KRB5メカニズム - Advanced SQL Engine

KRB5メカニズム - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product

Advanced SQL Engine

Teradata Database

Release Number

17.10

Published

2021年7月

Language

日本語

Last Update

2021-09-23

dita:mapPath

ja-JP/ppz1593203596223.ditamap

dita:ditavalPath

ja-JP/wrg1590696035526.ditaval

dita:id

B035-1100

Product Category

Software

Teradata Vantage

KRB5メカニズムはKerberosユーザー認証とTeradata Vantage認証をサポートしています。オプションでKRB5メカニズムを構成してユーザーのディレクトリ認証を指定することもできます。このオプションではディレクトリの構成も必要です。オプション3: ディレクトリ許可による非LDAP外部認証を参照してください。

これらはKRB5メカニズムのタイプです。

Windowsクライアントに表示されるSSPI Kerberos
UNIX用のKRB5は、Linuxクライアント、サポート対象のTTU UNIXクライアント(IBM z/OSクライアントを除く)、データベースシステム上に表示されます。

KRB5メカニズムを使用するには、外部認証制御についてで始まるトピックで説明されているセットアップ手順を完了する必要があります。

.NET Data Provider for Teradataを実行しているクライアントの場合、Kerberos認証にはSPNEGOメカニズムを使用する必要があります。

Kerberosの複数LANアダプタの制限

ユーザーがSingle Sign-onを採用してKerberos認証を使用する場合、Vantageノードは最大1つのLANアダプタを持つことができます。また、マシン名はターゲットアダプタに関連付けられたホスト名(hostid)に対応している必要があります。ログオンでKRB5を使用して複数のLANアダプタを持つノードに接続すると、ログオンに失敗します。

複数のLANアダプタを使用する場合は、ログオンの失敗を避けるためにKRB5メカニズムを無効にできます。 MechanismEnabledを参照してください。

例: Teradata VantageにおけるLinux構成のためのKRB5

Linuxは、デフォルトではTdgssUserConfigFile.xmlに表示されます。

Kerberos認証でディレクトリ許可を使用する場合は、少なくともいくつかのLDAPプロパティを構成する必要があります。オプション3: ディレクトリ許可による非LDAP外部認証を参照してください。

<!-- KRB5 for TDGSS using GSS-API -->
        <Mechanism Name="KRB5"
            ObjectId="1.2.840.113554.1.2.2"
            LibraryName="gssp2gss"
            Prefix="gssp2gss"
            InterfaceType="gss">
            <RequiredLibrary Path="/usr/lib64/libgssapi_krb5.so"/>
            <MechanismProperties
                AuthenticationSupported="yes"
                AuthorizationSupported="no"
                SingleSignOnSupported="yes"
                DefaultMechanism="no"
                MechanismEnabled="yes"
                MechanismRank="40"
                GenerateCredentialFromLogon="yes"
                DelegateCredentials="no"
                MutualAuthentication="yes"
                ReplayDetection="yes"
                OutOfSequenceDetection="yes"
                ConfidentialityDesired="yes"
                IntegrityDesired="yes"
                AnonymousAuthentication="no"
                DesiredContextTime=""
                DesiredCredentialTime=""
                CredentialUsage="0"
                LdapServerName=""
                LdapServerPort="389"
                LdapServerRealm=""
                LdapSystemFQDN=""
                LdapBaseFQDN=""
                LdapGroupBaseFQDN=""
                LdapUserBaseFQDN=""
                LdapClientReferrals="off"
                LdapClientDeref="never"
                LdapClientDebug="0"
                LdapClientRebindAuth="yes"
                LdapClientRandomDevice="/dev/urandom"
                LdapClientMechanism="SASL/DIGEST-MD5"
                LdapClientUseTls="no"
                LdapServiceFQDN=""
                LdapServicePasswordProtected="no"
                LdapServicePasswordFile=""                LdapServicePassword=""
                LdapClientSaslSecProps=""
                UseLdapConfig="no"
                TeradataKeyTab="/etc/teradata.keytab"
                />
            <MechQop Value="0"> GLOBAL_QOP_0 </MechQop>
        </Mechanism>