3.9.1 CREATE CONNECTION SECURITYの形式と規則
(1) 機能
CONNECT関連セキュリティ機能に関するセキュリティ項目を定義します。
(2) 使用権限
- DBA権限を持つユーザ
-
DBA権限を持つユーザが,CREATE CONNECTION SECURITYの各定義文を実行できます。
(3) 形式
CREATE CONNECTION SECURITY FOR {セキュリティ対象〔,セキュリティ対象 〕 |パスワード有効期間 |接続制約} セキュリティ対象::={CONNECT〔 PERMISSION COUNT 定数 〔 LOCK { 定数 DAY〔S〕|定数 HOUR〔S〕 |定数 MINUTE〔S〕|UNLIMITED }〕〕 |PASSWORD〔 TEST 〕 パスワード文字制限定義 〔 REUSE MAX 定数 〕} パスワード有効期間::=INTERVAL PASSWORD TO 認可識別子 パスワード有効期間定義 接続制約::=CONSTRAINT 接続制約名 FOR 〔EXCEPT〕 ‘IPアドレス’ 〔TO 認可識別子〕 パスワード文字制限定義::=〔 MIN LENGTH 定数 〕 〔 USER IDENTIFIER{ RESTRICT|UNRESTRICT }〕 〔 SIMILAR{ RESTRICT|UNRESTRICT }〕 〔 FORCE CHARACTER ({ 文字種〔,文字種〕・・・|ALL }) 〕 文字種::=UPPER|LOWER|NUMERIC パスワード有効期間定義::=(パスワード有効期限間隔) パスワード有効期限間隔::=定数 DAY〔S〕
(4) オペランド
(a) セキュリティ対象
::={CONNECT 〔 PERMISSION COUNT 定数 〔 LOCK{ 定数 DAY〔S〕|定数 HOUR〔S〕 |定数 MINUTE〔S〕|UNLIMITED }〕〕 |PASSWORD 〔TEST〕 パスワード文字制限定義 〔 REUSE MAX 定数 〕}
セキュリティ対象にはCONNECT,PASSWORDをそれぞれ1回しか指定できません。
セキュリティ対象を省略した場合,省略したセキュリティ対象は定義されません。CONNECT,PASSWORD両方のセキュリティ対象を省略することはできません。
セキュリティ対象にCONNECT,又はPASSWORDだけを指定し,CONNECT,又はPASSWORD以降の各オペランドをすべて省略した場合,省略した各オペランドのデフォルト値が設定されます。
- CONNECT 〔 PERMISSION COUNT 定数
-
〔 LOCK{ 定数 DAY〔S〕|定数 HOUR〔S〕|定数 MINUTE〔S〕
|UNLIMITED }〕〕
連続認証失敗回数制限に関する設定値を指定します。
- PERMISSION COUNT 定数
-
連続認証失敗アカウントロック状態に陥るまでの連続認証失敗回数の許容回数を指定します。連続認証失敗回数が指定値を超えると連続認証失敗アカウントロック状態になります。
PERMISSION COUNT指定を省略した場合は2が設定されます。また,PERMISSION COUNT指定を省略した場合はLOCK指定はできません。
- 定数
-
連続認証失敗アカウントロック状態に陥るまでの連続認証失敗回数の許容回数を指定します。
最小値は1(回),最大値は10(回)です。
定数には符号なし整数を指定してください。
- LOCK{ 定数 DAY〔S〕|定数 HOUR〔S〕|定数 MINUTE〔S〕|UNLIMITED }
-
連続認証失敗アカウントロック状態を継続する期間を指定します。
LOCK指定を省略した場合,LOCK 1440 MINUTE(LOCK 1 DAY,LOCK 24 HOUR)が設定されます。
定数には符号なし整数を指定してください。
- 定数 DAY〔S〕
-
連続認証失敗アカウントロック状態を継続する期間を日単位で指定します。
最小値は1(日),最大値は31(日)です。
- 定数 HOUR〔S〕
-
連続認証失敗アカウントロック状態を継続する期間を時間単位で指定します。
最小値は1(時間),最大値は744(時間)です。
- 定数 MINUTE〔S〕
-
連続認証失敗アカウントロック状態を継続する期間を分単位で指定します。
最小値は10(分),最大値は44640(分)です。
- UNLIMITED
-
連続認証失敗アカウントロック状態を継続する期間を無期限にする場合に指定します。
- PASSWORD 〔TEST〕 パスワード文字制限定義〔 REUSE MAX 定数 〕
-
パスワード文字制限強化に関する設定値を指定します。
- TEST
-
