Windows ユーザーグループのメンバーによるデータベースへの接続を防ぐ

統合化ログインを持つ Windows ユーザーグループのメンバーであるユーザーが、グループの統合化ログインを使用してデータベースに接続できないようにするには、2 つの方法があります。

パスワードのないデータベースユーザー ID に対して、ユーザーの統合化ログインを作成します。
ユーザーがログインを許可されているかどうかを確認し、無許可のユーザーが接続しようとすると例外を発行するストアドプロシージャーを作成します。このストアドプロシージャーは、[login_procedure] オプションによって呼び出します。

パスワードなしでユーザー ID への統合化ログインを作成する

ユーザーが統合化ログインを持つ Windows ユーザーグループのメンバーであるだけでなく、ユーザー ID に対する明示的な統合化ログインも持っている場合、データベースへの接続にはそのユーザーの統合化ログインが使用されます。ユーザーが Windows ユーザーグループ統合化ログインを使用してデータベースへ接続できないようにするには、データベースユーザー ID への Windows ユーザーの統合化ログインをパスワードなしで作成します。パスワードのないデータベースユーザー ID は、データベースに接続できません。

♦ パスワードなしでユーザー ID への統合化ログインを作成するには、次の手順に従います (SQL の場合)。

データベースにパスワードなしでユーザーを追加します。次に例を示します。
CREATE USER db_user_no_password;

パスワードを持たないデータベースユーザーにマッピングする Windows ユーザーの統合化ログインを作成します。次に例を示します。

GRANT INTEGRATED LOGIN TO WindowsUser
AS USER db_user_no_password;

Windows ユーザーの接続を防ぐ手順の作成

login_procedure オプションは、データベースへの接続が試行されるたびに呼び出すストアドプロシージャーを指定します。デフォルトでは dbo.sp_login_environment プロシージャーが呼び出されます。login_procedure オプションを設定して、特定のユーザーがデータベースに接続できないようにするために作成したプロシージャーを呼び出すことができます。

次の例では、login_procedure オプションによって呼び出される login_check というプロシージャーを作成します。login_check プロシージャーは、データベースに接続できないユーザーのリストに照らし合わせて、指定されたユーザー名を確認します。指定されたユーザー名がリストに見つかると、接続は失敗します。この例では、Joe、Harry、または Martha というユーザーは接続を許可されていません。ユーザーがリストに見つからない場合、データベース接続は通常どおり実行され、sp_login_environment プロシージャーが呼び出されます。

CREATE PROCEDURE DBA.user_login_check()
   BEGIN
      DECLARE INVALID_LOGON EXCEPTION FOR SQLSTATE '28000';
      // Disallow certain users
      IF( CURRENT USER IN ('Joe','Harry','Martha') ) THEN
        SIGNAL INVALID_LOGON;
      ELSE
         CALL sp_login_environment;
      END IF;
   END
go
GRANT EXECUTE ON DBA.user_login_check TO PUBLIC
go
SET OPTION PUBLIC.login_procedure='DBA.user_login_check'
go

DocCommentXchange で意見交換できます