セキュリティ ログオン機能のセットアップと使用 - Teradata Director Program

Teradata® TDPリファレンス
Product
Teradata Director Program
Release Number
17.10
Published
2021年6月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/bvb1608578422774.ditamap
dita:ditavalPath
ja-JP/bvb1608578422774.ditaval
dita:id
B035-2416
Product Category
Teradata Tools and Utilities
セキュリティ ログオン機能をセットアップおよび使用する場合の指針として、以下の手順を参考にしてください。
  1. 以下のTeradata SQL文をデータベースに発行して、ヌルのパスワードによるログオン アクセスを付与します。

    GRANT LOGON ON ALL AS DEFAULT

    WITH NULL PASSWORD;

    このコマンドは、データベース システム管理者、またはDBC.LogonRuleへのEXECUTEアクセスを持つ他のユーザーが発行しなければなりません。

    以下の点にも注意してください。
    • ヌルのパスワード権限が適用されるのは、メインフレーム クライアント システムから出されたログオン要求だけである。ネットワーク接続のワークステーションから出された要求には常にパスワードが必要となる。
    • DBCというユーザー名を持つデータベースにログオンしようとする場合には常にパスワードが必要となる。ユーザー名DBCに対しては、TDPは妥当性検査済みログオン機能を使用しない。
    • より制約的なGRANT句を個々のユーザーに適用すれば、AS DEFAULTの指定はオーバーライドできます。
  2. ユーザー ログオン出口インターフェース(TDPLGUX)をカスタマイズした場合には、セキュリティ ログオンをTDPLGUXと使用する方法に示されている指針を再度参照して、追加の変更が必要ないかチェックします。

    TDPLGUXをカスタマイズしていない場合には、使用可能/使用不能状況はセキュリティ ログオン操作に影響を及ぼしません。

  3. 外部セキュリティ マネージャをセットアップして、TDPセキュリティ ログオン機能を処理する。

    RACFの場合:

    1. 汎用アクセス コードNONEを指定したFACILITYクラスでユーザー プロファイルを作成し、ログオンを制御する。
      以下に示す例では、資源名の最初の修飾子がtdpidを、2番目の修飾子がDBCユーザー ログオン名を指定していることに注意してください。
      RDEFINE FACILITY TDP9.TEST01 UACC(NONE)
RDEFINE FACILITY TDP0.BIG_DBC_USER_NAME    - UACC(NONE)
RDEFINE FACILITY TDPX.PAYROLL977263 -   UACC(NONE)
    2. FACILITYプロファイルへの適切な状況権限を各ユーザーに付与します。以下に示す例では、READで十分です。
      PERMIT UACC(READ) USER(TSO0997) -   PROFILE(TDP9.TEST01) CLASS(FACILITY)
PERMIT UACC(READ) USER(TSO0998) -   
   PROFILE(TDP0.DBC_BIG_USER_NAME) -
   CLASS(FACILITY)
PERMIT UACC(READ) USER(TSO0999) -   PROFILE(TDPX.PAYROLL977263) 
-    CLASS(FACILITY)
    3. FACILITYクラスをまだアクティブ化していない場合には、このクラスをアクティブ化します。
      SETROPTS CLASSACT(FACILITY)

    ACF2の場合

    資源規則TYPE(FAC)をセットアップして、ログオン要求を制御するとともに、各ユーザーにアクセスを付与します。以下に示す例では、キーがtdpidを、拡張子がDBCユーザー ログオン名を表わしていることに注意してください。

    SET RESOURCE(FAC)
COMPILE *
 $KEY(TDP9) TYPE(FAC)
TEST01 UID(TS0997) ALLOW
STORE
COMPILE *
 $KEY(TDPX) TYPE(FAC)
STPRE
COMPILE *
 $KEY(TDPX) TYPE(FAC)
   PAYROLL977263 UID(TSO999) ALLOW
STORE

    他のすべての外部セキュリティ マネージャの場合は、適切なベンダー資料を参照してください。

  4. 新しい資源プロファイルまたはアクセス規則を必ずテストしてから、実働環境に置く。

    FACILITYクラスは最大39バイトに制限されているため、RDBMSユーザー名が30バイトを超える場合には十分ではありません。これは、1文字につき1バイト以上をサポートする文字セットが使用されている場合に発生する問題です。この場合、最大の長さが92バイト(現在サポートされている文字セットでRDBMSユーザーIDに使用できる最大バイト数)のまったく新しいクラスを作成する必要があります。

    このプロセスは複雑なため(特にIPLが必要になるRACF)、熟練したシステム プログラマによって実施されるべきです。

    詳細については、適切なベンダー資料を参照してください。セキュリティ ログオン機能が使用可能になったら、以下のように、代わりとなる新しいクラス名を指定します。

    ENABLE SECLOGON MSGS CLASS DBCLOGON

    これにより、TDPはRACROUTE許可コール用のクラス名としてFACILITYではなくDBCLOGONを使用するようになります。

    RACFでは、クラス名の長さを4~8文字とすることができます。ACF2では、クラス名は資源名と呼ばれ、通常は3文字です(ACF2は内部でFACILITYとFAC間の変換を行ないます)。
  5. 必要なメッセージ オプションを使用して、セキュリティ ログオン機能を使用可能にする。

    ENABLE SECLOGON MSGS

    または

    ENABLE SECLOGON NOMSGS

セキュリティ ログオン機能に関係した以下のTDPコマンドの詳細については、ユーザー出口およびデータベース ユーザーIDの認証を参照してください。
  • ENABLE SECLOGON
  • DISABLE SECLOGON
  • MODIFY SECLOGON