2.16 - Oracleターゲット コネクタのセキュリティ ガイドライン - Teradata QueryGrid

Teradata® QueryGrid™ インストールとユーザー ガイド

Product
Teradata QueryGrid
Release Number
2.16
Release Date
2021年6月
Content Type
インストール
ユーザー ガイド
構成
管理
Publication ID
B035-5991-061K-JPN
Language
日本語 (日本)
ターゲット コネクタとして動作するOracleコネクタは、データベース(DBパスワード)、オペレーティング システム(OS Auth)、暗号化(SSLまたはNNE)、およびKerberosセキュリティ メカニズムのための認証をサポートしています。Teradataコネクタでは、ターゲット コネクタとして機能する場合に、Trusted、LDAPおよびKerberosのセキュリティ メカニズムがサポートされています。次の考慮事項は、各セキュリティ メカニズムに適用されます。
  • イニシエータ コネクタから割り当ておよび通信されるユーザー名およびパスワードは、Oracleターゲット コネクタのプロパティに対して定義されているものよりも優先します。

    例えば、Teradataイニシエータが許可オブジェクトを提供する場合、Teradataイニシエータの設定はセキュリティ関連のOracleコネクタ プロパティ設定よりも優先します。例えば、Teradataイニシエータが許可オブジェクトを提供する場合は、セキュリティ関連コネクタのプロパティ設定よりも優先します。これらのコネクタ プロパティの定義はオプションです。ただし、イニシエータ コネクタによって信頼証明が提供されていない場合は、ユーザー名とパスワードがそのコネクタのプロパティ設定に含まれている必要があります。例えば、Teradataイニシエータが許可オブジェクトを提供する場合は、セキュリティ関連コネクタのプロパティ設定よりも優先します。これらのコネクタ プロパティの定義はオプションです。ただし、イニシエータ コネクタによって信頼証明が提供されていない場合は、ユーザー名とパスワードがそのコネクタのプロパティ設定に含まれている必要があります。

  • OS Auth認証を使用している場合、管理者はQueryGridポートレットでユーザー マッピングを定義できます。
  • ユーザー マッピングの場合、クエリーを実行依頼するローカル ユーザーは、クエリーを実行依頼するターゲット ユーザーにマップされます。ユーザーマッピングは、Oracle データベースが OS Auth メカニズムを使用してセットアップされ、ターゲットユーザーが認証ユーザーと同じでない場合に適用できます。

認証

データベース
Oracleは、暗号化された信頼証明とユーザー パスワードをデータ ディクショナリに格納し、データベースへの接続を試みるユーザーを認証します。
DBパスワード認証を使用するOracleターゲット コネクタには、次のプロパティ設定が必要です。
設定 説明
認証メカニズム DBパスワードに設定します。
ユーザー名 (オプション) 承認されたユーザー名に設定します。
パスワード (オプション) 承認されたユーザーのパスワードを設定します。
オペレーティング システム
オペレーティング システム認証オプションは、オンプレミス システムでのみ使用できます。
OS Auth認証を使用するOracleターゲット コネクタには、次のプロパティ設定が必要です。Teradata Connectorのユーザー名は、Oracleコネクタのプロパティで設定されたユーザー名とパスワードより優先します。
設定 説明
認証メカニズム OS Authに設定します。
ユーザー名 (オプション) 承認されたユーザー名に設定します。
Kerberos

QueryGridを構成する前に、Teradata Kerberosのセットアップを完了する必要があります。QueryGridを構成する前に、Teradata Kerberosのセットアップする必要があります。以下のプロパティ設定は、Kerberosセキュリティ モデルを使用したTeradataターゲット コネクタに必要です。Teradata Connectorのユーザー名は、Oracleコネクタのプロパティで設定されたユーザー名とパスワードを優先します。パスワードとキータブの両方を選択して認証を行なうことができ、両方を指定した場合、キータブ認証よりもパスワードが優先されます。

設定 説明
認証メカニズム Kerberosに設定します。
ユーザー名 (オプション) Kerberosプリンシパル名に設定します。
パスワード (オプション) Kerberosプリンシパル名のパスワードに設定します。

