Gateway Controlオプション - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ - データベース ユーティリティ

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/qxr1512078764562.ditamap
dita:ditavalPath
ja-JP/qxr1512078764562.ditaval
dita:id
B035-1102
Product Category
Software
Teradata Vantage

Gateway Controlオプションは大文字と小文字を区別し、オプション文字の前にハイフンを入力する必要があります。オプションの前に2つのハイフンが付いているものがあることに注意してください。

以下の例は、Gateway Controlの他のすべてのオプションの構文をリストするヘルプ オプションの構文を示しています。

gtwcontrol -h

フィールド値を指定する必要のあるゲートウェイ オプションの場合、値を定義するフィールドの名前をオプションに含めます。

例えば、アクションを実行するホスト グループの番号として1を選択するには、-g Hostnumberオプションを使用して以下のように入力します。

gtwcontrol -g 1

ここで、オプションのHostnumberは1です。

複数のオプションを指定するには、スペースで区切ってそれらを入力します。

例えば、ホスト グループ1~600に最大セッション数を設定するには、次のように入力します。

gtwcontrol -g 1 -s 600

以下のテーブルでは、Gateway Controlユーティリティのオプションを説明しています。

オプション 説明
-a ExternalAuthentication 外部認証を使用可能または使用不可にする。設定値は次のとおり。
  • OFF: 外部認証を拒否し、従来のログオンを受け入れる。
  • ON: 外部認証と従来のログオンの両方を受け入れる。
  • ONLY: 外部認証を受け入れ、従来のログオンを拒否する。

Teradataのデフォルト設定はONです。

外部認証の詳細については、<Teradata Vantage™ NewSQLエンジンのセキュリティ管理、B035-1100>を参照してください。

--auditnetsecurity[={yes|no|ct}] ゲートウェイは、ゲートウェイと通信するクライアント インターフェースで使用される暗号化のレベルを記録できます。この情報は、ゲートウェイ ログに記録されます。セキュリティ監査で使用するためのものです。 オプション:
  • yes

    ゲートウェイは、セッションをログオンする Connectメッセージの後に、最初のメッセージのセキュリティ レベルを記録します。その後、ゲートウェイは受信メッセージのセキュリティ レベルの変更を記録します。

    これは、yes、no、またはctを指定しない場合のデフォルトです。

  • no

    ゲートウェイは、受信メッセージのセキュリティ レベルを記録しません。これは、このオプションの初期設定とTeradataのデフォルトです(gtwcontrol -Zオプションは--auditnetsecurityを"no"にリセットします。)

  • ct

    ゲートウェイは、"cleartext"セキュリティ レベルである受信メッセージ(明示的に"Confidentiality"レベルではないメッセージ) のセキュリティ レベルを記録します。

この設定を変更すると、変更後にログオンするセッションのみが影響を受けます。

-b socketbuffersize SNDおよびRCVバッファ サイズを指定する。

socketbuffersizeはバッファ サイズをバイト単位で指定します。

有効範囲は65588バイトから2147483647バイトまでです。または、以下のいずれかの特別値を指定することもできます。

  • default は、デフォルト設定を使用するように指定します。デフォルトで、ゲートウェイはほとんどの環境に適した特定の設定を選択します。ゲートウェイが選択する特定の設定は、Teradata Databaseのリリース間で変わる可能性があります。

    現在、この設定はバッファ サイズがLinux自動調整機能によって自動的に設定されるように指定します。

  • autoは、バッファ サイズがLinux自動調整機能によって自動的に設定されるように指定します。
TCP/IPおよび SND/RCVバッファ サイズに精通している場合以外は、この設定はTeradataサポート センター担当者の指示のもとでのみ行なう必要があります。
-c connectiontimeout ログオン メッセージ タイムアウトを秒単位で制御する。ゲートウェイは、時間内にログオン シーケンスのメッセージを受信できないセッションを終了します。ログオン時のメッセージ所要時間は、connectiontimeout設定の値より短くなるようにします。

値の範囲は5~3600秒。

Teradataのデフォルトは60秒です。

-d ゲートウェイGDOの現在の設定値を表示する。
-e Eventcnt イベント追跡登録項の数を指定する。Teradataのデフォルトは500です。
-F
このオプションは廃止予定であるため、使用しないでください。

