login_procedure オプション

文字列

sp_login_environment システムプロシージャー

DBA 権限が必要です。

このログインプロシージャーは、ランタイムに sp_login_environment プロシージャーを呼び出して、データベース接続設定を決定します。このログインプロシージャーは、すべてのチェックが完了し、接続が有効であることが確認された後で呼び出されます。login_procedure オプションで指定されたプロシージャーは、イベント接続では実行されませんが、Web サービス接続では実行されます。

新規プロシージャーを作成し、その新規プロシージャーを呼び出すための login_procedure を設定して、デフォルトデータベースオプション設定をカスタマイズできます。このカスタムプロシージャーは、sp_login_environment を呼び出すか、TDS 接続が確立されたことを検出し (デフォルトの sp_login_environment コードを確認します)、sp_tsql_environment を直接呼び出す必要があります。この操作が失敗した場合、TDS ベースの接続は切断されることがあります。sp_login_environment または sp_tsql_environment は編集しないでください。

ユーザー定義のログインプロシージャーを使用して、パスワードの有効期限切れを示す SQLSTATE 08WA0 のエラーメッセージを通知し、パスワードの有効期限が切れていることをユーザーに示すことができます。エラーの通知により、アプリケーションはエラーを確認し、有効期限の切れたパスワードを処理できます。パスワードの有効期限を実装する場合はログインポリシーを使用し、パスワードの有効期限切れのメッセージを返すログインプロシージャーは使用しないでください。

NewPassword=* 接続パラメーターを使用する場合は、このエラーを通知して、クライアントライブラリが新しいパスワードの入力を要求するプロンプトを表示できるようにする必要があります。プロシージャーで SQLSTATE 28000 (無効なユーザー ID またはパスワード) または SQLSTATE 08WA0 (パスワードの有効期限切れ) が通知されるか、RAISERROR のエラーが発生すると、ログインは失敗し、エラーがユーザーに返されます。その他のエラーを通知するか、別のエラーが発生した場合は、ユーザーログインは成功し、メッセージがデータベースサーバーメッセージログに書き込まれます。

次に、INVALID_LOGON エラーを通知して接続を拒否するサンプルコードを示します。

CREATE PROCEDURE DBA.login_check( )
   BEGIN
      DECLARE INVALID_LOGON EXCEPTION FOR SQLSTATE '28000';
      // Allow a maximum of 3 concurrent connections
      IF( DB_PROPERTY( 'ConnCount' ) > 3 ) THEN
          SIGNAL INVALID_LOGON;
      ELSE
          CALL sp_login_environment;
      END IF;
   END
go

GRANT EXECUTE ON DBA.login_check TO PUBLIC
go

SET OPTION PUBLIC.login_procedure='DBA.login_check'
go

接続を禁止する代替方法の詳細については、RAISERROR 文を参照してください。

次の例は、ユーザーの失敗した接続の数が -30 分間で 3 回よりも多くなった場合に、接続試行をブロックする方法を示しています。ブロック期間中にブロックされた試行は、すべて無効パスワードエラーを受け取り、ログに失敗として記録されます。DBA がログを解析するために、ログは十分な時間保持されます。

CREATE TABLE DBA.ConnectionFailure(
    pk INT PRIMARY KEY DEFAULT AUTOINCREMENT,
    user_name CHAR(128) NOT NULL,
    tm TIMESTAMP NOT NULL DEFAULT CURRENT TIMESTAMP
)
go 

CREATE INDEX ConnFailTime ON DBA.ConnectionFailure(
    user_name, tm )
go 

CREATE EVENT ConnFail TYPE ConnectFailed
HANDLER
BEGIN
    DECLARE usr CHAR(128);
    SET usr = event_parameter( 'User' );

    // Put a limit on the number of failures logged.
    IF (SELECT COUNT(*) FROM DBA.ConnectionFailure
        WHERE user_name = usr
        AND tm >= DATEADD( minute, -30,
            CURRENT TIMESTAMP )) < 20 THEN
        INSERT INTO DBA.ConnectionFailure( user_name )
            VALUES( usr );
        COMMIT;
        // Delete failures older than 7 days.
        DELETE DBA.ConnectionFailure
        WHERE user_name = usr
        AND tm < dateadd( day, -7, CURRENT TIMESTAMP );
        COMMIT;
    END IF;
END
go

CREATE PROCEDURE DBA.login_check( )
BEGIN
    DECLARE usr CHAR(128);
    DECLARE INVALID_LOGON EXCEPTION FOR SQLSTATE '28000';
    SET usr = CONNECTION_PROPERTY( 'Userid' );
    // Block connection attempts from this user
    // if 3 or more failed connection attempts have occurred
    // within the past 30 minutes.
    IF ( SELECT COUNT( * ) FROM DBA.ConnectionFailure
        WHERE user_name = usr
        AND tm >= DATEADD( minute, -30,
            CURRENT TIMESTAMP ) ) >= 3 THEN
        SIGNAL INVALID_LOGON;
    ELSE
        CALL sp_login_environment;
    END IF;
END
go

GRANT EXECUTE ON DBA.login_check TO PUBLIC
go

SET OPTION PUBLIC.login_procedure='DBA.login_check'
go

次の例は、ユーザーのパスワードの有効期限が切れていることを知らせるエラーを通知する方法を示しています。パスワードの有効期限切れの通知を実装するには、ログインポリシーを使用してください。

CREATE PROCEDURE DBA.check_expired_login( )
BEGIN
  DECLARE PASSWORD_EXPIRED EXCEPTION FOR SQLSTATE '08WA0';

  IF( condition-to-check-for-expired-password ) THEN
      SIGNAL PASSWORD_EXPIRED;
  ELSE
      CALL sp_login_environment;
  END IF;
END;

login_procedure オプション

指定可能な値

デフォルト

スコープ

備考

参照

例