/OSクライアントを除く)、データベース システム上に表示されます。
KRB5メカニズムを使用するには、外部認証制御についてで始まるトピックで説明されているセットアップ手順を完了する必要があります。
.NET Data Provider for Teradataを実行しているクライアントの場合、Kerberos認証にはSPNEGOメカニズムを使用する必要があります。
Kerberosの複数LANアダプタの制限
ユーザーがSingle Sign-onを採用してKerberos認証を使用する場合、Vantageノードは最大1つのLANアダプタを持つことができます。また、マシン名はターゲット アダプタに関連付けられたホスト名(hostid)に対応している必要があります。ログオンでKRB5を使用して複数のLANアダプタを持つノードに接続すると、ログオンに失敗します。
複数のLANアダプタを使用する場合は、ログオンの失敗を避けるためにKRB5メカニズムを無効にできます。 MechanismEnabledを参照してください。
例: Teradata VantageにおけるLinux構成のためのKRB5
Linuxは、デフォルトではTdgssUserConfigFile.xmlに表示されます。
Kerberos認証でディレクトリ許可を使用する場合は、少なくともいくつかのLDAPプロパティを構成する必要があります。オプション3: ディレクトリ許可による非LDAP外部認証を参照してください。
<!-- KRB5 for TDGSS using GSS-API -->
<Mechanism Name="KRB5"
ObjectId="1.2.840.113554.1.2.2"
LibraryName="gssp2gss"
Prefix="gssp2gss"
InterfaceType="gss">
<RequiredLibrary Path="/usr/lib64/libgssapi_krb5.so"/>
<MechanismProperties
AuthenticationSupported="yes"
AuthorizationSupported="no"
SingleSignOnSupported="yes"
DefaultMechanism="no"
MechanismEnabled="yes"
MechanismRank="40"
GenerateCredentialFromLogon="yes"
DelegateCredentials="no"
MutualAuthentication="yes"
ReplayDetection="yes"
OutOfSequenceDetection="yes"
ConfidentialityDesired="yes"
IntegrityDesired="yes"
AnonymousAuthentication="no"
DesiredContextTime=""
DesiredCredentialTime=""
CredentialUsage="0"
LdapServerName=""
LdapServerPort="389"
LdapServerRealm=""
LdapSystemFQDN=""
LdapBaseFQDN=""
LdapGroupBaseFQDN=""
LdapUserBaseFQDN=""
LdapClientReferrals="off"
LdapClientDeref="never"
LdapClientDebug="0"
LdapClientRebindAuth="yes"
LdapClientRandomDevice="/dev/urandom"
LdapClientMechanism="SASL/DIGEST-MD5"
LdapClientUseTls="no"
LdapServiceFQDN=""
LdapServicePasswordProtected="no"
LdapServicePasswordFile="" LdapServicePassword=""
LdapClientSaslSecProps=""
UseLdapConfig="no"
TeradataKeyTab="/etc/teradata.keytab"
/>
<MechQop Value="0"> GLOBAL_QOP_0 </MechQop>
</Mechanism>