2.16 - Teradataターゲット コネクタのセキュリティ ガイドライン - Teradata QueryGrid

Teradata® QueryGrid™ インストールとユーザー ガイド

Product
Teradata QueryGrid
Release Number
2.16
Release Date
2021年6月
Content Type
インストール
ユーザー ガイド
構成
管理
Publication ID
B035-5991-061K-JPN
Language
日本語 (日本)
Teradataコネクタがターゲット コネクタとして機能する場合は、Trusted、TD2、LDAP、Kerberos、およびKerberos SSOセキュリティ メカニズムがサポートされます。各セキュリティ メカニズムに対し、次の考慮事項が適用されます。Teradata QueryGrid互換性マトリックス
  • イニシエータ コネクタから割り当てられていて、そこでやり取りされるユーザー名およびパスワードは、Teradataターゲット コネクタのプロパティに対して定義されているものよりも優先します。

    例えば、Teradataイニシエータが許可オブジェクトを提供する場合は、セキュリティ関連コネクタのプロパティ設定よりも優先します。これらのコネクタ プロパティの定義はオプションです。ただし、イニシエータ コネクタによって信頼証明が提供されていない場合は、ユーザー名とパスワードがそのコネクタのプロパティ設定に含まれている必要があります。

  • QueryGridユーザーのデータベースの信頼証明を変更する場合は、コネクタの信頼証明も変更する必要があります。コネクタの信頼証明を更新しないと、古い接続のキャッシュによって、接続がキャッシュで期限切れになった時点で失敗するクエリーを成功させる原因になります。
  • 管理者は、QueryGridポートレットで、イニシエータ エンド ユーザーがリモート システム エンド ユーザーと異なる場合にユーザー マッピングを定義できます。これは、リモート システム上でCONNECT THROUGHを付与したユーザーです。
  • ユーザー マッピングの場合、クエリーを実行依頼するローカル ユーザーは、クエリーを実行依頼するリモート ユーザーにマップされます。ユーザー マッピングは次のように適用されます。
    • Teradataイニシエータ コネクタの場合、ユーザー マッピングを使用するのは、クエリーを実行依頼しているローカル ユーザーが認証元のユーザーと同じにならないようにDEFINER許可がユーザー マッピングに設定されている場合です。
    • ターゲット コネクタの場合、ユーザー マッピングが適用可能になるのは、TRUSTED認証メカニズムを使用して設定されており、リモート ユーザーが認証元のユーザーと同じでない場合です。

Trusted

信頼済みユーザーまたはサービス アカウントは、ローカル ユーザーの代わりに動作するプロキシ ユーザーです。信頼済みセッションを構成するには、CONNECT THROUGH権限をプロキシ ユーザーまたは永久エンド ユーザーに付与します。これを行なうには、リモート システムで次のステップを実行します。

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system
TRUSTEDセキュリティ モデルを使用するTeradataターゲット コネクタには、次のプロパティ設定が必要です。
設定 説明
認証メカニズム Trustedに設定します。
ユーザー名 プロキシ ユーザー名に設定します。
パスワード プロキシ ユーザーのパスワードに設定します。

TD2

TD2セキュリティ モデルを使用するTeradataターゲット コネクタには、次のプロパティ設定が必要です。
設定 説明
認証メカニズム TD2に設定します。
ユーザー名 許可されたユーザー名に設定します。
パスワード 許可されたユーザーのパスワードを設定します。

LDAP

ユーザー名とパスワードに関与するLDAP認証を使用するようにTeradataターゲット コネクタを構成できます。つまり、Teradataターゲットを含むクエリーは許可するためにLDAPセキュリティ メカニズムを使用して送信できます。例えばPresto-Teradata間接続ではLDAPがサポートされています。次のプロパティは、LDAPをTeradataターゲット コネクタで使用するように構成する必要があります。
設定 説明
認証メカニズム LDAPに設定します。
ユーザー名 LDAPディレクトリのユーザー名に設定します。
パスワード ユーザーのパスワードに設定します。

Teradataターゲット コネクタでLDAP認証を使用するように構成する方法については、<セキュリティ: ユーザー認証とディレクトリ統合オレンジ ブック, 541-0004998>を参照してください。

Kerberos

QueryGridを構成する前に、Teradata Kerberosのセットアップを完了する必要があります。以下のプロパティ設定は、Kerberosセキュリティ モデルを使用したTeradataターゲット コネクタに必要です。
設定 説明
認証メカニズム Kerberosに設定します。
ユーザー名 Kerberosプリンシパル名に設定します。
パスワード Kerberosプリンシパル名のパスワードに設定します。

QueryGridは、パスワードを使用してプリンシパルを認証します。

レルム Kerberosレルムに設定します。

詳細については、Teradataコネクタとリンクのプロパティを参照してください。

Kerberos SSO

Teradata QueryGridでは、Teradata-Teradata間のリンクでKerberosシングル サインオン(SSO)認証メカニズムを使用することで、Kerberos SSO機能がサポートされます。QueryGridを構成する前に、イニシエータ システムとターゲット システムでKerberosの設定を完了しておく必要があります。接続を確立するとき、Kerberosトークンがイニシエータからターゲット データベースに伝送されます。Kerberos関連のユーザー名、パスワード、レルムなどのプロパティは、コネクタのプロパティまたは許可オブジェクトに指定されている場合は無視されます。

詳しくはKerberosシングル サインオンを参照してください。

Teradataゲートウェイの暗号化

Teradataゲートウェイの暗号化はサポートされていません。