パスワード文字制限を定義する前に,あらかじめ変更する制限内容に不適合なパスワードを持つ認可識別子を確認する場合に指定します。
TESTを指定した場合,現状のパスワード文字列がパスワード文字制限定義で指定した文字制限に合っているか否かのチェックを行います。
TESTを指定した場合は,パスワード文字制限定義の設定は定義されません。
- REUSE MAX 定数
-
過去に使用したパスワードを,新規パスワードとして再利用することを禁止する場合に,再利用禁止対象として記録するパスワード履歴の個数を指定します。
最小値は1(件),最大値は36(件)です。
定数には符号なし整数を指定してください。
パスワード履歴には,再利用禁止を設定した後に変更したパスワード以降の履歴を記録します。再利用禁止を設定した後にユーザを作成した場合は,ユーザ作成時のパスワード以降のパスワード履歴を記録します。
-
パスワード有効期間::=INTERVAL PASSWORD TO 認可識別子 パスワード有効期間定義
指定した認可識別子に対して,パスワードの有効期間を設定します。
-
パスワード有効期間定義::=(パスワード有効期限間隔)
-
パスワード有効期限間隔::=定数 DAY〔S〕
指定したユーザに対して,パスワードを使用できる期間(有効期限間隔)を日数で指定します。
最小値は1(日),最大値は999(日)です。
定数には符号なし整数を指定してください。
有効期限間隔を設定した日から有効期限間隔の指定日数後が,パスワードの有効期限となります。パスワードを更新すると,更新日から有効期限間隔の指定日数後が,パスワードの有効期限となります。
有効期限を過ぎると現在のパスワードは使用禁止となり,それ以降の接続はエラーになります。
OS認証ユーザ,及びパスワードのないユーザには対して,パスワード有効期間を指定できません。指定した場合はエラーになります。
パスワード有効期限間隔を設定したユーザを,パスワードなしに変更することはできません。
-
(b) 接続制約
- ::=CONSTRAINT 接続制約名 FOR 〔EXCEPT〕 ‘IPアドレス’ 〔TO 認可識別子〕
-
IPアドレスによる接続許可・拒否に関する制約を指定します。
接続拒否・許可に関係なく,接続制約を一つ以上定義した場合,許可の制約を定義していないIPアドレスからは接続できません。この機能についての詳細は,マニュアル「HiRDB システム運用ガイド」の「IPアドレスによる接続制限」を参照してください。
- CONSTRAINT 接続制約名
-
指定する制約を特定するための接続制約名を指定します。
- FOR 〔EXCEPT〕 ‘IPアドレス‘
-
接続を許可・拒否するクライアントのIPアドレスを文字列定数で指定します。
接続を拒否する場合はEXCEPTを指定してください。EXCEPTを省略すると,接続を許可する設定になります。
- IPアドレス
-
IPv4アドレスを指定します。以下の形式で指定できます。
表3‒14 IPv4アドレス指定の形式 形式
説明
個別設定
1オクテットごとにピリオドで区切られた10進数で指定します。
範囲指定
ネットワークアドレス/アドレスプリフィックス表記
ネットワークアドレスは1オクテットごとにピリオドで区切られた10進数で指定します。
アドレスプレフィックスは0以上32以下のネットワーク部のビット数を指定します。
ワイルドカードを使用した形式
1オクテットごとに10進数の代わりにアスタリスク(*)を指定できます。
アスタリスクを指定すると,0〜255の範囲を一括で示します。
- 〔TO 認可識別子〕
-
接続制限の対象とするユーザの認可識別子を指定します。
指定する認可識別子は,存在するユーザの認可識別子である必要があります。
省略した場合,すべてのユーザに適用される接続制限を定義します。
(c) パスワード文字制限定義
::=〔 MIN LENGTH 定数 〕 〔 USER IDENTIFIER{ RESTRICT|UNRESTRICT }〕 〔 SIMILAR{ RESTRICT|UNRESTRICT }〕 〔 FORCE CHARACTER ({ 文字種〔, 文字種〕・・・|ALL }) 〕
- MIN LENGTH 定数
-
パスワードの最小許容バイト数を指定します。
指定した定数未満のバイト数のパスワードを禁止します。
MIN LENGTH指定を省略した場合,8が設定されます。
最小値は6,最大値は15です。
定数には符号なし整数を指定してください。
- USER IDENTIFIER{RESTRICT|UNRESTRICT}
-
認可識別子を含むパスワードを禁止するかどうかを指定します。USER IDENTIFIER指定を省略した場合,RESTRICTが設定されます。
- RESTRICT
-
