How To
Summary
Db2 のユーザー一覧やグループ一覧という概念はありません。
Db2 はユーザーやグループを管理しておらず、デフォルトではオペレーティングシステムのユーザーとグループを使用します。
また、透過 LDAP 構成を通じて LDAP ユーザーやグループも使用できます。
Objective
この文書では Db2 にアクセスしているユーザーを監査する方法や、Db2 インスタンスおよびデータベースで参照されているユーザーおよびグループ名を一覧する方法を案内します。
注:参照されていないユーザーが使用されていないことを示すものではない点に注意が必要です。
Environment
Db2 9.5 以降
Steps
認証されているユーザーを把握する方法
Db2 の監査機能で VALIDATE カテゴリーを監査することで、監査期間内に認証された実績のあるユーザーを把握できます。以下はインスタンスとデータベースで VALIDATE の監査を有効にする手順の例です。
- インスタンス・オーナーでログインし、インスタンス・レベルの監査を構成してから監査を有効にします。
db2audit configure scope validate status both db2audit start
- データベースにセキュリティ管理者 (SECADM) で接続し、データベース・レベルの VALIDATE カテゴリーの監査ポリシーを作成してからこのポリシーでデータベースの監査を有効にします。
db2 connect to <データベース名> db2 create audit policy VALIDATEPOL categories VALIDATE status both error type normal db2 audit database using policy VALIDATEPOL
監査の停止方法や、記録された監査ログの確認方法など、監査機能の使用方法は以下のページを参照してください。
[Db2] Db2 9.5 以降における監査の設定方法 (IM-10-0AF)
[Db2] Db2 9.5 以降における監査の設定方法 (IM-10-0AF)
インスタンス (データベース・マネージャー構成パラメーター) で参照されているグループ名
SYS*_GROUP パラメーターを構成すると、インスタンス・レベルの権限を指定したグループに与えられます。
SYSADM は SYSCTRL を、SYSCTRL は SYSMAINT を、SYSMAINT は SYSMON をそれぞれ包含しており、デフォルトで SYSADM 権限はインスタンス・オーナーの一次グループ (Linux/UNIX) に付与されています。
現在の設定は以下のコマンドで確認できます。
db2 get dbm cfg | grep _GROUP
各データベースで明示的に権限や特権を付与されているユーザー(許可ID) 名
それぞれのデータベースで明示的に権限や特権を付与されているユーザー (許可ID) やグループ名は AUTHORIZATIONIDS 管理ビューで表示できます。これらの名前がどの特権に付与されているかは PRIVILEGES 管理ビューで表示できます。
例:権限や特権を付与されたユーザー、グループ、ロールの一覧
db2 connect to <データベース名>
db2 "select authid, authidtype from SYSIBMADM.AUTHORIZATIONIDS"
例:各オブジェクトに明示的に付与された特権の一覧
db2 connect to <データベース名>
db2 "select authid,privilege,objectname,objectschema,objecttype from SYSIBMADM.PRIVILEGES"
運用上の考慮点
認証およびグループ検索のための透過的 LDAP の構成 (Linux)
認証およびグループ検索のための透過的 LDAP の構成 (AIX)
お問合せ先
技術的な内容に関して、パスポート・アドバンテージの契約のもと Db2 テクニカル・サポートへお問い合わせください。
Db2 テクニカル・サポート
- 接続の過程で発生する CONNECT および AUTHENTICATION イベントについては、データベースがアクティブになるまで、インスタンス・レベルの監査設定が使用されます。このため認証イベントをすべて監査するには、インスタンス・レベルとデータベース・レベルで VALIDATE を監査する必要があります。
詳細はマニュアルの「監査ポリシー」ページを参照してください。
認証およびグループ検索のための透過的 LDAP の構成 (Linux)
認証およびグループ検索のための透過的 LDAP の構成 (AIX)
お問合せ先
技術的な内容に関して、パスポート・アドバンテージの契約のもと Db2 テクニカル・サポートへお問い合わせください。
Db2 テクニカル・サポート
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB10","label":"Data and AI"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SSEPGG","label":"Db2 for Linux, UNIX and Windows"},"ARM Category":[{"code":"a8m500000008PmmAAE","label":"Security and Plug-Ins-\u003EAuthentication"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
05 October 2023
UID
ibm17046755