17.10 - 構文要素 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - データベース ユーティリティ

Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Release Date
2021年7月
Content Type
構成
Publication ID
B035-1102-171K-JPN
Language
日本語 (日本)
-a ExternalAuthentication
次のように、外部認証を有効または無効にします。
ExternalAuthentication 説明
off 外部認証を拒否し、従来のログオンを受け入れる。
on (Teradataのデフォルト) 外部認証と従来のログオンを両方受け入れる。
only 外部認証を受け入れて、従来のログオンを拒否する。
外部認証の詳細については、<Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド、B035-1100>を参照してください。
--auditnetsecurity[={yes|no|ct}]
セキュリティ監査での使用を目的としています。
この設定を変更すると、変更後にログオンするセッションのみが影響を受けます。
次のように、ゲートウェイと通信するクライアント インターフェースで使用される暗号化のレベルをゲートウェイがログに記録できるようにします。
オプション 説明
yes ゲートウェイは、セッションをログオンするConnectメッセージの後に、最初のメッセージのセキュリティ レベルを記録します。その後、ゲートウェイは受信メッセージのセキュリティ レベルの変更を記録します。

これは、yes、no、またはctを指定しない場合のデフォルトです。

no ゲートウェイは受信メッセージのセキュリティ レベルをログに記録しません。

これはこのオプションの初期設定であり、Teradataのデフォルトです(gtwcontrol -Zオプションは、このオプションをnoにリセットします)。

ct ゲートウェイは、cleartextセキュリティ レベルである受信メッセージ(明示的にConfidentialityレベルではないメッセージ) のセキュリティ レベルを記録します。
この情報はゲートウェイ ログに記録されます。
-b { socketbuffersize | default | auto }
SNDおよびRCVバッファ サイズを次のように指定します。
オプション 説明
socketbuffersize バッファ サイズをバイト単位で指定します。

