統合化ログイン機能は、SQL Anywhere セキュリティシステムの代わりに Windows のログイン制御システムを使用しても動作し、ユーザー ID とパスワードを指定せずにデータベースに接続できます。データベースを実行しているコンピューターにログインできるユーザーは、原則的に、データベースセキュリティを通過します。
ユーザーが dsmith として Windows サーバーに正常にログインすると、統合化ログインマッピングかデフォルトの統合化ログインユーザー ID のどちらかがあれば、ID をさらに確認しなくても、データベースに接続できます。
統合化ログインを使用する場合、データベース管理者は、データベースへのアクセスを制限するために、Windows によって使用されるログインセキュリティに特に注意する必要があります。
ユーザープロファイル Guest を有効にしておくと、そのサーバーが実行するデータベースには無制限アクセスが許可されます。
Guest ユーザープロファイルが有効で、かつパスワードがブランクの場合、そのサーバーに対するログインはすべて成功します。ユーザープロファイルがそのサーバーに存在することや、指定されたログイン ID にドメインログインパーミッションがあることは要求されません。事実上、何らかのログイン ID とパスワードを使用すれば、すべてのユーザーがサーバーにログインできます。デフォルトでは、Guest ユーザープロファイルにログインします。
統合化ログイン機能を有効にしてデータベースに接続する場合は、このことに注意する必要があります。
次の例では、データベースをホストしている Windows サーバーに、ブランクのパスワードで有効になる Guest ユーザープロファイルがあることが前提となっています。
ユーザー fran_whitney とデータベースユーザー ID DBA との間に、統合化ログインマッピングが存在します。ユーザー fran_whitney が正しいログイン ID とパスワードを使用してサーバーに接続すると、完全な管理権限を持つユーザー DBA としてデータベースに接続されます。
しかし、fran_whitney としてサーバーに接続しようとした他のユーザーも、指定したパスワードに関係なくサーバーにログインできます。これは、Windows がデフォルトで Guest ユーザープロファイルに接続しようとするためです。fran_whitney のログイン ID を使用してサーバーへのログインに成功すると、権限のないユーザーでも統合化ログインマッピングを使用して DBA としてデータベースに接続されます。
セキュリティ確保のため Guest ユーザープロファイルを無効にします。統合化ログインの最も安全な方法は、SQL Anywhere データベースを実行するすべての Windows コンピューターで、Guest ユーザープロファイルを無効にすることです。これは、Windows のユーザーマネージャーユーティリティを使用して実行できます。
 |
DocCommentXchange で意見交換できます
|
Copyright © 2012, iAnywhere Solutions, Inc. - SQL Anywhere 12.0.1 |