Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SAP Sybase SQL Anywhere 16.0 » SQL Anywhere サーバ データベース管理 » SQL Anywhere データベース接続 » データベース接続 » Windows 統合ログイン

 

セキュリティについての考慮事項:無制限データベースアクセス

統合化ログイン機能は、SQL Anywhere セキュリティシステムの代わりに Windows のログイン制御システムを使用しても動作し、ユーザ ID とパスワードを指定せずにデータベースに接続できます。データベースを実行しているコンピュータにログインできるユーザは、原則的に、データベースセキュリティを通過します。

ユーザが dsmith として Windows サーバに正常にログインすると、統合化ログインマッピングかデフォルトの統合化ログインユーザ ID のどちらかがあれば、ID をさらに確認しなくても、データベースに接続できます。

統合化ログインを使用する場合、データベース管理者は、データベースへのアクセスを制限するために、Windows によって使用されるログインセキュリティに特に注意する必要があります。

警告

ユーザプロファイル Guest を有効にしておくと、そのサーバが実行するデータベースには無制限アクセスが許可されます。

Guest ユーザプロファイルが有効で、かつパスワードがブランクの場合、そのサーバに対するログインはすべて成功します。ユーザプロファイルがそのサーバに存在することや、指定されたログイン ID にドメインログインパーミッションがあることは要求されません。ユーザはデフォルトではログイン時に Guest ユーザのプロファイルを使用するため、現実には、どのユーザでも任意のログイン ID やパスワードを使用してサーバにログインできてしまいます。

統合化ログイン機能を有効にしてデータベースに接続する場合は、このことに注意する必要があります。

次の例では、データベースをホストしている Windows サーバに、ブランクのパスワードで有効になる Guest ユーザプロファイルがあることが前提となっています。

  • ユーザ fran_whitney とデータベースユーザ ID DBA との間に、統合化ログインマッピングが存在します。ユーザ fran_whitney が正しいログイン ID とパスワードを使用してサーバに接続すると、完全な管理権限を持つユーザ DBA としてデータベースに接続されます。

    しかし、fran_whitney としてサーバに接続しようとした他のユーザも、指定したパスワードに関係なくサーバにログインできます。これは、Windows がデフォルトで Guest ユーザプロファイルに接続しようとするためです。fran_whitney のログイン ID を使用してサーバへのログインに成功すると、権限のないユーザでも統合化ログインマッピングを使用して DBA としてデータベースに接続されます。

注意

セキュリティ確保のため Guest ユーザプロファイルを無効にします。統合化ログインの最も安全な方法は、SQL Anywhere データベースを実行するすべての Windows コンピュータで、Guest ユーザプロファイルを無効にすることです。これは、Windows のユーザマネージャユーティリティを使用して実行できます。