有効範囲は65588バイトから2147483647バイトまでです。

default デフォルト設定を使用するように指定します。ゲートウェイは、ほとんどの状況に適したデフォルト設定を選択します。この設定は、Linuxの自動調整機能によって自動的に設定されますが、データベース ソフトウェアのリリースによって異なります。
TCP/IPおよび SND/RCVバッファ サイズに精通している場合以外は、この設定はTeradataサポート センター担当者の指示のもとでのみ行なう必要があります。
auto  
-c connectiontimeout
ログオン メッセージ タイムアウトを秒単位で制御する。ゲートウェイは、時間内にログオン シーケンスのメッセージを受信できないセッションを終了します。ログオン時のメッセージ所要時間は、connectiontimeout設定の値より短くなるようにします。
値の範囲は5~3600秒。
Teradataのデフォルトは60秒です。
-d
ゲートウェイGDOの現在の設定値を表示する。
-e Eventcnt
イベント トレース エントリの数を指定する。
Teradataのデフォルトは500です。
-F [ OFF | ON ]
このオプションは廃止予定です。使用しないでください。
認証スキーマ用の"ドメイン名の付加"を切り替えます(ユーザーIDを固有に定義するためにドメイン名を必要とする場合)。
Teradataのデフォルト設定はOFFです。
認証方式の詳細については、<Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド、B035-1100>を参照してください。
-f Logfilesize
ログ ファイルの最大サイズを指定する。
有効範囲は1000~2147483647です。
Teradataのデフォルトは5000000。
-g Hostnumber
このgtwcontrolの呼び出しにおけるホスト固有の設定を適用するホスト グループを指定する。このオプションを指定しない場合、このホスト設定はすべてのホスト グループに適用されます。
Hostnumberは、ホスト グループを識別する0~1023の整数です。
ホスト固有のオプションは次のとおりです。-a、-b、-c、-i、-k、-m、-r、-s、-t、-A、-F、-C および-T。
-h
gtwcontrolのオプションのヘルプを表示する。
-i InitialIothreads
LANメッセージの処理のために最初に開始される各タイプのスレッド数を指定する。スレッド数が負荷に合わせて調整される場合、各タイプのスレッド数は、この数を下回ることはありません。
スレッドには2つのタイプがあります。
  • クライアント(つまりTCP/IP接続)からのトラフィックを処理するスレッド
  • データベース(つまりPDE msgsystem)からのトラフィックを処理するスレッド
Teradataのデフォルトは25です。
-j EnableChannelBinding
TDGSS-API認証メカニズムのバインドでチャネル バインドをサポートするこれらのメカニズムに対してより低いネットワーク レイヤーのチャネルを保護できるようにする(PROXYは、現在チャネル バインドをサポートする唯一のメカニズムです)。チャネル バインドは、中間者攻撃を排除するためにより低いレベルのネットワーク レイヤーのエンドポイントを検証します。PROXYメカニズムの場合、チャネル バインドは盗まれた証明書を使用して正規のエンドポイントになりすますことができないようにします。
このオプションは、Teradata Unityと使用することを対象としています。
EnableChannelBindingyesまたはnoにすることができます。
TDGSSの詳細については、<Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド、B035-1100>を参照してください。
-k keepalivetimeout
接続が失われているかどうかの調査をオペレーティング システムが開始するまでに、ゲートウェイとクライアントの接続をアイドル状態にしておく時間を指定する。
keepalivetimeoutには、時間を分単位で指定します。1~120の任意の整数を指定できます。
指定した時間(分単位)にわたって接続がアイドル状態であった場合、ゲートウェイのオペレーティング システムはその接続を介してキープアライブ メッセージを送信し、クライアントのオペレーティング システムから応答があるかどうかを調査します。応答がない場合、ゲートウェイのオペレーティング システムはこの調査を数回繰り返します。
クライアントのオペレーティング システムから応答のない状態が続いた場合、ゲートウェイのオペレーティング システムはその接続を閉じ、その接続を使用しているセッションを切断します。
調査の具体的な回数、および調査間隔は、オペレーティング システムの種類によって異なります。システムによっては、ネットワークを構成する際に、これらの値を変更できるものもあります。これらの値が変更されていない場合、最初の調査が実行されてから、機能していない接続が閉じられるまで、通常は約10分かかります。keepalivetimeoutの値を5に設定した場合、接続が閉じられるまでの実際の所要時間は約15分です。
値が変更された場合、変更を有効にするにはデータベースを再始動する必要があります。
Teradataのデフォルト設定は10分です。
-L [ OFF | ON ]
ログオンの有効化を切り替えます。
Teradataのデフォルト設定はONです。
-m MaximumIothreads
各タイプごとのスレッドの最大数を指定する。スレッド数が負荷に合わせて調整される場合、各タイプのスレッド数は、この数を上回ることはありません。
スレッドには2つのタイプがあります。
  • クライアント(つまりTCP/IP接続)からのトラフィックを処理するスレッド
  • データベース(つまりPDE msgsystem)からのトラフィックを処理するスレッド
Teradataのデフォルトは50。
--monitorlib suboption [,…]
データベース モニターのためのロード可能なライブラリの管理に使用される。そのようなライブラリは、データベース アクティビティ モニター ツールのサードパーティ プロバイダによって提供されます。
suboption 説明
load=[yes|no]
yes 監視ライブラリをロードします。
no (デフォルト) ライブラリを無効にします(すでにロードされている場合)。