認証スキーマ用の"ドメイン名の付加"を切り替える(ユーザーIDを固有に定義するためにドメイン名を必要とする場合)。Teradataのデフォルト設定はOFFです。

認証方式の詳細については、<Teradata Vantage™ NewSQLエンジンのセキュリティ管理、B035-1100>を参照してください。

-f Logfilesize ログ ファイルの最大サイズを指定する。

有効範囲は1000~2147483647です。

Teradataのデフォルトは5000000。

-g Hostnumber このgtwcontrolの呼び出しにおけるホスト固有の設定を適用するホスト グループを指定する。このオプションを指定しない場合、このホスト設定はすべてのホスト グループに適用されます。

Hostnumberは、ホスト グループを識別する0~1023の整数です。

ホスト固有のオプションは次のとおりです。-a、-b、-c、-i、-k、-m、-r、-s、-t、-A、-F、-C および-T。

-h gtwcontrolのオプションのヘルプを表示する。
-i InitialIothreads LANメッセージの処理のために最初に開始される各タイプのスレッド数を指定する。スレッド数が負荷に合わせて調整される場合、各タイプのスレッド数は、この数を下回ることはありません。
スレッドには以下の2つのタイプがある。
  • クライアント(つまりTCP/IP接続)からのトラフィックを処理するスレッド
  • データベース(つまりPDE msgsystem)からのトラフィックを処理するスレッド

Teradataのデフォルトは25です。

-j EnableChannelBinding TDGSS-API認証メカニズムのバインドでチャネル バインドをサポートするこれらのメカニズムに対してより低いネットワーク レイヤーのチャネルを保護できるようにする(PROXYは、現在チャネル バインドをサポートする唯一のメカニズムです)。チャネル バインドは、中間者攻撃を排除するためにより低いレベルのネットワーク レイヤーのエンドポイントを検証します。PROXYメカニズムの場合、チャネル バインドは盗まれた証明書を使用して正規のエンドポイントになりすますことができないようにします。

EnableChannelBindingの値には、YESまたはNOを設定できます。

TDGSSの詳細については、<Teradata Vantage™ NewSQLエンジンのセキュリティ管理、B035-1100>を参照してください。

このオプションは、Teradata Unityと使用することを対象としています。
-k keepalivetimeout 接続が失われているかどうかの調査をオペレーティング システムが開始するまでに、ゲートウェイとクライアントの接続をアイドル状態にしておく時間を指定する。

keepalivetimeoutには、時間を分単位で指定します。1~120の任意の整数を指定できます。

指定した時間(分単位)にわたって接続がアイドル状態であった場合、ゲートウェイのオペレーティング システムはその接続を介してキープアライブ メッセージを送信し、クライアントのオペレーティング システムから応答があるかどうかを調査します。応答がない場合、ゲートウェイのオペレーティング システムはこの調査を数回繰り返します。

クライアントのオペレーティング システムから応答のない状態が続いた場合、ゲートウェイのオペレーティング システムはその接続を閉じ、その接続を使用しているセッションを切断します。

調査の具体的な回数、および調査間隔は、オペレーティング システムの種類によって異なります。システムによっては、ネットワークを構成する際に、これらの値を変更できるものもあります。これらの値が変更されていない場合、最初の調査が実行されてから、機能していない接続が閉じられるまで、通常は約10分かかります。keepalivetimeoutの値を5に設定した場合、接続が閉じられるまでの実際の所要時間は約15分です。

Teradataのデフォルト設定は10分です。

-L ログオン使用可能性を切り替える。Teradataのデフォルト設定はONです。
-m MaximumIothreads 各タイプごとのスレッドの最大数を指定する。スレッド数が負荷に合わせて調整される場合、各タイプのスレッド数は、この数を上回ることはありません。
スレッドには以下の2つのタイプがある。
  • クライアント(つまりTCP/IP接続)からのトラフィックを処理するスレッド
  • データベース(つまりPDE msgsystem)からのトラフィックを処理するスレッド

