このセクションでは、データベースをセキュリティ保護(「強化」)するために実行が可能な、または実行が必要な手段またはアクションについて説明します。
このドキュメントでは、次のトピックについて説明します。
複数の Adabas ユーザーが異なる UNIX グループに属している場合、このグループに割り当たられたデータベースに Adabas アクセスを制限することができます。
注意:
この機能は UNIX でのみ使用できます。Windows プラットフォームでは使用できません。
Production と Test の 2 つの UNIX グループがあると仮定します。本番データベース以外のデータベースへのアクセスを許可しないユーザーが Production グループに属しています。また、テストデータベース以外のデータベースへのアクセスを許可しないユーザーが Test グループに属しています。データベースを起動する次の 2 人のユーザーがいると仮定します。
dbaprod は、Production グループに属し、本番データベースを起動する必要があります。
dbatest は、Test グループに属し、テストデータベースを起動する必要があります。
特定のデータベースを扱うグループのユーザーに Adabas のアクセスを制限するには、次の条件が必要です。
Net-Work を使用しない場合でも、2 つの異なる NET_WORK_ID を使用する必要があります。Adabas は、Net-Work サーバーが後で起動されても検出できないため、Net-Work と共通な共有メモリセクションの GDT(グローバルデータベーステーブル)を作成します。GDT へのアクセス権限は、Adabas ニュークリアスが属しているグループに制限されます。したがって、ニュークリアスがアクセスする GDT が、別のグループに属している別のニュークリアスにより使用されている GDT と同じ場合、ニュークリアスの起動が失敗します。
異なる NET_WORK_ID を使用してニュークリアスを起動すると、NET_WORK_ID ごとに個別の GDT が作成されるため、異なる GDT を使用できます。NET_WORK_ID は環境変数です。この環境変数は、Adabas ニュークリアスの起動時に設定する必要があります。最初の文字が同じ場合、2 つの NET_WORK_ID は同一とみなされます。環境変数 NET_WORK_ID を設定していない場合、空の NET_WORK_ID が使用されます。
この例では、NET_WORK_ID を P に設定すると Production データベースを起動でき、NET_WORK_ID を T に設定すると Test データベースを起動できます。
ニュークリアスは、パラメータを ADABAS_ACCESS=GROUP に設定して起動する必要があります。この例では、本番データベースには、ADABAS_ACCESS=GROUP を設定しますが、テストデータベースには ADABAS_ACCESS=ALL(または ADABAS_ACCESS パラメータなし)を設定すると仮定します。この場合、Production のユーザーのみが本番データベースにアクセスできますが、テストデータベースにはすべてのユーザーがアクセスできます。
注意:
Net-Work を使用する場合は、異なるグループに対して異なる Net-Work サーバーを起動する必要があります。Net-Work 経由では、権限を持たないユーザーにデータベースへのアクセスを許可しないように注意する必要があります。
このセクションでは、Adabas ユーティリティの認可の設定に使用するコンフィグレーションファイルをセキュリティ保護する方法について説明します。
| ファイル | 説明 |
|---|---|
adaauth.ini |
Adabas ユーティリティの認可の設定 |
adaaudit.ini |
監査証跡の構成 |
adarbac.ini |
役割ベースのアクセス制御の定義 |
コンフィグレーションファイルをセキュリティ保護するには、以下を確認します。
READ-ACCESS
Adabas ユーティリティを実行するすべてのユーザーは、これらのファイルを読み込める必要があります。
WRITE-ACCESS
ファイルの管理者のみがファイルへの書き込みアクセス権限を持っている必要があります。
コンフィグレーションファイルの場所は、プラットフォームによって異なります。詳細については、拡張オペレーションのドキュメントの「Adabas ユーティリティの承認のコンフィグレーション」を参照してください。
このセクションでは、Adabas ユーティリティの認可で使用される監査証跡ログファイルをセキュリティ保護する方法について説明します。
| ファイル | 説明 |
|---|---|
adaaudit.log |
ユーティリティの認可の監査証跡ログファイル |
監査証跡ログファイルをセキュリティ保護するには、以下を確認してください。
READ/WRITE-ACCESS
Adabas ユーティリティを実行するすべてのユーザーは、監査証跡ログファイルに書き込める必要があります。
監査証跡ログファイの場所は、adaaudit.ini コンフィグレーションファイルで LOG_FILE オプションを使って設定します。詳細については、『拡張オペレーション』ドキュメントの「Adabas ユーティリティの認可のコンフィグレーション」を参照してください。