認可識別子を含むパスワードを禁止する場合に指定します。
- UNRESTRICT
-
認可識別子を含むパスワードを禁止しない場合に指定します。
- SIMILAR{ RESTRICT|UNRESTRICT }
-
パスワードを構成する文字のすべてを単一文字種とすることを禁止するかどうかを指定します。
SIMILAR指定を省略した場合,RESTRICTが設定されます。
以下の例のようなパスワードを禁止するかどうかを指定します。
例)
FDBGLAOT(英大文字だけ)
24681357(数字だけ)
- RESTRICT
-
パスワードを構成する文字のすべてを単一文字種にすることを禁止する場合に指定します。
- UNRESTRICT
-
パスワードを構成する文字のすべてを単一文字種にすることを禁止しない場合に指定します。ただし,FORCE CHARACTERを指定した場合は,FORCE CHARACTERの指定に従います。
- FORCE CHARACTER ({文字種〔, 文字種〕・・・|ALL }
-
パスワードを構成する文字に使用する文字種を指定します。パスワードは,各文字種をそれぞれ1文字以上含む構成にしてください。
- ALL
-
すべての文字種を含むパスワードを使用します。
-
文字種::= UPPER|LOWER|NUMERIC
-
- UPPER
-
英大文字(A〜Z,#,@,¥)を含むパスワードを使用します。
- LOWER
-
英小文字(a〜z)を含むパスワードを使用します。
- NUMERIC
-
数字(0〜9)を含むパスワードを使用します。
(5) 共通規則
-
指定したセキュリティ対象が既に定義されている場合,同じセキュリティ対象を重複して定義できません。
-
CONNECT関連セキュリティ機能に関する項目の定義内容を変更したい場合,一度CONNECT関連セキュリティ機能に関する項目の定義を削除してから,再度CONNECT関連セキュリティ機能に関する項目を定義してください。
-
DBA権限保持者,及び監査人が一人でも指定したパスワード文字制限定義に違反している場合,CREATE CONNECTION SECURITY FOR PASSWORDはエラーとなります。ただし,TESTオプションを指定している場合はエラーにはなりません。
(6) 留意事項
-
単一文字種の制限に関する指定を省略した場合はRESTRICTが設定され,制限が有効になります。制限をしない場合は必ずUNRESTRICTを指定してください。
-
パスワード文字制限が定義されている状態でも,TESTオペランド指定によるパスワードの事前チェックはできます。
(7) 使用例
-
以下の設定内容でCONNECT関連セキュリティ機能に関するセキュリティ項目を定義します。
- 連続認証失敗回数制限に関する定義
-
・連続認証失敗許容回数5回
・ロック継続期間7日
- パスワード文字制限に関する定義
-
・パスワード最小許容バイト数10文字
・認可識別子を含むパスワードを禁止
・単一文字種を禁止
CREATE CONNECTION SECURITY FOR CONNECT PERMISSION COUNT 5 LOCK 7 DAY, PASSWORD MIN LENGTH 10 USER IDENTIFIER RESTRICT SIMILAR RESTRICT -
以下の設定内容でCONNECT関連セキュリティ機能に関するセキュリティ項目を定義します。
- 連続認証失敗回数制限に関する定義
-
・連続認証失敗許容回数5回
・ロック継続期間 15時間
- パスワード文字制限に関する定義
-
・デフォルト値を設定
CREATE CONNECTION SECURITY FOR CONNECT PERMISSION COUNT 5 LOCK 15 HOUR, PASSWORD -
以下の設定内容でCONNECT関連セキュリティ機能に関するセキュリティ項目を定義します。
- 連続認証失敗回数制限に関する定義
-
・定義しない
- パスワード文字制限に関する定義
-
・デフォルト値を設定
CREATE CONNECTION SECURITY FOR PASSWORD
-
以下の設定内容でCONNECT関連セキュリティ機能に関するパスワード有効期間を定義します。
- パスワード有効期間に関する定義
-
・設定する対象のユーザはUSER1
・パスワード有効期限間隔90日
CREATE CONNECTION SECURITY FOR INTERVAL PASSWORD TO USER1 (90 DAY)
-
IPアドレスによる接続制限のCONNECT関連セキュリティ機能に関するセキュリティ項目を定義する場合は,マニュアル「HiRDB システム運用ガイド」の「IPアドレスによる接続制限」を参照してください。