Teradataのデフォルトは50。

--monitorlib suboptions データベース モニターのためのロード可能なライブラリの管理に使用される。そのようなライブラリは、データベース アクティビティ モニター ツールのサードパーティ プロバイダによって提供されます。
suboptionsは、次の1つ以上のname=valueペアのカンマで区切られたリストです。
  • load=[yes|no]
    • YESはモニター ライブラリをロードします(デフォルトでは、ライブラリはアンロードされます)。
    • NOはライブラリを無効にします(すでにロードされている場合)。
    この値をNOに設定して無効化されたライブラリは、次のデータベース再起動後までこの値をYESに設定しても再ロードされません。
  • copy=[no|yes|verify]
    ゲートウェイがデータベースデータを渡すために使用するメソッドを決定します。
    • NO(デフォルト)は、元のTeradata Databaseデータ バッファをモニター ツールに直接渡します。
    • YESは、動的データ バッファを作成し、データを元のTeradata Databaseデータ バッファから新しいバッファにコピーし、新しいデータ バッファをサードパーティ製のモニタープロバイダーのモニター ツールに送信します。
    • VERIFYはcopy=yesを意味し、ゲートウェイが新しいデータ バッファと元のデータバッファのデータを比較し(新しいデータ バッファをモニター ツールに送信した後)、そのモニター ツールが新しいデータ バッファのデータを変えなかったことを検証するようにします。
  • trace=[yes|no|all]
    モニター ライブラリの診断トレース機能を制御します。
    • NOの場合、モニター ライブラリはエラー メッセージのみをログに記録します。これがデフォルトです。
    • YESの場合、モニター ライブラリはエラー メッセージと警告メッセージの両方をログに記録します。
    • ALLは、エラーと警告、およびモニター ライブラリが提供できる他のすべての種類のメッセージを記録します。
-n EnableDeprecatedMessages 廃止予定の、説明的なログオン失敗のエラー メッセージを有効にする。
EnableDeprecatedMessagesは、次のいずれかを指定します。
  • NO: Teradata Databaseは、一般的なログオン失敗のエラー メッセージのみをログオンできなかったユーザーに返します。これがデフォルトの設定です。
  • YES:安全性の低下を伴う、より説明的なログオン失敗のエラー メッセージを返します。

ログオンの試行が失敗したときにユーザーに返されるデータベース エラーは、多くの場合、ログオン失敗の原因に関する情報を提供します。この情報を利用して無許可のユーザーがシステムに侵入するというセキュリティ上のリスクが生じます。

デフォルトでは、Teradata Databaseは一般的なログオン エラー メッセージのみを返します。システムにログオンできなかったユーザーには、ログオンが失敗したことのみを示すメッセージが表示され、ログオン失敗の理由は示されません。

この設定にかかわらず、常に、ログオン失敗に関するより詳細な情報がシステム ログおよびDBC.eventlogシステム テーブルに記録されます。システム管理者は、この情報を使用して、特定のログオン失敗の原因を確認できます。また、これらのログでは、システム セキュリティを突破する試みであることを示している可能性のある、繰り返し失敗したログオンの試行について調べることもできます。

-o default gtwglobalのこの呼び出しで指定されたその他のオプションを、ユーザー定義のデフォルト値のセットとして保存することを示す。これらのデフォルト値は、Teradata Gateway Controlのデフォルト値よりも優先し、システムが再構成された場合に、新しいホスト グループおよびゲートウェイvprocに対して使用されます。
再構成よりも前から存在していたホスト グループおよびvprocは、以前の設定を保持します。カスタム デフォルトを既存のすべてのホスト グループおよびvprocに適用するには、-zオプションを使用します。

gtwcontrol -o defaultを複数回実行することで、個々のデフォルト値、または値のグループを設定することができます。後続の実行によって以前の実行がキャンセルされることはありません。

