25.5.1 パスワード無効アカウントロック状態になるユーザの事前調査手順
実行者 DBA権限保持者
ここでは,パスワード無効アカウントロック状態になるユーザを事前調査する手順について説明します。(1)から順に作業を進めてください。
(1) TESTオプションを指定してCREATE CONNECTION SECURITYを実行する
TESTオプションを指定してCREATE CONNECTION SECURITYを実行してください。TESTオプションを指定すると,CREATE CONNECTION SECURITYで指定した制限に違反しているユーザに対しては,ディクショナリ表のSQL_USERSのPASSWORD_TEST列に違反種別コードが設定されます。
- 参考
-
TESTオプションを指定した場合,パスワードの文字列制限のチェックだけが行われます。違反者をパスワード無効アカウントロック状態にはしません。
パスワード無効アカウントロック状態になるユーザを事前調査するときの例を次に示します。
- 例題
-
パスワードに次の文字列制限を設定する場合の違反者を調べます。
-
パスワードの最小許容バイト数:8
-
パスワード中の認可識別子指定:禁止
-
パスワードの単一文字種指定:禁止
CREATE CONNECTION SECURITY FOR PASSWORD TEST ...1 MIN LENGTH 8 ...2 USER IDENTIFIER RESTRICT ...3 SIMILAR RESTRICT ...4
- 〔説明〕
-
-
事前調査のため,TESTオプションを指定します。
-
パスワードの最小許容バイト数を8バイトとします。
-
パスワード中の認可識別子の指定を禁止します。
-
パスワードの単一文字種の指定を禁止します。
このSQL文を実行すると,SQL_USERSに登録されている全ユーザのパスワードをチェックし,制限に違反しているユーザに対してはSQL_USERSのPASSWORD_TEST列に違反種別コードを設定します。
- ポイント
-
-
事前調査時とパスワードの文字列制限を設定する時でSQL(CREATE CONNECTION SECURITY)の指定内容に違いがあると,事前にパスワードを修正したユーザでもパスワード無効アカウントロック状態になる可能性があります。そのため,事前調査時には,TESTオプション以外はパスワードの文字列制限を設定する時に実行するSQL(CREATE CONNECTION SECURITY)と同じSQLで実行してください。
-
事前調査の実行後は,文字列制限に違反しているパスワード以外のパスワードを変更しないように連絡してください。また,新規ユーザの登録をする場合は,制限を満たすパスワードを設定してください。
-
-
-
(2) PASSWORD_TEST列を検索する
SQL_USERSのPASSWORD_TEST列に違反種別コードが設定されます。PASSWORD_TEST列を検索して,パスワード無効アカウントロック状態のユーザを確認してください。設定される違反種別コードを次の表に示します。違反していない場合はナル値が設定されます。
項番 |
項目 |
PASSWORD_TEST列に設定される違反種別コード |
---|---|---|
1 |
最小許容バイト数の設定に違反した場合 |
L |
2 |
認可識別子の指定禁止に違反した場合 |
U |
3 |
単一文字種の指定禁止に違反した場合 |
S |
- 注
-
複数の項目に違反している場合,違反種別コードは複数設定されません。項番の順に一つだけ設定されます。例えば,項番1と2の両方の項目に違反している場合は,違反種別コードにLが設定されます。
パスワード無効アカウントロック状態のユーザを確認するときの例を次に示します。
- 例題1
-
パスワードの文字列制限に違反しているユーザの一覧を取得します。
SELECT USER_ID FROM MASTER.SQL_USERS WHERE PASSWORD_TEST IS NOT NULL
- 実行結果
USER_ID ----------- USER1 USER2 USER3
- 〔説明〕
-
USER1,USER2,及びUSER3がパスワードの文字列制限に違反しています。
- 例題2
-
パスワードの文字列制限に違反しているDBA権限保持者及び監査人の一覧を取得します。
SELECT USER_ID FROM MASTER.SQL_USERS WHERE PASSWORD_TEST IS NOT NULL AND (DBA_PRIVILEGE = 'Y' OR AUDIT_PRIVILEGE = 'Y')
- 実行結果
USER_ID ----------- AUDITOR1 DBA1 DBA2
- 〔説明〕
-
DBA権限保持者DBA1とDBA2,及び監査人AUDITOR1がパスワードの文字列制限に違反しています。