この値をnoに設定して無効化されたライブラリは、次のデータベース再起動後まで、この値をyesに設定しても再ロードされません。

copy=[no|yes|verify] 次のように、ゲートウェイがデータベース データを渡すために使用するメソッドを決定します。
no (デフォルト) 元のデータ バッファをモニター ツールに直接渡します。
yes 動的データ バッファを作成し、データを元のデータ バッファから新しいバッファにコピーし、新しいデータ バッファをサードパーティ製モニター プロバイダのモニター ツールに送信します。
verify copy=yesを暗黙的に指定し、(新しいデータ バッファをモニター ツールに送信した後に)ゲートウェイが新しいデータ バッファと元のデータバッファのデータを比較し、そのモニター ツールが新しいデータ バッファのデータを変えなかったことを検証するようにします。
trace=[yes|no|all] 次のように、モニター ライブラリの診断トレース機能を制御します。
yes (デフォルト) モニター ライブラリはエラー メッセージのみをログに記録します。
no モニター ライブラリはエラー メッセージと警告メッセージの両方をログに記録します。
all エラーと警告、およびモニター ライブラリが提供できる他のすべての種類のメッセージを記録します。
-n EnableDeprecatedMessages
次のように、廃止予定の説明的なログオン失敗エラー メッセージを有効にします。
EnableDeprecatedMessages 説明
no (デフォルト) 一般的なログオン失敗エラー メッセージのみをログオンできなかったユーザーに返すようにVantageを設定します。
yes 安全性の低下を伴う、より説明的なログオン失敗エラー メッセージを返します。
ログオンの試行が失敗したときにユーザーに返されるデータベース エラーは、多くの場合、ログオン失敗の原因に関する情報を提供します。この情報を利用して無許可のユーザーがシステムに侵入するというセキュリティ上のリスクが生じます。
この設定にかかわらず、常に、ログオン失敗に関するより詳細な情報がシステム ログおよびDBC.eventlogシステム テーブルに記録されます。システム管理者は、この情報を使用して、特定のログオン失敗の原因を確認できます。また、これらのログでは、システム セキュリティを突破する試みであることを示している可能性のある、繰り返し失敗したログオンの試行について調べることもできます。
-o default
gtwglobalのこの呼び出しで指定されたその他のオプションを、ユーザー定義のデフォルト値のセットとして保存することを示す。これらのデフォルト値は、Teradata Gateway Controlのデフォルト値よりも優先し、システムが再構成された場合に、新しいホスト グループおよびゲートウェイvprocに対して使用されます。
-oオプションは、-gオプションまたは-vオプションと併用できません。
再構成よりも前から存在していたホスト グループおよびvprocは、以前の設定を保持します。カスタム デフォルトを既存のすべてのホスト グループおよびvprocに適用するには、-zオプションを使用します。
gtwcontrol -o defaultを複数回実行することで、個々のデフォルト値、または値のグループを設定することができます。後続の実行によって以前の実行がキャンセルされることはありません。
ユーザー定義のデフォルト値を消去し、出荷時設定を復元するには、このオプションともに-Zオプションを使用します。
-p LocalPEPreferredPercent
新しいセッションをローカルPE (ログオン リクエストを受け入れたゲートウェイを含むノード上のPE)またはリモートPE (異なるノード上のPE)に割り当てるためのVantage優先順位または偏りを決定します。
LocalPEPreferredPercentは、ローカルPEを選択するときの許容差を相対的な使用可能容量(割合)で表わしたものです。値が高ければ、ローカルPEへの新しいセッションの割り当てに与えられる優先順位が高くなります。LocalPEPreferredPercentは範囲[0, 100]内の値です。
LocalPEPreferredPercent 説明
0(デフォルト) 稼働率が非常に低いローカルPEおよびリモートPEで残りの使用可能なセッション容量が同じになった場合は、ローカルPEが優先されます。リモートPEの使用可能なセッション容量がローカルPEより多い場合、セッションはリモートPEに割り当てられます。
100 リモートPEに多くの使用可能なセッション容量がある場合でも、ローカルPEが優先されます。
1~99 ローカルPEへの割り当てに与える優先レベルを引き上げて、リモートPEの方が使用可能なセッション容量が多い場合でも、ローカルPEがセッションを取得できるようにします。
-r IoThreadCheck
すべてのスレッドがビジー状態かどうかをゲートウェイがチェックする分単位の頻度を決める。
すべてのスレッドがビジー状態の場合には、-mオプションで設定したスレッドの最大数を超えない限り、適切なタイプの新しいスレッドが開始されます。
IoThreadCheckの期間内に実行されていないスレッドが複数存在する場合、ゲートウェイは、-iオプションで指定したスレッド数を下回らない限り、1つのスレッドを停止します。
スレッドには2つのタイプがあります。
  • クライアント(つまりTCP/IP接続)からのトラフィックを処理するスレッド
  • データベース(つまりPDE msgsystem)からのトラフィックを処理するスレッド
Teradataのデフォルト設定は10分です。
-s Sessions
ゲートウェイあたりのセッション最大数を指定する。
有効範囲は1~2147483647です。
Teradataのデフォルトは600。
--secpcynotsupported suboption [,…]
この設定の変更は、変更時にログオンしたセッションには影響しません。
このオプションを使用すると、ゲートウェイは、セキュリティ ポリシーが適用されている場合でも、Teradataネットワーク セキュリティ ポリシーをサポートしていない古いクライアント ソフトウェアまたはプロキシからのログオンを受け入れることができます。さらに、これらの古いクライアントまたはプロキシを識別するゲートウェイ ログ メッセージを受け取ることができます。これらのログ メッセージを使用して、置き換えまたはアップグレードの必要がある古いクライアントを識別できます。
プロキシは、TDGSS PROXY認証メカニズムを使用して、他のクライアントに代わってVantageと通信する特殊なクライアントです。現時点では、Teradata® Unity™が唯一のプロキシです。
suboption 説明
logon=[no|all|client|proxy]
no (デフォルト) ゲートウェイは、セキュリティ ポリシーが適用されているときに、セキュリティ ポリシーをサポートできないクライアントまたはプロキシを使用したログオンを許可しません。
all ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントまたはプロキシを使用したログオンを許可します。
クライアント ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントを使用したログオンを許可しますが、ポリシーが適用されているときにセキュリティ ポリシーをサポートできないプロキシを使用したログオンは許可しません。
proxy ゲートウェイは、ポリシーが適用されているときにセキュリティ ポリシーをサポートできないプロキシを使用したログオンを許可します。このようなプロキシは、それらを介して接続するクライアントのセキュリティ ポリシー機能に関する情報を提供しないため、クライアントがセキュリティ ポリシーをサポートしているかどうかにかかわらず、これらのクライアントを使用したログオンは許可されます。

