統合化ログイン機能は、SQL Anywhere セキュリティ・システムの代わりに Windows のログイン制御システムを使用しても動作し、ユーザ ID とパスワードを指定せずにデータベースに接続できます。データベースを実行しているコンピュータにログインできるユーザは、原則的に、データベース・セキュリティを通過します。
ユーザが dsmith として Windows サーバに正常にログインすると、統合化ログイン・マッピングかデフォルトの統合化ログイン・ユーザ ID のどちらかがあれば、ID をさらに確認しなくても、データベースに接続できます。
統合化ログインを使用する場合、データベース管理者は、データベースへのアクセスを制限するために、Windows によって使用されるログイン・セキュリティに特に注意する必要があります。
ユーザ・プロファイル Guest を有効にしておくと、そのサーバが実行するデータベースには無制限アクセスが許可されます。
Guest ユーザ・プロファイルが有効で、かつパスワードがブランクの場合、そのサーバに対するログインはすべて成功します。ユーザ・プロファイルがそのサーバに存在することや、指定されたログイン ID にドメイン・ログイン・パーミッションがあることは要求されません。事実上、何らかのログイン ID とパスワードを使用すれば、すべてのユーザがサーバにログインできます。デフォルトでは、Guest ユーザ・プロファイルにログインします。
統合化ログイン機能を有効にしてデータベースに接続する場合は、このことに注意する必要があります。
次の例では、データベースを実行している Windows サーバに、ブランクのパスワードで有効になる Guest ユーザ・プロファイルがあることが前提となっています。
ユーザ fran_whitney とデータベース・ユーザ ID DBA との間に、統合化ログイン・マッピングが存在します。ユーザ fran_whitney が正しいログイン ID とパスワードを使用してサーバに接続すると、完全な管理権限を持つユーザ DBA としてデータベースに接続されます。
しかし、fran_whitney としてサーバに接続しようとした他のユーザも、指定したパスワードに関係なくサーバにログインできます。これは、Windows がデフォルトで Guest ユーザ・プロファイルに接続しようとするためです。fran_whitney のログイン ID を使用してサーバへのログインに成功すると、権限のないユーザでも統合化ログイン・マッピングを使用して DBA としてデータベースに接続されます。
統合化ログインの最も安全な方法は、SQL Anywhere データベースを実行するすべての Windows コンピュータで、Guest ユーザ・プロファイルを無効にすることです。これは、Windows の ユーザー マネージャ ユーティリティを使用して実行できます。
| Copyright © 2009, iAnywhere Solutions, Inc. - SQL Anywhere 11.0.1 |