- 以下のTeradata SQL文をデータベースに発行して、ヌルのパスワードによるログオン アクセスを付与します。
GRANT LOGON ON ALL AS DEFAULT
WITH NULL PASSWORD;
このコマンドは、データベース システム管理者、またはDBC.LogonRuleへのEXECUTEアクセスを持つ他のユーザーが発行しなければなりません。
以下の点にも注意してください。- ヌルのパスワード権限が適用されるのは、メインフレーム クライアント システムから出されたログオン要求だけである。ネットワーク接続のワークステーションから出された要求には常にパスワードが必要となる。
- DBCというユーザー名を持つデータベースにログオンしようとする場合には常にパスワードが必要となる。ユーザー名DBCに対しては、TDPは妥当性検査済みログオン機能を使用しない。
- より制約的なGRANT句を個々のユーザーに適用すれば、AS DEFAULTの指定はオーバーライドできます。
- ユーザー ログオン出口インターフェース(TDPLGUX)をカスタマイズした場合には、セキュリティ ログオンをTDPLGUXと使用する方法に示されている指針を再度参照して、追加の変更が必要ないかチェックします。
TDPLGUXをカスタマイズしていない場合には、使用可能/使用不能状況はセキュリティ ログオン操作に影響を及ぼしません。
- 外部セキュリティ マネージャをセットアップして、TDPセキュリティ ログオン機能を処理する。
RACFの場合:
- 汎用アクセス コードNONEを指定したFACILITYクラスでユーザー プロファイルを作成し、ログオンを制御する。以下に示す例では、資源名の最初の修飾子がtdpidを、2番目の修飾子がDBCユーザー ログオン名を指定していることに注意してください。
RDEFINE FACILITY TDP9.TEST01 UACC(NONE) RDEFINE FACILITY TDP0.BIG_DBC_USER_NAME - UACC(NONE) RDEFINE FACILITY TDPX.PAYROLL977263 - UACC(NONE)
- FACILITYプロファイルへの適切な状況権限を各ユーザーに付与します。以下に示す例では、READで十分です。
PERMIT UACC(READ) USER(TSO0997) - PROFILE(TDP9.TEST01) CLASS(FACILITY) PERMIT UACC(READ) USER(TSO0998) - PROFILE(TDP0.DBC_BIG_USER_NAME) - CLASS(FACILITY) PERMIT UACC(READ) USER(TSO0999) - PROFILE(TDPX.PAYROLL977263) - CLASS(FACILITY)
- FACILITYクラスをまだアクティブ化していない場合には、このクラスをアクティブ化します。
SETROPTS CLASSACT(FACILITY)
ACF2の場合
資源規則TYPE(FAC)をセットアップして、ログオン要求を制御するとともに、各ユーザーにアクセスを付与します。以下に示す例では、キーがtdpidを、拡張子がDBCユーザー ログオン名を表わしていることに注意してください。
SET RESOURCE(FAC) COMPILE * $KEY(TDP9) TYPE(FAC) TEST01 UID(TS0997) ALLOW STORE COMPILE * $KEY(TDPX) TYPE(FAC) STPRE COMPILE * $KEY(TDPX) TYPE(FAC) PAYROLL977263 UID(TSO999) ALLOW STORE
他のすべての外部セキュリティ マネージャの場合は、適切なベンダー資料を参照してください。
- 汎用アクセス コードNONEを指定したFACILITYクラスでユーザー プロファイルを作成し、ログオンを制御する。
- 新しい資源プロファイルまたはアクセス規則を必ずテストしてから、実働環境に置く。
FACILITYクラスは最大39バイトに制限されているため、RDBMSユーザー名が30バイトを超える場合には十分ではありません。これは、1文字につき1バイト以上をサポートする文字セットが使用されている場合に発生する問題です。この場合、最大の長さが92バイト(現在サポートされている文字セットでRDBMSユーザーIDに使用できる最大バイト数)のまったく新しいクラスを作成する必要があります。
このプロセスは複雑なため(特にIPLが必要になるRACF)、熟練したシステム プログラマによって実施されるべきです。
詳細については、適切なベンダー資料を参照してください。セキュリティ ログオン機能が使用可能になったら、以下のように、代わりとなる新しいクラス名を指定します。
ENABLE SECLOGON MSGS CLASS DBCLOGON
これにより、TDPはRACROUTE許可コール用のクラス名としてFACILITYではなくDBCLOGONを使用するようになります。
RACFでは、クラス名の長さを4~8文字とすることができます。ACF2では、クラス名は資源名と呼ばれ、通常は3文字です(ACF2は内部でFACILITYとFAC間の変換を行ないます)。 - 必要なメッセージ オプションを使用して、セキュリティ ログオン機能を使用可能にする。
ENABLE SECLOGON MSGS
または
ENABLE SECLOGON NOMSGS
- ENABLE SECLOGON
- DISABLE SECLOGON
- MODIFY SECLOGON