logon=allまたはlogon=proxyの場合、クライアントはセキュリティ ポリシーをサポートしないプロキシを介してログオンできます。これらのプロキシは、クライアントがポリシーに従っていることを保証することも、それ以外の方法でポリシーに従うことができるようにクライアントにポリシーを送信することもできません。このため、このようなプロキシを経由してログオンするすべてのクライアントは、それ以外の方法でポリシーに自動的に従うことができる場合でも、ポリシーの範囲内にいるように手動で構成する必要があります。実際には、ゲートウェイはそのようなプロキシ経由でログオンおよびログオフするクライアント セッションによってセキュリティ違反を識別できますが、1つのポリシー範囲外メッセージが送信されるまでは識別できません。

logon=allまたはlogon=clientの場合、ポリシーの範囲内にいるように手動で構成されていないクライアントは、セキュリティ違反が検出されてセッションがログオフされる前に、セッションごとに1つのポリシー範囲外メッセージを送信できます。

log=[no|all|client|proxy]
no (デフォルト) ゲートウェイは、セキュリティ ポリシーをサポートできない古いクライアントまたはプロキシを識別するために、ゲートウェイ ログ ファイルにメッセージを記録しません。
all ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントまたはプロキシを使用してログオンしようとしたときに、ゲートウェイ ログ ファイルにメッセージを記録します。
クライアント ゲートウェイは、セキュリティ ポリシーをサポートできないクライアントを使用してログオンしようとしたときに、ゲートウェイ ログ ファイルにメッセージを記録します。

