LDAP ディレクトリーの情報にアクセスする前に、 アプリケーションまたはユーザーは、LDAP サーバーによって認証されます。 この認証作業のことを、LDAP サーバーに対するバインド といいます。
匿名のユーザーが LDAP ディレクトリーに格納されている情報を追加、削除、 あるいは変更してしまわないように、その情報にアクセス制御を設定することは重要です。
アクセス制御は、デフォルトでコンテナー・レベルで継承され、適用できるものです。 新しいオブジェクトが作成される場合、その新しいオブジェクトは、 親オブジェクトと同じ機密保護属性を継承します。 コンテナー・オブジェクトにアクセス制御を定義するときには、 LDAP サーバーで使用できる管理ツールを使えます。
デフォルトでは、アクセス制御は以下のように定義されています。
注: | 認証検査は必ず LDAP サーバーによって実行されます。 DB2 によって実行されることはありません。 LDAP 認証検査は DB2 認証とは関係ありません。 SYSADM 権限を持つアカウントまたは許可 ID であっても、 LDAP ディレクトリーに対するアクセス権は持っていない可能性があります。 |
LDAP コマンドまたは API を実行するときに、 バインド識別名 (bindDN) とパスワードを指定しなかった場合、 DB2 はデフォルトの証明書を使用して LDAP サーバーにバインドします。 この証明書の権限では要求したコマンドを実行できない場合もあります。 その場合、エラーが戻されます。
DB2 コマンドまたは API では、 USER 文節と PASSWORD 文節を使用してユーザーの bindDN とパスワードを明示的に指定できます。 DB2 コマンドについて詳しくは コマンド解説書 を、 DB2 API について詳しくは 管理 API 解説書 を参照してください。
Active Directory において、DB2 データベースとノードの各オブジェクトは、 DB2 サーバーがインストールされているマシンのコンピューター・オブジェクトの下に作成されます。 データベース・サーバーを Active Directory に登録したり、 データベースのカタログを Active Directory に作成するためには、 コンピューター・オブジェクトの下にあるオブジェクトを作成したり更新したりできるだけのアクセス権限が必要です。
デフォルトでは、コンピューター・オブジェクトの下にあるオブジェクトは、 認証を受けたすべてのユーザーが読み取ることができます。 管理者 (Administrators、Domain Administrators、 および Enterprise Administrators グループに属するユーザー) であれば更新することもできます。 特定のユーザーまたはグループにアクセス権限を授与するには、 Active Directory Users and Computer 管理コンソール (MMC) を次のようにして使います。
(「スタート」-->「プログラム」-->「管理ツール (Administration Tools)」 -->「Active Directory Users and Computer」)
ユーザー・レベルの DB2 レジストリー変数および CLI 設定は、 ユーザー・オブジェクトの下にある DB2 プロパティー・オブジェクトで保守されます。 DB2 レジストリー変数または CLI 設定をユーザー・レベルで設定するためには、 そのユーザーに「ユーザー (User)」オブジェクトの下にオブジェクトを作成できるだけのアクセス権限が必要です。
デフォルトでは、 「ユーザー (User)」オブジェクトの下にオブジェクトを作成できるのは管理者だけです。 DB2 レジストリー変数または CLI 設定をユーザー・レベルで設定できるアクセス権限をユーザーに授与するには、 Active Directory Users and Computer 管理コンソール (MMC) を次のようにして使います。
(「スタート」-->「プログラム」-->「管理ツール (Administration Tools)」 -->「Active Directory Users and Computer」)