この例は、与えられたIPアドレスからLDAPを使用してマッピングされていないユーザーの認証および許可プロパティを検証する方法を示します。 次を実行します。
tdgssauth -u drct01 -m ldap -i 198.51.100.20
ユーザー名(-u)は、bteq .logonコマンドで指定されるユーザー名と同じです。-mオプションは、使用するログオン メカニズム(この場合LDAP)を指定します。-iオプションはユーザーの接続元IPアドレスを指定します。
結果:
1> Please enter a password: 2> Status: authenticated, authorized 3> Database user: drct01 [unmapped user, autoprovisioning candidate] 4> Profile: profxu1 5> External roles: extrole01xu1, extrole02xu1, extrole03xu1 6> Authenticated user: ldap://dsa1.example.com:389/uid=drct01,ou=principals,dc=example,dc=com 7> Audit trail identifier: drct01 8> Authenticating service: dbssvc 9> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20] 10> Mechanism specific data: drct01 11> 12> Security context capabilities: replay detection 13> out of sequence detection 14> confidentiality 15> integrity 16> protection ready 17> exportable security context 18> 19> Minimum quality of protection: none 20> Options: none
次に、コマンドからの出力について説明します。
行番号 | 説明 |
---|---|
1> Enter a password | プロンプトが表示されたら、指定メカニズムのユーザー パスワードを入力します。この例では、指定メカニズムがldapであるためユーザーのLDAPパスワードを入力します。KRB5が指定メカニズムである場合は、ユーザーのKRB5パスワードを入力します。 パスワードを要求されないようにするには、-wを使用してコマンドラインでユーザーのパスワードを指定してください。
コマンド ラインでユーザーのパスワードを指定することは推奨しません。
|
2> Status: authenticated, authorized | ユーザーの認証および承認に成功。 |
3> Database user: drct01 [unmapped user, autoprovisioning candidate] | このユーザーはVantageデータベース ユーザーにマッピングされておらず(非マッピング ユーザー)、オートプロビジョニングの候補者。 |
4> Profile: profxu1 | ユーザーにはセッションに関連付けられたprofxu1プロファイルがあります。 |
5> External roles: extrole01xu1, extrole02xu1, extrole03xu1 | ユーザーは3つの外部ロール、extrol01xu1、extrole02xu1、およびextrole03xu1を占有することができます。DBAはデータベース内にこれらのロールを作成し権限を付与する必要があります。 |
6 > Authenticated user: ldap://dsa1.example.com:389/uid=drct01,ou=principals,dc=example,dc=com | ディレクトリ サーバーおよびユーザーを認証したサーバーにおけるユーザーのID。 |
7> Audit trail identifier: drct01 | このユーザーとしてログオンされたセッションによって発生したイベント ログで使用されたユーザーの監査証跡識別子。 |
8> Authenticating service: dbssvc | ユーザーの認証に使用するサービスの名称。サービスは、TdgssUserConfigFile.xmlファイルの<LdapConfig>セクションで構成されます。 |
9> Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20] | ユーザー認証に使用される実際の認証メカニズムの名前とオブジェクト識別子(OID)。TDNEGOメカニズムはユーザー認証のために選択した実際のメカニズムを報告します。その他の明示的に名前を付けられたメカニズムはここで自分自身を報告します。 |
10> Mechanism specific data: drct01 | メカニズム固有のデータ。このデータはログイン プロセス中にシステムの他の部分によって使用され、TDGSSは使用しません。すべてではありませんがほとんどの場合、-uコマンドライン オプションでユーザー名を返します。 |
12 - 17> Security context capabilities: replay detection, out of sequence detection ... exportable security context | これらの行は特定のセキュリティ コンテキストの内容を示しています。セキュリティ コンテキストは指定されたメカニズムを使用して名前付きユーザーに対して確立されます。 |
19> Minimum quality of protection: None | ユーザーがセッション継続中に使用する必要がある最小QoP。この例では、このユーザーはセッション継続中QoPをまったく含まないQoPを使用することができます。 |
20> Options: none | このユーザーに有効な接続オプション。この場合、単語noneはこれが通常の接続であることを示しています。この値にはhas-policyまたはno-direct-connectが含まれます。has-policyはユーザーがデータベースへ接続に平文のみを使用しなければならず、非常に特殊な目的のために使用されることを示しています。no-direct-connectはユーザーはデータベースに直接接続することはできず、Unityを経由する必要があることを示しています。 |