このようなプロキシは、クライアントがセキュリティ ポリシーをサポートしない場合にゲートウェイに通知することができないため、セキュリティ ポリシーをサポートしていないプロキシをログオン試行で使用した場合、ゲートウェイはメッセージを記録しません。

proxy ゲートウェイは、セキュリティ ポリシーをサポートできないプロキシを介してログオンしようとしたときに、ゲートウェイ ログ ファイルにメッセージを記録します。
--shutdowntimeout Timeoutvalue
ゲートウェイが一部のTCP/IPソケットを閉じた後、クライアントがクローズを完了するまで、クライアントに許可される時間を設定します。クライアントが時間内にクローズを完了しない場合、ゲートウェイは打ち切りクローズを実行して、ソケットを事前に解放します。
Timeoutvalueは5 ~ 3600秒までの値です。Teradataのデフォルトは60秒です。
デフォルトは、ほとんどの状況に適しています。この設定を変更する前に、Teradataサポート センター担当者に相談してください。
-t Timeoutvalue
切断されたセッションを再接続する時間の長さを分単位で決定する。指定された時間までにクライアントが再接続されない場合、そのクライアントは自動的にログオフされる。
切断されたセッションは、この期間中、PEに割り当てられたセッション数に含めてカウントされる。
Teradataのデフォルト設定は20分です。
--TLS [disable|enable|require|nolegacy] [,trace=no|yes|all]
TLSを構成し、診断トレースをオンにします。
disable|enable|require|nolegacyの設定を変更した場合、変更内容は次回にデータベースを再始動した後に反映されます。
オプション 説明
enable デフォルト。ゲートウェイは、HTTPSポート(デフォルトは443)とレガシー ポート(デフォルトは1025)の両方をリッスンし、HTTPSポートを介した新しいTLS接続と、レガシー ポートを介した新しいレガシー接続を受け入れます。
TLSフラグが有効になっているが、ノードに有効な証明書と秘密鍵のペアがインストールされていない場合は、有効な証明書と秘密鍵のペアがインストールされるまでゲートウェイはHTTPSポートをリッスンできません。
disable ゲートウェイはHTTPSポートをリッスンしません。レガシー ポートのみをリッスンし、レガシー ポートを介した新しいレガシー接続を受け入れます。
require ゲートウェイはHTTPSポートとレガシー ポートの両方をリッスンし、HTTPSポートを介した新しいTLS接続のみを受け入れます。ゲートウェイがレガシー ポートからレガシー接続リクエストを受信すると、ゲートウェイはクライアント アプリケーションにエラーを返します。
nolegacy ゲートウェイはHTTPSポートのみをリッスンし、HTTPSポートを介した新しいTLS接続を受け入れます。レガシー ポートのリッスンは停止されてます。
trace=no|yes|all
no (デフォルト) ゲートウェイは重大なエラー イベントのみをログに記録します。
yes ゲートウェイは、エラー メッセージと情報メッセージの両方をログに記録します。
all ゲートウェイは、エラー、情報、診断ログを含むすべてのメッセージをログに記録します。
-u SendConnectRespNoSecurity
次のように、ゲートウェイが、接続応答を暗号化形式またはクリアテキスト形式のいずれの形式で送信するかを指定します。
SendConnectRespNoSecurity 説明
no (デフォルト) ログオン応答は暗号化されます。
yes ログオン応答はクリア テキスト形式(暗号化されていない平文)です。
Teradataでは、接続応答の内容へのアクセスを要求するサードパーティ アクティビティ モニター ソフトウェアを使用する場合を除いて、デフォルト設定を使用することを推奨しています。
-v Vprocnumber
このgtwcontrolの呼び出しにおけるvproc固有の設定を適用するvprocを指定する。このオプションを指定しない場合、このvproc固有の設定はすべてのvprocに適用されます。
Vprocnumberは、vprocを識別する0~30719の整数です。
vproc固有のオプションは次のとおりです。 -C、-D、-E、-H、-J、-K、-M、-O、-R、-S、-W、および -Y。
-x RequireConfidentiality
この設定を変更すると、変更後に開始されたセッションのみが影響を受けます。暗号化がすべてのセッションで実行されるようにするために、Teradataでは、-xがyesに変更された場合にTeradataシステムを静止状態(ユーザーがログオンしていない状態)にすることを推奨しています。
ゲートウェイが入力メッセージの暗号化を必要としているかどうかを設定します。ゲートウェイからの出力は、ゲートウェイが受け取る入力のセキュリティ レベルと同じになります。
RequireConfidentiality 説明
no (デフォルト) 入力メッセージを暗号化する必要はありません。
yes 入力メッセージを暗号化する必要があります。メッセージは、ネットワーク セキュリティ ポリシー実施機能がサポートされているクライアントによって自動的に暗号化されます。<セキュリティ管理ガイド>を参照してください。ゲートウェイが暗号化されていないメッセージを受け取ると、セッションは自動的にオフになります。

