Question & Answer
Question
V9.7 FP4 および V9.5 FP8 以降、Net Search Extender (NSE) で使用する fenced ユーザー ID が Db2 インスタンス所有者 ID と同じである必要がなくなりました。
Answer
Net Search Extender では、Db2 エンジンが使用するアドレス空間外でユーザー定義関数 (UDF) やストアード・プロシージャーを実行するために fenced ユーザー・アカウントを必要とします。
fenced ユーザー ID がインスタンス所有者 ID と異なる場合、ユーザーは NSE 索引ディレクトリーに対して必要なアクセス権限を持ちません。そのため、これまでのリリースでは、fenced ユーザー ID と Db2 所有者 ID (~/sqllib/adm/.fenced の所有者) が異なる場合、NSE 実行時にエラーとなりました。しかしセキュリティ上、Db2 ではインスタンス所有者アカウントを fenced ユーザー・アカウントとして使用しないことが推奨されています。
NSE V9.7 FP4 および V9.5 FP8 以降では、fenced ユーザー ID と Db2 インスタンス所有者 ID を同一とする必要があった NSE の制限事項が撤廃されました。
この変更を有効にするには、インスタンス所有者と fenced ユーザーが同じ 2 次グループに所属する必要があります。
例) インスタンス所有者 'db2inst1' と fenced ユーザー 'db2fenc1' の場合、新規グループ (以下の例では 'video') を作成し、インスタンス所有者と fenced ユーザーの 2 次グループに設定します。
以下の手順で確認できます。
この変更は Windows プラットフォームには適用されません。
インスタンス所有者と fenced ユーザーが異なり、共通の 2 次グループに所属しない場合、db2text start コマンドで以下のようなエラーとなります。(メッセージは fix pack レベルによって異なります。)
関連情報
原文: Separate fenced user Id support in NSE
別個の fenced ユーザー ID のサポート (Linux および UNIX)
fenced ユーザー ID がインスタンス所有者 ID と異なる場合、ユーザーは NSE 索引ディレクトリーに対して必要なアクセス権限を持ちません。そのため、これまでのリリースでは、fenced ユーザー ID と Db2 所有者 ID (~/sqllib/adm/.fenced の所有者) が異なる場合、NSE 実行時にエラーとなりました。しかしセキュリティ上、Db2 ではインスタンス所有者アカウントを fenced ユーザー・アカウントとして使用しないことが推奨されています。
NSE V9.7 FP4 および V9.5 FP8 以降では、fenced ユーザー ID と Db2 インスタンス所有者 ID を同一とする必要があった NSE の制限事項が撤廃されました。
この変更を有効にするには、インスタンス所有者と fenced ユーザーが同じ 2 次グループに所属する必要があります。
例) インスタンス所有者 'db2inst1' と fenced ユーザー 'db2fenc1' の場合、新規グループ (以下の例では 'video') を作成し、インスタンス所有者と fenced ユーザーの 2 次グループに設定します。
以下の手順で確認できます。
$ id db2inst1
uid=44049(db2inst1) gid=204(search) groups=33(video)
$ id db2fenc1
uid=44048(db2fenc1) gid=100(users) groups=33(video)
この変更は Windows プラットフォームには適用されません。
インスタンス所有者と fenced ユーザーが異なり、共通の 2 次グループに所属しない場合、db2text start コマンドで以下のようなエラーとなります。(メッセージは fix pack レベルによって異なります。)
CTE0360 No common secondary group exists for fenced user and instance owner.
CTE0312 A common secondary group does not exist for a fenced user and an instance owner.
(インスタンス所有者と fenced ユーザーに共通の 2 次グループが存在しません)
関連情報
原文: Separate fenced user Id support in NSE
別個の fenced ユーザー ID のサポート (Linux および UNIX)
[{"Type":"MASTER","Line of Business":{"code":"LOB10","label":"Data and AI"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SSEPGG","label":"Db2 for Linux, UNIX and Windows"},"ARM Category":[{"code":"a8m500000008PlrAAE","label":"Connectivity-\u003ENet Search"}],"ARM Case Number":"","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"}],"Version":"9.5.0;9.7.0"}]
Was this topic helpful?
Document Information
Modified date:
25 August 2023
UID
swg21585741