25.2.1 パスワードの文字列制限の新規設定手順
実行者 DBA権限保持者
ここでは,パスワードの文字列制限を新規に設定する手順について説明します。(1)から順に作業を進めてください。
- 〈この項の構成〉
(1) パスワードに設定する制限を検討する
パスワードに設定する制限を検討してください。次の表に示す項目を検討します。
設定する制限 |
内容 |
---|---|
最小許容バイト数の設定 |
パスワードの最小許容バイト数を設定します。最小で6文字以上を,最大で15文字以上を設定できます。 |
認可識別子の指定禁止 |
パスワードの文字列中に認可識別子を指定することを禁止するかどうかを設定します。大文字,小文字は区別しません。禁止した場合,例えば,次に示すパスワードが禁止されます。
|
単一文字種の指定禁止 |
パスワードの文字列を同じ文字種で指定することを禁止するかどうかを設定します。禁止した場合,例えば,次に示すパスワードが禁止されます。
|
必須文字種 |
指定した文字種が,パスワードの構成文字列に含まれていることを必須とします。ALLの場合は,すべての文字種がパスワードに含まれていることを必須とします。 |
再利用禁止 |
パスワード履歴にあるパスワードと,同じ文字列を新規パスワードに指定することを禁止します。 パスワード履歴は,最小1個,最大36個を指定できます。ユーザごとに,指定した個数分のパスワードを,パスワード変更の際に残します。 パスワード履歴に残っているパスワードの数が指定した個数に達している場合,最も古いパスワードを破棄して,代わりに最も新しいパスワードをパスワード履歴に残します。 |
(2) 設定した制限に違反するユーザを事前調査する
設定した制限に違反するユーザを事前調査してください。制限に違反するユーザはパスワード無効アカウントロック状態になるため,HiRDBに接続できなくなります。したがって,制限を設定する前に,制限に違反するユーザを特定する必要があります。特定方法については,「パスワード無効アカウントロック状態になるユーザを事前調査する」を参照してください。
- 参考
-
パスワードの文字列制限を設定すると,制限によってはパスワード無効アカウントロック状態になるユーザが出てくる可能性があります。そのため,パスワードに制限を設定することを全ユーザに対して事前に連絡し,期日までにパスワードを変更してもらうようにしてください。期日になったら,制限に違反しているユーザの確認を行い,違反しているユーザに連絡をしてください。
(3) パスワードを変更する
制限に違反しているユーザのパスワードをGRANT文で変更します。例を次に示します。
- 例題1
-
ユーザ(USER01)のパスワードをf51HD7tcに変更します。
GRANT CONNECT TO USER01 IDENTIFIED BY "f51HD7tc"
- 参考
-
自分のパスワードは自分で変更できます。DBA権限保持者が変更することもできます。
- 例題2
-
DBA権限保持者(ADMIN01)のパスワードをgd4A@sPLに変更します。
GRANT DBA TO ADMIN01 IDENTIFIED BY "gd4A@sPL"
- 例題3
-
監査人のパスワードをa0h7Fc3Kに変更します。
GRANT AUDIT IDENTIFIED BY "a0h7Fc3K"
(4) パスワードの文字列制限を設定する
CREATE CONNECTION SECURITYでパスワードの文字列制限を設定します。
- 注意事項
-
DBA権限保持者及び監査人のパスワードに違反がある場合(一人でも違反がある場合),CREATE CONNECTION SECURITYが実行できません。
CREATE CONNECTION SECURITYの指定例を次に示します。
- 例題
-
パスワードの文字列制限を次のように設定します。
-
最小許容バイト数は8バイトにする
-
認可識別子の指定を禁止する
-
単一文字種の指定を禁止する
CREATE CONNECTION SECURITY FOR PASSWORD MIN LENGTH 8 ...1 USER IDENTIFIER RESTRICT ...2 SIMILAR RESTRICT ...3
- 〔説明〕
-
-
パスワードの最小許容バイト数を設定します。
-
認可識別子の指定を禁止します。禁止する場合はRESTRICTを指定し,禁止しない場合はUNRESTRICTを指定します。
-
単一文字種の指定を禁止します。禁止する場合はRESTRICTを指定し,禁止しない場合はUNRESTRICTを指定します。
-
-
(5) パスワード無効アカウントロック状態のユーザがいないか確認する
パスワード無効アカウントロック状態のユーザがいないか確認してください。確認方法については,「パスワード無効アカウントロック状態のユーザを確認する」を参照してください。