IP XML制限ドキュメントの作成 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド
Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

必要なIPフィルタを設計すると、後でXML制限文書の作成に使用できます。

次のプロシージャの例では、IP XML制限の設計で作成したフィルタを使用します。
  1. viまたはメモ帳などのテキスト エディタを開きます。
  2. 必要な情報や構成要素のタグを指定し、次の構文を使用して、XMLドキュメントのフレームワークを作成します。
    <?xml version="xml_version" encoding="encoding"?>
<tdat name="tdat">
  <system name="system_name">
    <users>
       user [...]
    </users>
    <ipfilters>
      primary_filter_definition
      secondary_filter_definition
    </ipfilters>
  </system>
</tdat>
    user
    <user name="user_name" tag="user_tag"/>
    primary_filter_definition
    <ipfilter name="primary_filter_name" type="restrictive">
  <allow ip="primary_filter_ip_range"/>
  <deny ip="primary_filter_deny_range"/>
  <appliesto tagref="user_tag"/> [...]
</ipfilter>
    secondary_filter_definition
    <ipfilter name="secondary_filter_name" type="permissive">
  <deny ip="secondary_filter_deny_range"/>
  <allow ip="secondary_filter_ip_range"/>
  <appliesto tagref="user_tag"/> [...]
</ipfilter>
    xml_version
    ドキュメントの生成に使用するXMLのバージョンを示します。この仕様は単なる参照用です。例: 1.0
    encoding
    XMLドキュメントで使用する文字セットを定義します。例: UTF-8
    tdat
    XMLドキュメントのルート要素の名前を指定します。例: tdat。tdatを参照してください。
    system_name
    IP制限が適用されるシステムの名前を指定します。名前は、影響を受けるユーザーがデータベースにログオンするときに指定するtdpidに対応する必要がある。usersを参照してください。
    user
    XMLドキュメントの制限が適用されるユーザー。後のステップで例を示します。usersを参照してください。
    primary_filter_definition
    XML制限内の制限を定義するフィルタ定義。後のステップで例を示します。
    secondary_filter_definition
    XML制限内の制限を定義するフィルタ定義。後のステップで例を示します。
    user_name
    Vantageユーザー名。後のステップで例を示します。
    user_tag
    フィルタのappliesto tagref属性にタグ値が表示される場合に、対応するVantageのユーザー名をIPフィルタにリンクさせるXMLドキュメント タグ。
    それぞれのappliesto tagref値は、ドキュメントのユーザー要素にリストされる個別のVantageユーザーのタグ属性に対応しなければなりません。
    後のステップで例を示します。
    primary_filter_name
    制限文書にリスト表示されているプライマリ フィルタ、Restrictiveフィルタの名前を指定します。例: filter1。
    primary_filter_ip_range
    primary_filter_nameで許可されるIPの範囲を指定します。
    例: 141.206.0.0/255.255.0.0
    • 141.206.0.0/は、primary_filter_deny_rangeに明示的に表示されない限り、141.206サブネット内のIPアドレスに対するデータベース アクセスを許可します。

      フィルタはRestrictiveであるため、 allow構成要素で指定されている以外のすべてのIPのアクセスを拒否します。

    • 255.255.0.0は、allow構成要素マスクを定義します。

      3番目と4番目のセグメントがゼロになっている場合、フィルタは許可されたIPに対して、受信したIPアドレスの最初の16ビットだけをテストします。

    primary_filter_deny_range
    プライマリ拒否フィルタの範囲を指定します。
    例: 141.206.35.0/255.255.255.0
    • 141.206.35.0/は、サブネットがprimary_filter_ip_rangeで指定された141.206範囲内であっても、141.206.35サブネット内のIPへのアクセスを拒否します。
    • 255.255.0.0は、deny構成要素マスクを定義します。

      このマスクにより、フィルタは拒否されたIPに対して着信IPアドレスの最初の24ビットをテストします。ゼロは、フィルタがdenyテストで受信IPアドレスの最後の8ビットを使用しないことを示します。

    secondary_filter_name
    制限文書に記載されているセカンダリ フィルタ、Permissiveフィルタの名前を指定します。例: filter2
    secondary_filter_deny_range
    セカンダリ拒否フィルタの範囲を指定します。
    例: 141.206.35.0/255.255.255.0
    • 141.206.35.0/は、secondary_filter_ip_rangeに明示的に表示されない限り、141.206.35サブネット内のIPアドレスに対するデータベース アクセスを拒否します。

      このフィルタはPermissiveであるため、deny構成要素で指定されていないその他すべてのIPにアクセスを許可する。

    • 255.255.0.0は、deny構成要素マスクを定義します。

      マスクの小数点で区切られた各セグメントのおける255は、アクセス拒否の対象とするIPアドレスの対応するセグメントをフィルタがテストすることを示します。

      このマスクにより、 フィルタは拒否されたIPと照らし合わせて、受信IPアドレスの最初の24ビットをテストする。

    secondary_filter_ip_range
    secondary_filter_nameで許可されるIPの例外を指定します。
    例: 141.206.35.175/255.255.255.255
    • 141.206.35.175/は、deny構成要素のより一般的なパラメータで無効に設定されている場合でも、IPアドレス141.206.35.175に対するデータベース アクセスを許可します。
    • 255.255.255.255は、allow構成要素マスクを定義します。

      マスクの小数点で区切られた各セグメント内の255は、アクセス許可の対象とするIPアドレスの対応するセグメントをフィルタがテストすることを示します。

      このマスクにより、 フィルタは許可されたIPと照らし合わせて、受信IPアドレスの最初の32ビットをテストする。

  3. 制限の影響を受ける各ユーザーを追加します。例えば、次のようになります。
    <users>
  <user name="drct01" tag="xyzzy"/>
  <user name="perm01" tag="noside"/>
  <user name="extuser" tag="shazam"/>
</users>
  4. すべてのユーザーのIP制限を定義するIPフィルタを追加します。例えば、次のようになります。
    <ipfilters>
  <ipfilter name="filter1" type="restrictive">
    <allow ip="141.206.0.0/255.255.0.0"/>
    <deny ip="141.206.35.0/255.255.255.0"/>
    <appliesto tagref="xyzzy"/>
    <appliesto tagref="shazam"/>
  </ipfilter>
  <ipfilter name="filter2" type="permissive">
    <deny ip="141.206.35.0/255.255.255.0"/>
    <allow ip="141.206.35.175/255.255.255.255"/>
    <appliesto tagref="noside"/>
    <appliesto tagref="xyzzy"/>
  </ipfilter>
</ipfilters>

    プライマリ フィルタfilter1ではユーザー タグxxzzyおよびshazamが指定されているため、このフィルタはユーザーdrct01およびextuserに適用されます。

    セカンダリ フィルタfilter2ではユーザー タグnosideおよびxzzyが指定されているため、このフィルタはユーザーperm01およびdrct01に適用されます。