次のメッセージ タイプは暗号化されていなくても受け入れられます。テスト、アボート、割り当て、再割り当て、メソッド、SSO、ログオフ、構成。

-z
-o defaultオプションを使用して作成したユーザー定義のデフォルト値を現在のすべてのホスト グループおよびvprocに適用するように、Gateway Controlを設定する。
-Z
元のTeradataのデフォルト設定を現在のすべてのホスト グループおよびvprocに適用するように、Gateway Controlを設定する。
-o defaultオプションを使用して作成した一連のユーザー定義のデフォルト値が存在する場合、それらのデフォルト値は再構成の後にも、新しいホスト グループおよびvprocに適用されます。これらのユーザー定義のデフォルト値を元のTeradataのデフォルト設定にリセットし、新しいホストおよびvprocで元のTeradataのデフォルト設定が使用されるようにするには、次に示すように、-o defaultオプションに-Zオプションを組み合わせて使用します。
gtwcontrol -o default -Z
以下のオプションは、Teradataサポート センター担当者の指示のもとで、ゲートウェイのデバッグのみに使用します。
-1 logonname
リモート ゲートウェイ グローバル アクセス用。
-A
割り当て追跡を切り替える。Teradataのデフォルト設定はOFFです。
-C
接続追跡を切り替える。Teradataのデフォルト設定はOFFです。
-D
no gtwdieを切り替える。Teradataのデフォルト設定はOFFです。
-E
イベント追跡を切り替える。Teradataのデフォルト設定はOFFです。
イベント追跡Eはアクションをログに記録しない。
-H
接続ヒープ トレースを切り替える。Teradataのデフォルト設定はOFFです。
-I
対話型モードを切り替える。Teradataのデフォルト設定はOFFです。
-J
LANエラーのログを切り替える。Teradataのデフォルト設定はOFFです。
LAN関連のすべてのエラーをログに記録します(ゲートウェイが適切に処理できた場合でも)。
-K
セッションctxロック トレースを切り替える。Teradataのデフォルト設定はOFFです。
このオプションは、セッションの文脈をマルチ プロセッサ セーフにするセッション ロッキングを示す。
-M
メッセージ追跡を切り替える。Teradataのデフォルト設定はOFFです。
-N
TDNEGOによるセキュリティ メカニズム選択のロギングを切り替える。TDNEGOが正しくないセキュリティ メカニズムを選択している場合は、トラブルシューティングに使用される。Teradataのデフォルト設定はOFFです。
-O
エラー時のLANヘッダー出力を切り替える。Teradataのデフォルト設定はOFFです。
エラー メッセージをゲートウェイ ログ ファイルに書き込むようにします。
-R
xport log allを切り替える。Teradataのデフォルト設定はOFFです。
デフォルトでは、xport追跡はすべてのLAN操作をログに記録するわけではない。xport log allオプションによって、すべてのLAN操作が記録されるようになる。
このオプションは、トレースXがオンの場合にのみ有効です。
-S
アクション ログを切り替える。Teradataのデフォルト設定はOFFです。
Sオプションは、アクション追跡をオンにする。Sオプションは、追跡Eがオンの場合にのみ有効。
-T
ゲートウェイ テスト使用可能性を切り替える。Teradataのデフォルト設定はOFFです。
-U
tdgss追跡を切り替える。Teradataのデフォルト設定はOFFです。
-Uオプションを使用すると、tdgss関連エラーがゲートウェイ ログ ファイルに記録され、問題診断に役立ちます。
-W
デバッガー接続待機を切り替える。Teradataのデフォルト設定はOFFです。
-X
xport追跡を切り替える。Teradataのデフォルト設定はOFFです。
-Y
処理追跡を切り替える。Teradataのデフォルト設定はOFFです。