管理の手引き


導入システムのためのユーザー ID およびグループの選択

機密保護の問題は、製品がインストールされたときから、DB2 管理者にとって重要なことです。 プラットフォーム固有のそれぞれの概説およびインストール では、 DB2 の計画、インストール、および構成に必要なすべての情報を提示しています。

DB2 のインストールを完了させるには、ユーザー名、グループ名、 およびパスワードが必要となります。 インストール時に、管理者はこれらの要件ごとに省略時値を使用します。 一度、DB2 のインストール時にデフォルトが使用されると、 データベースが常駐するインスタンスを作成する前に、管理者は新しいユーザー名、 グループ名、およびパスワードを作成するよう強く勧められます。 新しいユーザー名、グループ名、およびパスワードを使用することにより、 デフォルトを知り、それからインスタンスおよびデータベース内で不適切な方式でそれらを使用する、 管理者以外のユーザーのリスクを最小限にします。

DB2 のインストールの後に続く別の機密保護勧告は、 ユーザーに授与されたデフォルト特権の変更です。 インストール処理の間、システム管理 (SYSADM) の特権は、 各オペレーティング・システム上で下記のユーザーにデフォルトにより与えられます。

OS/2
ユーザー・プロファイル管理 (UPM) 管理者グループまたはローカル管理者グループに属する有効な DB2 のユーザー ID。

Windows 95 または Windows 98
あらゆる Windows 95 または Windows 98 ユーザー。

Windows NT または Windows 2000
管理者グループに属する有効な DB2 のユーザー名。

UNIX
インスタンス所有者のユーザー ID の 1 次グループに属する有効な DB2 のユーザー名。

SYSADM 特権は、DB2 の中の使用可能な特権の最も強力なセットです。 (特権については、この章の後の方で説明されています。) その結果、これらのユーザーのすべてがデフォルトによって、 SYSADM 特権を持つことを望むことはできません。 DB2 は、グループおよび個々のユーザー ID に特権を与えたり、 取り消したりする能力を管理者に付与しています。

グループおよびユーザー ID を作成し、そして割り当てるプラットフォーム固有の情報は、 それぞれの概説およびインストール に見いだせます。 データベース・マネージャーの構成パラメーター SYSADM_GROUP を更新することにより、 管理者はどのグループをシステム管理者特権を持つシステム管理グループとして定義するかを制御することができます。 DB2 インストールとその後のインスタンスだけでなく、 さらにデータベース作成の機密保護要件を完成するために、 下記のガイドラインに従わなければなりません。

システム管理グループと定義される (SYSADM_GROUP を更新することにより) グループが、 少なくとも 1 つは存在しなければなりません。 このグループの名前を使用すれば、 インスタンス所有者のために作成されたグループのように簡易識別することができます。 このグループに属するユーザー ID およびグループは、 それぞれのインスタンスに対してシステム管理者権限を持っています。

特定インスタンスに関連付けられていると容易に認識される、 インスタンス所有者ユーザー ID を作成することを考慮する必要があります。 このユーザー ID は、 そのグループの名前の 1 つとして上記で作成された SYSADM グループの名前を持つ必要があります。 別の勧告は、インスタンス所有者のユーザー ID をインスタンス所有者グループの一員としてだけに使用し、 他のグループでは使用しないようにすることです。 このようにすることによって、 インスタンス環境を変更できるユーザー ID および グループが増えるのを制御できます。

作成されたユーザー ID は、 インスタンス内のデータおよびデータベースへの入力前に認証を可能にするため、 1 つのパスワードと必ず関連付けてください。 パスワード作成時の勧告は、編成のパスワード命名ガイドラインに従うことです。

Windows NT プラットフォームについての考慮事項

エンタープライズ拡張エディション (Windows NT 版) で作業する場合、 システム管理 (SYSADM) 権限は、 DB2 ユーザー・アカウントが定義されているマシンのローカル管理者グループに属している、 有効なあらゆる DB2 ユーザー・アカウントに付与されます。

たとえば、 ユーザーがあるドメイン・アカウントにログオンし、 DB2 データベースへのアクセスを試みる場合、 DB2 はドメイン・コントローラーを調べて、 グループ (管理者のグループも含む) を列挙します。 この動作は、以下のいずれかの方法で変更できます。

  1. レジストリー変数 DB2_GRP_LOOKUP = local を設定して、 ドメイン・アカウント (またはグローバル・グループ) をローカル管理者グループに追加します。
  2. データベース・マネージャー構成ファイルを更新して、 新しいグループを指定します。 そのグループがローカル・マシンで列挙されるようにするには、 DB2_GRP_LOOKUP レジストリー変数も設定しなければなりません。

Windows NT ドメイン環境のデフォルトでは、 インスタンスに対する SYSADM 権限を付与されるのは、 プライマリー・ドメイン・コントローラー (PDC) の管理者グループに属しているドメイン・ユーザーだけです。 DB2 は必ずアカウントが定義されているマシンで許可を行うので、 サーバーのローカル管理者グループにドメイン・ユーザーを追加しても、 そのグループにはドメイン・ユーザー SYSADM 権限は付与されません。

PDC の管理者グループにドメイン・ユーザーが追加されないようにするには、 グローバル・グループを作成し、 SYSADM 権限を付与するユーザー (ドメインとローカルの両方) を追加します。 これを行うには、以下のコマンドを入力します。

   DB2STOP
   DB2 UPDATE DBM CFG USING SYSADM_GROUP global_group
   DB2START

UNIX プラットフォームについての考慮事項

UNIX ベースのプラットフォームの場合、 分離されたユーザー定義関数 (UDF) およびストアード・プロシージャーのグループを作成しなければならず、 かつ分離されたユーザー定義関数またはストアード・プロシージャーを使用するすべてのユーザー ID は、このグループのメンバーでなければなりません。 SYSADM グループの場合もそうですが、 分離 UDF またはストアード・プロシージャーのグループ名は簡易識別を可能にしてください。 分離 UDF またはストアード・プロシージャーに属するユーザー ID は、 デフォルトとしてグループに関連しているどんな権限および特権でも所有しています。

機密保護の理由で、インスタンス名を分離 ID として使用しないことをお勧めします。 ただし、分離 UDF またはストアード・プロシージャーを使用する計画がないならば、 別のユーザー ID を作成する代わりに分離 ID をインスタンス名に設定することができます。

勧告は、このグループに関連付けられていると認識されるユーザー ID を作成することです。 分離 UDF およびストアード・プロシージャーのユーザーは、 インスタンス作成スクリプト (db2icrt ... -u <FencedID>) のパラメーターとして指定されます。 DB2 クライアントまたは DB2 ソフトウェア開発者キットをインストールする場合、 これは必須ではありません。

一般的な規則

すべてのオブジェクトとユーザーの命名について規則があります。 これらの規則には、作業しているプラットフォームに特有のものもあります。 たとえば、名前に大文字と小文字を使用することに関連した規則があります。

他の命名規則については、付録 A, 命名規則を参照してください。

db2icrt コマンドはインスタンス所有者のホーム・ディレクトリーの下に、 メイン SQL ライブラリー (sqllib) ディレクトリーを作成します。


[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]