QueryGridは、パスワードを使用してプリンシパルを認証します。

Keytab Kerberos keytabファイルの絶対パスに設定します。

詳細については、Oracleコネクタとリンクのプロパティを参照してください。

SSL
SSLを使用すると、SSL経由で通信するように構成されている任意のOracleデータベース サーバーに対してクライアントを認証できます。SSL認証は、DBパスワードやKerberosなど他の認証方式と組み合わせて使用することができます。SSLを設定するときは、次のコネクタ プロパティを構成する必要があります。
SSL認証を設定するには、SSL暗号化を設定する必要があります。
設定 説明
認証メカニズム SSLに設定します。
暗号化メカニズム SSLに設定します。
SSL認証 次のいずれかのオプションを使用して、アクティブとスタンバイのサーバー間で使用する認証のタイプを設定します。
  • Server-サーバーのみがクライアントに対して認証します
  • Server and Client-両方が相互に認証します
  • Neither(なし)-暗号化のみが使用され、認証は行なわれません
ポート 暗号化された通信に使用するポートに設定します。
TrustStoreのパスワード SSL TrustStoreのパスワードを設定します。
TrustStoreパス 検証のためにサーバーから送信されるTrustStore証明書パスを設定します。SSL認証がServerまたはBothに設定されている場合にのみ使用できます。
TrustStoreタイプ SSL TrustStoreのタイプを設定します。
キーストアのパスワード SSLキーストアのパスワードを設定します。
キーストア パス 検証のためにクライアントから送信されるキーストア証明書パスを設定します。SSL認証がServerまたはBothに設定されている場合にのみ使用できます。
キーストア タイプ キーストア タイプを設定します。

暗号化

Oracleデータベースは、セキュア ソケット レイヤー(SSL)またはネイティブ ネットワーク暗号化(NNE)の両方ではなくいずれか一方をサポートするように構成できます。詳細については、Oracleのユーザー マニュアルを参照してください。

SSL
SSLで暗号化された通信は、OracleクライアントとTeradataインスタンスの間で発生します。SSLを設定するときは、次のコネクタ プロパティを構成する必要があります。
設定 説明
暗号化メカニズム SSLに設定します。
SSL認証 次のいずれかのオプションを使用して、アクティブとスタンバイのサーバー間で使用する認証のタイプを設定します。
  • Server-サーバーのみがクライアントに対して認証します
  • Server and Client-両方が相互に認証します
  • Neither-暗号化のみが使用され、認証は行なわれません
ポート 暗号化された通信に使用するポートに設定します。
SSLサーバーDN名 一致するサーバー識別名。SSL認証がserverまたはbothに設定されている場合は、オプションとしてサーバー認証に加えて識別名を一致させることもできます。
TrustStoreパス 検証のためにサーバーから送信されるTrustStore証明書パスを設定します。SSL認証がServerまたはBothに設定されている場合にのみ使用できます。
TrustStoreタイプ SSL TrustStoreのタイプを設定します。
TrustStoreのパスワード SSL TrustStoreのパスワードを設定します。
キーストアのパスワード SSLキーストアのパスワードを設定します。
キーストア パス 検証のためにクライアントから送信されるキーストア証明書パスを設定します。SSL認証がServerまたはBothに設定されている場合にのみ使用できます。
キーストア タイプ キーストア タイプを設定します。
NNE
NNE暗号化を使用すると、データをデータベース インスタンスとの間で移動するときにデータを暗号化できます。
設定 説明
暗号化メカニズム NNEに設定します。
NNE暗号化レベル クライアントまたはクライアントとして動作するサーバーがデータベース インスタンスに接続するときの暗号化動作のレベルに設定します。
NNE暗号化タイプ データベース インスタンスで使用される暗号化アルゴリズムのリスト。アルゴリズムは、いずれかが成功するかリストの末尾に到達するまで、リストされた順序で復号化に使用されます。
NNE統合レベル クライアントまたはクライアントとして動作するサーバーがデータベース インスタンスに接続するときのデータ整合性のレベルに設定します。
NNE統合タイプ チェックサムのアルゴリズムを設定します。