管理の手引き


ディレクトリー・サービス機密保護

DB2 コネクト・ゲートウェイのない環境で DCE ディレクトリー・サービスを使用している場合は、 認証はデータベース・サーバーにアクセスする他のクライアントの場合と同様に用いられます。 詳細については、サーバーに対する認証方式の選択を参照してください。

DB2 コネクト・ゲートウェイのある環境で DCE ディレクトリー・サービスを使用する場合は、 DB2 コネクト管理者がユーザー名とパスワードの妥当性検査を行う場所を決めます。 DCE ディレクトリーを用いて、以下を指定します。

表 74 には、これらの値の可能な組み合わせ、 およびこの各組み合わせに対して妥当性検査を実行する場所が示してあります。 次の表に示されている組み合わせは、 DCE ディレクトリー・サービスを持つ DB2 コネクトによってサポートされています。

表 74. APPC 接続を使用する DCE で有効な機密保護のシナリオ
サーバーのデータベース・ オブジェクト 経路指定 オブジェクト 妥当性検査
事例 認証 機密保護 ゲートウェイでの認証
1 CLIENT SAME 0 リモート・クライアント (または DB2 コネクト・ワークステーション)
2 CLIENT SAME 1 DB2 コネクト・ワークステーション
3 SERVER PROGRAM 0 DRDA サーバー
4 SERVER PROGRAM 1 DB2 コネクト・ワークステーションと DRDA サーバー
5 DCE NONE 適用されない DCE

表 75 には、これらの値の可能な組み合わせ、 およびこの各組み合わせに対して TCP/IP 接続を使用して妥当性検査を実行する場所が示してあります。 次の表に示されている組み合わせは、 DCE ディレクトリー・サービスを持つ DB2 コネクトによってサポートされています。

表 75. TCP/IP 接続を使用する DCE で有効な機密保護シナリオ
事例 認証 ゲートウェイでの認証 妥当性検査
1 CLIENT 0 クライアント
2 CLIENT 1 DB2 コネクト・ワークステーション
3 SERVER 0 DRDA サーバー
4 適用されない 適用されない なし
5 DCE 適用されない DCE

どの組み合わせも APPC と TCP/IP の両方に適用されます。それぞれについて、 以下にさらに詳しく説明します。

  1. ユーザー名とパスワードは、リモート・クライアントでだけ妥当性検査が行われる。 (ローカル・クライアントの場合は、 ユーザー名とパスワードは DB2 コネクト・ワークステーションでだけ妥当性検査が行われる。)

    ユーザーは、最初にサインオンした場所で、認証されることになります。 ユーザー ID はネットワークで送信されますが、 パスワードがそのように送信されることはありません。 すべてのワークステーションに十分な機密保護機能がある場合にのみ、 このタイプの機密保護を使用してください。

  2. ユーザー名とパスワードは、 DB2 コネクト・ワークステーションでだけ妥当性検査が行われる。 パスワードはネットワークでリモート・クライアントから DB2 コネクト・ワークステーションに送信されますが、 DRDA サーバーに送信されることはありません。
  3. ユーザー名とパスワードは、DRDA サーバーでだけ妥当性検査が行われる。 パスワードはネットワークでリモート・クライアントから DB2 コネクト・ワークステーションに送信され、 また、DB2 コネクト・ワークステーションから DRDA サーバーに送信されます。
  4. ユーザー名とパスワードは、DB2 コネクト・ワークステーションと DRDA サーバーの両方で妥当性検査が行われる。 パスワードはネットワークでリモート・クライアントから DB2 コネクト・ワークステーションに送信され、 また、DB2 コネクト・ワークステーションから DRDA サーバーに送信されます。

    妥当性検査が 2 つの場所で実行されるため、 DB2 コネクト・ワークステーションと DRDA サーバーの両方で保持されているユーザー名とパスワードのセットは同じである必要があります。

  5. DCE トークンは DCE 機密保護サーバーから入手される。

注:

  1. AIX ベースのシステムの場合、 機密保護タイプ SAME を使用するユーザーはすべて、 AIX システム・グループに属している必要があります。

  2. リモート・クライアントを持つ AIX ベースのシステムの場合、 DB2 コネクト・ワークステーション上で実行する DB2 コネクト製品のインスタンスは AIX システム・グループに属している必要があります。

  3. DRDA サーバーへのアクセスは、それ自身の機密保護機構やサブシステム (たとえば、 仮想記憶通信アクセス方式 (VTAM) および資源アクセス管理機能 (RACF)) によって制御されます。 保護されたデータベース・オブジェクトへのアクセスは、 SQL の GRANT および REVOKE ステートメントによって制御されます。


[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]