ユーザー定義のデフォルト値を消去し、出荷時設定を復元するには、-o defaultとともに-Zオプションを使用します。

-oオプションは、-gオプションまたは-vオプションと組み合わせて使用することはできません。
-p LocalPEPreferredPercent 新しいセッションをローカルPE(ログオン リクエストを受け入れたゲートウェイを含むノード上のPE)またはリモートPE(異なるノード上のPE)に割り当てるためのTeradata Database優先順位または偏りを決定する。
LocalPEPreferredPercentには0(デフォルト)から100までの整数が可能です。値は、ローカルPEの選択時に相対的な使用可能容量(割合として)において許容できる差異の尺度です。値が高ければ、ローカルPEへの新しいセッションの割り当てに対して指定される優先順位が高くなります。
  • 残りの使用可能なセッション容量が稼働率が非常に低いローカルPEおよびリモートPEに対して同じ場合、デフォルト値であるゼロ パーセントによりローカルPEの優先が設定されます。リモートPEの使用可能なセッション容量がローカルPEより多い場合、セッションはリモートPEに割り当てられます。
  • リモートPEにより多くの使用可能なセッション容量がある場合でも、値100によってローカルPEの優先が設定されます。
  • 1から99までの値は、優先の増分レベルをローカルPE割り当てに設定します。そのため、リモートPEでより多くのセッション容量が使用可能な場合でも、ローカルPEはセッションを取得することがあります。
-r IoThreadCheck すべてのスレッドがビジー状態かどうかをゲートウェイがチェックする分単位の頻度を決める。

すべてのスレッドがビジー状態の場合には、-mオプションで設定したスレッドの最大数を超えない限り、適切なタイプの新しいスレッドが開始されます。

IoThreadCheckの期間内に実行されていないスレッドが複数存在する場合、ゲートウェイは、-iオプションで指定したスレッド数を下回らない限り、1つのスレッドを停止します。

スレッドには以下の2つのタイプがある。
  • クライアント(つまりTCP/IP接続)からのトラフィックを処理するスレッド
  • データベース(つまりPDE msgsystem)からのトラフィックを処理するスレッド

Teradataのデフォルト設定は10分です。

-s Sessions ゲートウェイあたりのセッション最大数を指定する。

有効範囲は1~2147483647です。

Teradataのデフォルトは600。

--secpcynotsupported suboptions このオプションを使用すると、ゲートウェイは、セキュリティ ポリシーが適用されている場合でも、Teradata Databaseネットワーク セキュリティ ポリシーをサポートしていない古いクライアント ソフトウェアまたはプロキシからのログオンを受け入れることができます。さらに、これらの古いクライアントまたはプロキシを識別するゲートウェイ ログ メッセージを受け取ることができます。これらのログ メッセージを使用して、置き換えまたはアップグレードの必要がある古いクライアントを識別できます。

プロキシは、TDGSS PROXY認証メカニズムを使用して、他のクライアントに代わってTeradata Databaseと通信する特殊なクライアントです。現時点で、Teradata® Unity™は唯一のプロキシです。

suboptionsは、次の1つ以上のname=valueペア(任意の順序)のカンマで区切られたリストです。
  • logon=[no|all|client|proxy]
    • no

      ゲートウェイは、ポリシーが適用されているときにセキュリティ ポリシーをサポートできないクライアントまたはプロキシを使用したログオンを許可しません。これはデフォルトです。

    • all

      ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントまたはプロキシを使用したログオンを許可します。

    • client

      ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントを使用したログオンを許可しますが、ポリシーが適用されているときにセキュリティ ポリシーをサポートできないプロキシを使用したログオンは許可しません。

    • proxy

      ゲートウェイは、ポリシーが適用されているときにセキュリティ ポリシーをサポートできないプロキシを使用したログオンを許可します。このようなプロキシは、それらを介して接続するクライアントのセキュリティ ポリシー機能に関する情報を提供しないため、クライアントがセキュリティ ポリシーをサポートしているかどうかにかかわらず、これらのクライアントを使用したログオンは許可されます。

    logon=allまたはlogon=proxyの場合、クライアントはセキュリティ ポリシーをサポートしないプロキシを介してログオンできます。これらのプロキシは、クライアントがポリシーに従っていることを保証することも、それ以外の方法でポリシーに従うことができるようにクライアントにポリシーを送信することもできません。このため、このようなプロキシを経由してログオンするすべてのクライアントは、それ以外の方法でポリシーに自動的に従うことができる場合でも、ポリシーの範囲内にいるように手動で構成する必要があります。実際には、ゲートウェイはそのようなプロキシ経由でログオンおよびログオフするクライアント セッションによってセキュリティ違反を識別できますが、1つのポリシー範囲外メッセージが送信されるまでは識別できません。

    logon=allまたはlogon=clientの場合、ポリシーの範囲内にいるように手動で構成されていないクライアントは、セキュリティ違反が検出されてセッションがログオフされる前に、セッションごとに1つのポリシー範囲外メッセージを送信できます。

