管理の手引き


機密保護についての考慮事項

LDAP ディレクトリーの情報にアクセスする前に、 アプリケーションまたはユーザーは、LDAP サーバーによって認証されます。 この認証作業のことを、LDAP サーバーに対するバインド といいます。

匿名のユーザーが LDAP ディレクトリーに格納されている情報を追加、削除、 あるいは変更してしまわないように、その情報にアクセス制御を設定することは重要です。

アクセス制御は、デフォルトでコンテナー・レベルで継承され、適用できるものです。 新しいオブジェクトが作成される場合、その新しいオブジェクトは、 親オブジェクトと同じ機密保護属性を継承します。 コンテナー・オブジェクトにアクセス制御を定義するときには、 LDAP サーバーで使用できる管理ツールを使えます。

デフォルトでは、アクセス制御は以下のように定義されています。

注:認証検査は必ず LDAP サーバーによって実行されます。 DB2 によって実行されることはありません。 LDAP 認証検査は DB2 認証とは関係ありません。 SYSADM 権限を持つアカウントまたは許可 ID であっても、 LDAP ディレクトリーに対するアクセス権は持っていない可能性があります。

LDAP コマンドまたは API を実行するときに、 バインド識別名 (bindDN) とパスワードを指定しなかった場合、 DB2 はデフォルトの証明書を使用して LDAP サーバーにバインドします。 この証明書の権限では要求したコマンドを実行できない場合もあります。 その場合、エラーが戻されます。

DB2 コマンドまたは API では、 USER 文節と PASSWORD 文節を使用してユーザーの bindDN とパスワードを明示的に指定できます。 DB2 コマンドについて詳しくは コマンド解説書 を、 DB2 API について詳しくは 管理 API 解説書 を参照してください。

Windows 2000 Active Directory の機密保護についての考慮事項

Active Directory において、DB2 データベースとノードの各オブジェクトは、 DB2 サーバーがインストールされているマシンのコンピューター・オブジェクトの下に作成されます。 データベース・サーバーを Active Directory に登録したり、 データベースのカタログを Active Directory に作成するためには、 コンピューター・オブジェクトの下にあるオブジェクトを作成したり更新したりできるだけのアクセス権限が必要です。

デフォルトでは、コンピューター・オブジェクトの下にあるオブジェクトは、 認証を受けたすべてのユーザーが読み取ることができます。 管理者 (Administrators、Domain Administrators、 および Enterprise Administrators グループに属するユーザー) であれば更新することもできます。 特定のユーザーまたはグループにアクセス権限を授与するには、 Active Directory Users and Computer 管理コンソール (MMC) を次のようにして使います。

  1. Active Directory Users and Computer 管理ツールを開始します。

    (「スタート」-->「プログラム」-->「管理ツール (Administration Tools)」 -->「Active Directory Users and Computer」)

  2. 「表示 (View)」から「拡張機能 (Advanced Features)」を選択します。
  3. 「コンピューター (Computers)」コンテナーを選択します。
  4. DB2 がインストールされているサーバー・マシンを表すコンピューター・オブジェクトの上を右クリックし、 「プロパティー (Properties)」を選択します。
  5. 「機密保護 (Security)」タブを選択し、 指定したユーザーまたはグループに必要なアクセス権限を追加します。

ユーザー・レベルの DB2 レジストリー変数および CLI 設定は、 ユーザー・オブジェクトの下にある DB2 プロパティー・オブジェクトで保守されます。 DB2 レジストリー変数または CLI 設定をユーザー・レベルで設定するためには、 そのユーザーに「ユーザー (User)」オブジェクトの下にオブジェクトを作成できるだけのアクセス権限が必要です。

デフォルトでは、 「ユーザー (User)」オブジェクトの下にオブジェクトを作成できるのは管理者だけです。 DB2 レジストリー変数または CLI 設定をユーザー・レベルで設定できるアクセス権限をユーザーに授与するには、 Active Directory Users and Computer 管理コンソール (MMC) を次のようにして使います。

  1. Active Directory Users and Computer 管理ツールを開始します。

    (「スタート」-->「プログラム」-->「管理ツール (Administration Tools)」 -->「Active Directory Users and Computer」)

  2. 「ユーザー (Users)」コンテナーの下にあるユーザー・オブジェクトを選択します。
  3. ユーザー・オブジェクトの上を右クリックし、 「プロパティー (Properties)」を選択します。
  4. 「機密保護 (Security)」タブを選択します。
  5. 「書き込み (Write)」および「すべての子オブジェクトの作成 (Create All Child Objects)」アクセスを 「自身 (Self)」に追加します。
  6. 「継承可能な許可を親からこのオブジェクトへ継承するのを許可する (Allow inheritable permissions from parent to propagate to this object)」チェック・ボックスを選択します。


[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]