スケーラブルデータベースサーバ HiRDB Version 8 システム運用ガイド(UNIX(R)用)

[目次][索引][前へ][次へ]

25.3.2 ディレクトリサーバ連携機能の環境設定手順

ディレクトリサーバ連携機能の環境設定手順を次に示します。なお,ここでの説明はHiRDBの環境設定が終了している(HiRDBを開始できる)ことを前提としています。

〈手順〉
  1. ディレクトリサーバを導入します。
  2. Sun Java System Directory Serverにユーザ及びロールを登録します。
  3. HiRDBを終了します。
  4. HiRDB LDAP Optionの環境設定をします。
  5. pd_directory_serverオペランドを指定します。
  6. ユーザに権限を与えます。※1
  7. 不要なCONNECT権限を削除します。※2
手順の数字はこの後で説明している( )レベルに対応しています。例えば,3の操作は(3)で説明しています。
注※1 HiRDBを新規導入する場合に行ってください。
注※2 HiRDBを既に運用している場合に行ってください。
<この項の構成>
(1) ディレクトリサーバを導入します
(2) ディレクトリサーバにユーザ又はロールを登録します
(3) HiRDBを終了します
(4) HiRDB LDAP Optionの環境設定をします
(5) pd_directory_serverオペランドを指定します
(6) ユーザに権限を与えます
(7) 不要なCONNECT権限を削除します

(1) ディレクトリサーバを導入します

ディレクトリサーバを導入してください。Sun Java System Directory Serverの導入方法については,Sun Java System Directory Serverのドキュメントを参照してください。

(2) ディレクトリサーバにユーザ又はロールを登録します

HiRDBに接続するユーザをSun Java System Directory Serverに登録してください。HiRDB管理者も忘れずに登録してください。ロールを定義する場合は,そのロールを登録してください。Sun Java System Directory Serverへのユーザ又はロールの登録方法については,Sun Java System Directory Serverのドキュメントを参照してください。

(a) ユーザを登録するときの注意事項
  1. ディレクトリサーバにユーザを登録するときにパスワード属性を必ず指定してください。パスワード属性のないユーザを登録できますが,そのユーザはHiRDBに接続できません。
  2. HiRDBの認可識別子の名称規則に従ってユーザIDを付けてください。8バイト以内の英大文字,英小文字,又は数字になります。
  3. HiRDBの予約語と同じ名称のユーザIDを登録した場合,そのユーザIDでHiRDBに接続できません。予約語については,マニュアル「HiRDB Version 8 SQLリファレンス」を参照してください。
  4. 同じ名称のユーザIDを登録できません。
  5. 大文字と小文字の区別に注意してください。詳細については,「25.3.3 ユーザID,パスワード,及びロール名に指定する大文字と小文字の扱い」を参照してください。
(b) ロールを登録するときの注意事項
  1. フィルタを適用したロールを登録してください。
  2. HiRDBの名称規則に従ってロール名を付けてください。30バイト以内の英大文字,英小文字,又は数字になります。また,全角文字は使用できません。
  3. HiRDBの予約語と同じ名称のロール名を登録した場合,そのロール名には表のアクセス権限を与えられません。予約語については,マニュアル「HiRDB Version 8 SQLリファレンス」を参照してください。
  4. Sun Java System Directory Server内のロール名及びユーザIDと登録するロール名が重複しないようにしてください。
  5. 同じ名称のロール名を登録できません。
  6. 大文字と小文字の区別に注意してください。詳細については,「25.3.3 ユーザID,パスワード,及びロール名に指定する大文字と小文字の扱い」を参照してください。
(c) 既にHiRDBを導入して運用している場合

ディクショナリ表SQL_USERSを検索すれば,HiRDBに登録されているユーザを調べられます。検索例を次に示します。

(例)HiRDBに登録されている全ユーザの認可識別子を表示します。
  SELECT USER_ID FROM MASTER.SQL_USERS

(3) HiRDBを終了します

pdstopコマンドでHiRDBを正常終了又は計画停止してください。

(4) HiRDB LDAP Optionの環境設定をします

HiRDB LDAP Optionをインストールしてpdopsetupコマンドを実行してください。インストール及びpdopsetupコマンドの実行については,マニュアル「HiRDB Version 8 システム導入・設計ガイド」を参照してください。

その後,HiRDB LDAP Option環境定義ファイルを作成してください。HiRDB LDAP Option環境定義ファイルについては,「25.7 HiRDB LDAP Option環境定義ファイルの作成」を参照してください。

(5) pd_directory_serverオペランドを指定します

pd_directory_serverオペランドを指定してください。このオペランドはディレクトリサーバ連携機能を使用するときに指定するオペランドです。指定した後にpdstartコマンドでHiRDBを正常開始してください。

(6) ユーザに権限を与えます

この作業はHiRDBを新規導入する場合に行ってください。ディレクトリサーバに登録したユーザに権限を与えます。権限を与える方法については,「25.4 ユーザ権限の設定」を参照してください。

(7) 不要なCONNECT権限を削除します

この作業はHiRDBを既に導入して運用している場合に行ってください。CONNECT権限はディレクトリサーバで管理するため,HiRDBのCONNECT権限の管理情報が不要になります。REVOKE文で次に示すユーザ以外のCONNECT権限を削除してください。

DBA権限,監査権限,及びスキーマ定義権限を持たないユーザ(CONNECT権限だけを持つユーザ又はCONNECT権限と表のアクセス権限だけを持つユーザ)を検索するSQL例を次に示します。

(例)
SELECT USER_ID FROM MASTER.SQL_USERS
    WHERE DBA_PRIVILEGE = 'N' AND SCHEMA_PRIVILEGE = 'N'
      AND AUDIT_PRIVILEGE <> 'Y'

注※1
DBA権限保持者及び監査権限保持者のCONNECT権限は削除できません。

注※2
スキーマが存在するユーザのCONNECT権限は削除できません。スキーマがない状態でCONNECT権限を削除すると,スキーマ定義権限も同時に削除されます。誤ってスキーマ定義権限を削除した場合は,再度スキーマ定義権限を与えてください。スキーマは不要になった場合を除いて削除しないようにしてください。

備考
CONNECT権限を削除しなくてもHiRDBを運用できますが,CONNECT権限情報は使用されない不要な情報としてHiRDBのディクショナリに残ります。不要な権限情報を残したままにしておくと,後から登録した同じユーザIDの全く別のユーザがその権限を利用して定義や表の操作をしてしまう可能性があります。CONNECT権限を削除しない場合は,このようなことが起こらないようにディレクトリサーバに登録したユーザ情報とHiRDBに登録した権限情報との間で矛盾が生じないようにしてください。

[目次][前へ][次へ]

[商品名称に関する表示]

All Rights Reserved. Copyright (C) 2006, 2016, Hitachi, Ltd.