  • log=[no|all|client|proxy]
    • no

      ゲートウェイは、セキュリティ ポリシーをサポートできない古いクライアントまたはプロキシを識別するために、ゲートウェイ ログ ファイルにメッセージを記録しません。これはデフォルトです。

    • all

      ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントまたはプロキシを使用してログオンしようとしたときに、ゲートウェイ ログ ファイルにメッセージを記録します。

    • client

      ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントを使用してログオンしようとしたときに、ゲートウェイ ログ ファイルにメッセージを記録します。

      このようなプロキシは、クライアントがセキュリティ ポリシーをサポートしない場合にゲートウェイに通知することができないため、セキュリティ ポリシーをサポートしていないプロキシをログオン試行で使用した場合、ゲートウェイはメッセージを記録しません。

    • proxy

      ゲートウェイは、セキュリティ ポリシーをサポートできないプロキシを介してログオンしようとしたときに、ゲートウェイ ログ ファイルにメッセージを記録します。

この設定の変更は、変更時にログオンしたセッションには影響しません。

--shutdowntimeout Timeoutvalue

ゲートウェイが一部のTCP/IPソケットを閉じた後、クライアントがクローズを完了するまで、クライアントに許可される時間を設定します。クライアントが時間内にクローズを完了しない場合、ゲートウェイは打ち切りクローズを実行して、ソケットを事前に解放します。

Timeoutvalueは5 ~ 3600秒までの値です。Teradataのデフォルトは60秒です。

デフォルトは、ほとんどの状況に適しています。この設定を変更する前に、Teradataサポート センター担当者に相談してください。
-t Timeoutvalue 切断されたセッションを再接続する時間の長さを分単位で決定する。指定された時間までにクライアントが再接続されない場合、そのクライアントは自動的にログオフされる。
切断されたセッションは、この期間中、PEに割り当てられたセッション数に含めてカウントされる。

Teradataのデフォルト設定は20分です。

-u SendConnectRespNoSecurity ゲートウェイが、暗号化された接続応答またはクリアテキストを送信するかどうかを指定する。
SendConnectRespNoSecurityは以下のいずれかの値に指定できます。
  • YESは、ログオン応答がクリア テキスト(暗号化されていない平文)であることを意味します。
  • NOの場合、ログオン応答が暗号化されます。これがデフォルトの設定です。
Teradataでは、接続応答の内容へのアクセスを要求するサードパーティ アクティビティ モニター ソフトウェアを使用する場合を除いて、デフォルト設定を使用することを推奨しています。
-v Vprocnumber このgtwcontrolの呼び出しにおけるvproc固有の設定を適用するvprocを指定する。このオプションを指定しない場合、このvproc固有の設定はすべてのvprocに適用されます。

Vprocnumberは、vprocを識別する0~30719の整数です。

vproc固有のオプションは次のとおりです。 -C、-D、-E、-H、-J、-K、-M、-O、-R、-S、-W、および -Y。

-x RequireConfidentiality 入力メッセージを暗号化することがゲートウェイで必要かどうかを設定します。ゲートウェイからの出力は、受け取る入力のセキュリティ レベルと同じになります。
RequireConfidentialityは、以下のいずれかの値に設定できます。
  • NO (デフォルト)の場合、入力メッセージを暗号化する必要はありません。
  • YESの場合、入力メッセージを暗号化する必要があります。メッセージは、ネットワーク セキュリティ ポリシー実施機能がサポートされているクライアントによって自動的に暗号化されます。<セキュリティ管理ガイド>を参照してください。暗号化されていないメッセージを受け取ると、ゲートウェイにより、自動的にセッションが強制的にオフにされます。

