tdspolicyを使用したユーザーのポリシー割り当ての検索 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド
Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

Teradata Vantageノード上のコマンド プロンプトからtdspolicyツールを実行して、特定のユーザー、プロファイルおよびログオンIPアドレスの組み合わせに対して現在有効になっているセキュリティ ポリシー割り当てを調べることができます。

tdspolicyの例:

tdspolicy -u user -i ip_address [-s service] [-p profile]
user
次の場合は、Vantageユーザー名を指定します。
  • ユーザーはTeradata(TD2メカニズム)によって認証されます。
  • ユーザーはKerberos(KRB5メカニズム)またはLDAPで認証され、AuthorizationSupported=noです
  • ユーザーはKerberos (KRB5メカニズム)またはLDAPで認証され、AuthorizationSupported=yesであり、ユーザーはtdatUserエントリにマッピングされます。

    ディレクトリ ユーザーが複数のtdatUserオブジェクトにマッピングされており、複数のオブジェクトがセキュリティ ポリシー割り当てを持っている場合は、最も制限の厳しいポリシーが適用されます。詳細については、各ポリシー タイプの構成マニュアルを参照してください。

ユーザーがKRB5またはLDAPを使用して認証され、AuthorizationSupported=yesであり、ユーザーがtdatUserエントリにマッピングされない場合は、ディレクトリ ユーザーに対してディレクトリ プリンシパルのDNを指定します。
ip_address
ユーザーのログオン元IPアドレス。
service
ローカル セキュリティ ポリシーに関する情報を返す必要があります。ローカル ポリシーが含まれているサービスのDNを指定します。
-u userが特定のサービスで認証される場合、-sはそのサービスのDNを指定する必要があります。
特定のサービスのローカル ポリシー情報を要求するこのオプションが指定されていない場合、グローバル ポリシーが存在すれば、tdspolicyはグローバル ポリシーの情報を返します。
グローバル ポリシーについては、グローバル セキュリティ ポリシーのポリシー関連プロパティの構成を参照してください。
profile
[オプショ]ユーザーに割り当てられている既存のプロファイルを識別します。
Vantageの永久ユーザーの場合、profileはユーザー定義で指定されたプロファイルです。ディレクトリ プリンシパルの場合は、ディレクトリ内でプリンシパルがマップされるプロファイルです。
tdspolicyコマンドは、指定したプロファイルにポリシーが適用されるかどうかを示す情報を返します。
ディレクトリ プリンシパルがディレクトリ内のVantageユーザーおよびプロファイルにマッピングされている場合は、マッピングされているプロファイルの方がマッピングされている永久ユーザーに割り当てられているプロファイルより優先されます。

外部認証されたユーザーまたは許可されたユーザーの場合は、tdgssauthを使用してtdspolicyコマンド ライン引数を取得できます。

$ tdgssauth -m ldap -u diperm01 -i 141.206.3.15
TDGSS_BIN_FILE not set.
TDGSSCONFIG GDO used in tdgss.
Please enter a password: 
                        Status: authenticated, not authorized
                 Database user: perm01 [permanent user]
                       Profile: profile01
                External roles: extrole01perm01, extrole02perm01, extrole03perm01
            Authenticated user: ldap://esroot.example.com:389/CN=diperm01,OU=people,OU=testing,DC=example,DC=com
        Audit trail identifier: diperm01
        Authenticating service: esroot1
     Actual mechanism employed: ldap [OID 1.3.6.1.4.1.191.1.1012.1.20]
       Mechanism specific data: diperm01

 Security context capabilities: replay detection
                                out of sequence detection
                                confidentiality
                                integrity
                                protection ready
                                exportable security context

 Minimum quality of protection: high with confidentiality and integrity
                       Options: none

$