SPNEGOメカニズム - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

SPNEGOメカニズムは、.NETクライアントからTeradata Vantageにログオンするユーザーに対してKerberos認証をサポートしており、KRB5メカニズムと同様に機能します。

SPNEGOメカニズムはKRB5メカニズムから派生したものであるため、このメカニズムにも複数LANアダプタの制限が適用されます。 詳細は、Kerberosの複数LANアダプタの制限を参照してください。

SPNEGOは、Teradata VantageとUnityの全インストール環境のTdgssLibraryConfigFile.xmlに表示されます。ただし、SPNEGOの構成を変更するには、このメカニズムをTdgssLibraryConfigFile.xmlから手動でコピーして、TdgssUserConfigFile.xml(Teradata Vantage)とTdgssUnityConfig.xml(Unity)に追加します。次に、<Teradata® Unity™ インストール、構成、アップグレード ガイド、ユーザー用、B035-2523>の手順に従って、Unity構成ファイルを更新します。このコピーは構成の変更のためだけに行ないます。コピーしないと、デフォルトの構成がTdgssLibraryConfigFile.xmlに残る場合があります。

例: SPNEGOの構成

ディレクトリ許可でSPNEGOを使用する場合は、この例に示されていないオプションのプロパティをいくつか追加して構成する必要があります。オプション3: ディレクトリ許可による非LDAP外部認証を参照してください。
 <!-- SPNEGO for UNIX Teradata servers -->
        <Mechanism Name="SPNEGO"
            ObjectId="1.3.6.1.5.5.2"
            LibraryName="gssp2spnego"
            Prefix="spnego"
            InterfaceType="negotiate">
            <MechanismProperties
                AuthenticationSupported="yes"
                AuthorizationSupported="no"
                SingleSignOnSupported="yes"
                DefaultMechanism="no"
                MechanismEnabled="yes"
                MechanismRank="65"
                DelegateCredentials="no"
                MutualAuthentication="yes"
                ReplayDetection="yes"
                OutOfSequenceDetection="yes"
                ConfidentialityDesired="yes"
                IntegrityDesired="yes"
                AnonymousAuthentication="no"
                DesiredContextTime=""
                DesiredCredentialTime=""
                CredentialUsage="0"
                LdapServerName=""
                LdapServerPort="389"
                LdapServerRealm=""
                LdapSystemFQDN=""
                LdapBaseFQDN=""
                LdapGroupBaseFQDN=""
                LdapUserBaseFQDN=""
                LdapClientReferrals="off"
                LdapClientDeref="never"
                LdapClientDebug="0"
                LdapClientRebindAuth="yes"
                LdapClientRandomDevice="/dev/urandom"
                LdapClientMechanism="SASL/DIGEST-MD5"
                LdapClientUseTls="no"
                LdapServiceFQDN=""
                LdapServicePasswordProtected="no"
                LdapServicePassword=""
                LdapClientSaslSecProps=""
                UseLdapConfig="no"
                />
            <MechQop Value="0"> GLOBAL_QOP_1 </MechQop>
            <NegotiatedMechanism ObjectId="1.2.840.113554.1.2.2"/>
       </Mechanism>