必要なIPフィルタを設計すると、後でXML制限文書の作成に使用できます。
次のプロシージャの例では、IP XML制限の設計で作成したフィルタを使用します。
- viまたはメモ帳などのテキスト エディタを開きます。
- 必要な情報や構成要素のタグを指定してXMLドキュメントのフレームワークを作成します。
<?xml version="1.0" encoding="UTF-8"?> <tdat name="tdat"> <system name="gizmo"> <users> ... </users> <ipfilters> ... </ipfilters> </system> </tdat>
説明:
用語または構成要素 説明 <?xml version="1.0" 文書生成に使用するXMLのバージョンを示す。この仕様は参照用のみ。 encoding="UTF-8"?> XML文書で使用する文字セットを定義する。 <tdat name="tdat"> XMLドキュメントのルート要素の名前を指定する。 tdatを参照してください。
<system name="gizmo"> IP制限が適用されるシステムの名前を指定する。その名前は、影響を受けるユーザーがデータベースへログオンするときに指定するtdpidに対応する必要がある。 systemを参照してください。
<users> ... </users> XMLドキュメントの制限が適用されるユーザーリストの最初と最後の構成要素タグ。 usersを参照してください。
<ipfilters> ... </ipfilters> XML制約を定義するフィルタ定義リストの最初と最後の構成要素タグ。 ipfiltersを参照してください。
</system> </tdat> これらの構成要素タグによりXML IP制限文書を閉じる。 - それぞれのユーザーについてユーザー要素タグおよび有効なTeradata Databaseユーザー名を入力することにより、制約によって影響を受けるユーザーのリストを追加します。このリストには、文書内のフィルタの影響を受けるすべてのユーザーが含まれている必要があります。
<users> <user name="drct01" tag="xyzzy"/> <user name="perm01" tag="noside"/> <user name="extuser" tag="shazam"/> </users>
説明:
用語 説明 <user name="drct01" 有効なTeradata Databaseユーザー名。 tag="xyzzy"/> フィルタのappliesto tagref属性にタグ値が表示される場合に、対応するTeradata Databaseのユーザー名をIPフィルタにリンクさせるXMLドキュメント タグ。 - すべてのユーザーについてのIP制限を定義するIPフィルタを追加します。
<ipfilters> <ipfilter name="filter1" type="restrictive"> <allow ip="141.206.0.0/255.255.0.0"/> <deny ip="141.206.35.0/255.255.255.0"/> <appliesto tagref="xyzzy"/> <appliesto tagref="shazam"/> </ipfilter> <ipfilter name="filter2" type="permissive"> <deny ip="141.206.35.0/255.255.255.0"/> <allow ip="141.206.35.175/255.255.255.255"/> <appliesto tagref="noside"/> <appliesto tagref="xyzzy"/> </ipfilter> </ipfilters>
説明:
用語 説明 <ipfilter name="filter1" type="restrictive"> 制限文書にリスト表示されているプライマリ フィルタ、restrictiveフィルタの名前を指定する。 <allow ip="141.206.0.0/ フィルタ1で許可されるIPの範囲を指定する。 このフィルタは、deny構成要素に明示的に表示されない限り、141.206サブネット内のIPアドレスにデータベース アクセスを許可します。
フィルタはRestrictiveであるため、 allow構成要素で指定されている以外のすべてのIPのアクセスを拒否します。
255.255.0.0"/> 許可要素マスクを定義する。3番目と4番目のセグメントがゼロになっていることにより、フィルタは許可されたIPに対して受信したIPアドレスの最初の16ビットだけをテストする。 最初の16ビットが141.206サブネットを指定している限り、フィルタはゼロが表記されているセグメントに値を有するIPのアクセスを許可する。
<deny ip="141.206.35.0/ サブネットが許可要素で指定された141.206範囲内であっても、141.206.35サブネット内のIPへのアクセスを拒否する拒否フィルタの範囲を指定する。 255.255.255.0"/> deny構成要素マスクを定義する。 このマスクにより、 フィルタは拒否されたIPと照らし合わせて、受信IPアドレスの最初の24ビットをテストする。 ゼロは、フィルタがdenyテストで受信IPアドレスの最後の8ビットを使用していないことを表わする。
<appliesto tagref="xyzzy"/> <appliesto tagref="shazam"/> drct01およびperm01ユーザーに対して、これらのユーザーのタグ属性であるxxzzyおよびshazamを指定するため、フィルタ1で説明する制約を適用する。 それぞれのappliesto tagref値は、ドキュメントのユーザー要素にリストされる個別のTeradata Databaseユーザーのタグ属性に対応しなければなりません。<ipfilter name="filter2" type="permissive"> 制限文書に記載されているセカンダリ フィルタ、Permissiveフィルタの名前を指定する。 <deny ip="141.206.35.0/ filter2に拒否されたIP。 このフィルタは、allow構成要素に明示的に表示されない限り、141.206.35サブネット内のIPアドレスによるデータベース アクセスを拒否する。
このフィルタはPermissiveであるため、deny構成要素で指定されていないその他すべてのIPにアクセスを許可する。
255.255.255.0"/> マスクの小数点で区切られた各セグメントのおける255は、アクセス拒否の対象とするIPアドレスの対応するセグメントをフィルタがテストすることを示す。 ゼロは、IPアドレスの対応するセグメントのテストを行なっていないことを示す。
このマスクにより、 フィルタは拒否されたIPと照らし合わせて、受信IPアドレスの最初の24ビットをテストする。
<allow ip="141.206.35.175/ filter2で許可されるIPの例外。 このフィルタは、deny構成要素のより一般的なパラメータで無効に設定されている場合にも、IPアドレス141.206.35.175にデータベース アクセスを許可する。
255.255.255.255"/> 許可IPマスク。マスクの小数点で区切られた各セグメントにおける255は、許可するアクセスの対象とするIPアドレスの対応するセグメントをフィルタがテストすることを示す。 このマスクにより、 フィルタは許可されたIPと照らし合わせて、受信IPアドレスの最初の32ビットをテストする。
<appliesto tagref="noside"/> <appliesto tagref="xyzzy"/> フィルタ2で説明される制約はデータベース ユーザーすなわちnosideおよびxxzzyに適用される。 それぞれのappliesto tagref値は、ドキュメントのユーザー要素にリストされる個別のTeradata Databaseユーザーのタグ属性に対応しなければなりません。