    次のメッセージ タイプは暗号化されていなくても受け入れられます。テスト、アボート、割り当て、再割り当て、メソッド、SSO、ログオフ、構成。

この設定を変更すると、変更後に開始されたセッションのみが影響を受けます。暗号化がすべてのセッションで実行されるようにするために、Teradataでは、-xがYESに変更された場合にTeradata Databaseを静止状態(アクティビティがない状態)にすることを推奨しています。
-z -o defaultオプションを使用して作成したユーザー定義のデフォルト値を現在のすべてのホスト グループおよびvprocに適用するように、Gateway Controlを設定する。
-Z 元のTeradataのデフォルト設定を現在のすべてのホスト グループおよびvprocに適用するように、Gateway Controlを設定する。

-o defaultオプションを使用して作成した一連のユーザー定義のデフォルト値が存在する場合、それらのデフォルト値は再構成の後にも、新しいホスト グループおよびvprocに適用されます。これらのユーザー定義のデフォルト値を元のTeradataのデフォルト設定にリセットし、新しいホストおよびvprocで元のTeradataのデフォルト設定が使用されるようにするには、次に示すように、-o defaultオプションに-Zオプションを組み合わせて使用します。

gtwcontrol -o default -Z
以下のオプションは、Teradataサポート センター担当者の指示のもとで、ゲートウェイのデバッグのみに使用します。
オプション 説明
-l logonname リモート ゲートウェイ グローバル アクセス用。
-A 割り当て追跡を切り替える。Teradataのデフォルト設定はOFFです。
-C 接続追跡を切り替える。Teradataのデフォルト設定はOFFです。
-D no gtwdieを切り替える。Teradataのデフォルト設定はOFFです。
-E イベント追跡を切り替える。Teradataのデフォルト設定はOFFです。

イベント追跡Eはアクションをログに記録しない。

-H 接続ヒープ トレースを切り替える。Teradataのデフォルト設定はOFFです。
-I 対話型モードを切り替える。Teradataのデフォルト設定はOFFです。
-J LANエラーのログを切り替える。Teradataのデフォルト設定はOFFです。

LAN関連のすべてのエラーをログに記録します(ゲートウェイが適切に処理できた場合でも)。

-K セッションctxロック トレースを切り替える。Teradataのデフォルト設定はOFFです。

このオプションは、セッションの文脈をマルチ プロセッサ セーフにするセッション ロッキングを示す。

-M メッセージ追跡を切り替える。Teradataのデフォルト設定はOFFです。
-N TDNEGOによるセキュリティ メカニズム選択のロギングを切り替える。TDNEGOが正しくないセキュリティ メカニズムを選択している場合は、トラブルシューティングに使用される。Teradataのデフォルト設定はOFFです。
-O エラー時のLANヘッダー出力を切り替える。Teradataのデフォルト設定はOFFです。

エラー メッセージをゲートウェイ ログ ファイルに書き込むようにします。

-R xport log allを切り替える。Teradataのデフォルト設定はOFFです。

デフォルトでは、xport追跡はすべてのLAN操作をログに記録するわけではない。xport log allオプションによって、すべてのLAN操作が記録されるようになる。

このオプションは、トレースXがオンの場合にのみ有効です。

-S アクション ログを切り替える。Teradataのデフォルト設定はOFFです。

Sオプションは、アクション追跡をオンにする。Sオプションは、追跡Eがオンの場合にのみ有効。

-T ゲートウェイ テスト使用可能性を切り替える。Teradataのデフォルト設定はOFFです。
-U tdgss追跡を切り替える。Teradataのデフォルト設定はOFFです。
-Uオプションを使用すると、tdgss関連エラーがゲートウェイ ログ ファイルに記録され、問題診断に役立ちます。
-W デバッガー接続待機を切り替える。Teradataのデフォルト設定はOFFです。
-X xport追跡を切り替える。Teradataのデフォルト設定はOFFです。
-Y 処理追跡を切り替える。Teradataのデフォルト設定はOFFです。