25.12.3 登録時の注意事項
-
拒否設定をする場合は,必ず拒否登録を行う以外のIPアドレスに対して先に許可登録をするようにしてください。接続の拒否,及び許可に関係なく,1つでも接続制約を定義した場合,許可の接続制約を定義していないIPアドレスからは接続できません。
-
許可と拒否に同じIPアドレスが含まれる場合は,拒否を優先します。拒否を範囲指定し,その中の一部を許可登録しても,すべて拒否とします。
-
1つのHiRDBクライアントマシンに複数のIPアドレスが存在する場合は,割り当てているすべてのIPアドレスについて同じ接続可否設定をしてください。
-
この機能はユティリティも対象になります。HiRDBサーバを構成するネットワークで使用しているマシンのIPアドレスを許可登録してください。ただし,例外事項について次に記載します。
-
FES又はSDSのあるユニットのマシンからの自マシンに対するローカル接続は,接続制約の登録内容に関わらず許可します。ただし,システム定義pd_security_local_constraintオペランドにYが指定されている場合,FES又はSDSのあるユニットのマシンからのローカル接続であっても接続制限の対象となります。pd_security_local_constraintオペランドの詳細については,マニュアル「HiRDBシステム定義」を参照してください。
-
システム定義pd_security_host_groupオペランドの指定がある場合は,指定されたホスト情報に対応するIPアドレス※については接続許可対象とします。しかし,そのホスト情報に該当するIPアドレスについて,CREATE CONNECTION SECURITY FOR CONSTRAINT文で拒否の登録をしていた場合は,拒否を優先します。
注※ HiRDB起動時に名称解決したものを使用します。起動中にホスト名とIPアドレスの関係が変更された場合は,その変更を反映しません。
-
-
システム定義pd_security_host_groupオペランドを指定している際に,FES又はSDSのあるユニットのマシンからのローカル接続を接続制限の対象とする場合,次の2つの設定が必要となることに注意してください。定義例については,「FES又はSDSのあるユニットのマシンからのローカル接続を拒否したいとき」を参照してください。
-
システム定義pd_security_local_constraintオペランドにYを指定します。
-
接続制限を行うFES又はSDSのあるユニットのマシンについて,拒否の登録を行います。
-
-
認可識別子を指定して接続制限を登録する際,指定する認可識別子はユーザとして存在する認可識別子を指定してください。また,REVOKE CONNECTによってユーザを削除した場合,削除するユーザの認可識別子を指定した接続制限も削除されます。