キーを手動で構成するには、次の操作を実行します。
- /opt/teradata/tdat/tdgss/site/TdgssUserConfigFile.xmlバックアップ コピーを作成し、標準バックアップ手順に従って保存します。
- TdgssUserConfigFile.xmlを編集し、IdentityProviderのコメントを解除します。サイト情報を次のように編集します。
<Mechanism Name="JWT"> <MechanismProperties MechanismEnabled="yes" DefaultMechanism="no" JWTDecryptionKeyFile="" JWTVerificationKeyFile="" JWTSkewTime="300" JWTKeyDirectory="/opt/teradata/tdat/tdgss/site/JWTKeyDir" .../> <IdentityProvider Id="Keycloak2" Url="https://Customer_IdP_URL" Type="keycloak" /> </Mechanism> - getjwkツールを使用して、JWKファイルをJWTKeyDirectoryで指定したディレクトリに追加します。
getjwkはIDプロバイダからJWKファイルを取得し、指定したディレクトリに保存します。例えば、次のコマンドを実行します。
/opt/teradata/tdgss/bin/getgwk -d /opt/teradata/tdat/tdgss/site/JWTKeyDir -i Keycloak2 -u http://sdw01827.labs.teradata.com:8080/auth/realms/TGTE
getjwkオプションは次のとおりです。
オプション 説明 -h or --help コマンドのヘルプ情報を表示します。 -d or --dir 必須。JWKファイルを保存するディレクトリの絶対パスです。 パスは、JWTKeyDirectoryに示されている構成ファイルのパスと一致する必要があります。
-i or --idp-id IdentityProviderセクションを構成したIDプロバイダのID。 -u or --idp-url サービス検出を行なうIdentityProviderのURL。 -m or --max-timeout 操作にかけることができる最大時間(秒単位)。 デフォルト値は900です。
-v or --verbose 詳細な出力を表示します。 INFO CA Certsパスは、JWTClientTlsCACertDirプロパティで指定した場所から取得されます。 JWTClientTlsCACertDirが定義されていない場合は、デフォルトの場所/etc/ssl/certsが使用されます。
結果: 正常に実行された場合は、-dオプションで指定したディレクトリに2つのファイルが配置されます。
- 構成が正しいことを確認します。
- tdgsstestcfgを実行して新しい構成が正しいか検証します。構成ファイルの更新を含む新しいシェルで、テスト環境が起動します。
/opt/teradata/tdgss/bin/tdgsstestcfg
- tdgssauthツールを使用して構成をテストします。
tdgssauth -m JWT -a token=JWT_from_IdPここで、JWT_from_IdPはTdgssUserConfigFile.xmlで構成したIdPです。
- テスト シェルを終了します。
exit
- 構成が正しくなるまで、編集とテストを続行します。
- tdgsstestcfgを実行して新しい構成が正しいか検証します。構成ファイルの更新を含む新しいシェルで、テスト環境が起動します。
- 次を実行します:
/opt/teradata/tdgss/bin/run_tdgssconfig
- run_tdgssconfigがTPAリセットが必要であることを示している場合は、tparesetを実行して、TDGSS構成への変更をアクティブにします。
tpareset -f “use updated TDGSSCONFIG GDO”
- ディレクトリから古いキーを削除します。