ALTER LOGIN POLICY 文

ALTER LOGIN POLICY policy-name policy-options

policy options :
policy-option [ policy-option ... ]

policy-option :
policy-option-name = policy-option-value

policy-option-value : 
{ UNLIMITED 
| DEFAULT 
| legal-option-value }

policy-name ログインポリシーの名前。ルートを指定してルートログインポリシーを修正します。
policy-option-name ポリシーオプションの名前。
policy-option-value ログインポリシーオプションに割り当てられている値。UNLIMITED を指定すると、制限は使用されません。DEFAULT を指定すると、デフォルトの制限が使用されます。

policy-option-name	説明	デフォルト値	適用対象：
auto_unlock_time	ロックされたアカウントのロックが自動的に解除されるまでの時間。	無制限	MANAGE ANY USER システム権限を持つユーザを除くすべてのユーザ
change_password_dual_control	このオプションの値が ON の場合は、パスワードの設定に 2 名の管理者が必要です。 verify_password_function オプションの設定は、このオプションが ON に設定されている場合は無視されます。これは、パスワードが 2 つの部分に分かれて個別に設定されているためです。検証は実行されません。	OFF	すべてのユーザ
ldap_primary_server	プライマリ LDAP サーバの名前。	(なし)	すべてのユーザ
ldap_secondary_server	セカンダリ LDAP サーバの名前。	(なし)	すべてのユーザ
ldap_auto_failback_period	プライマリサーバへの自動フェールバックが試行されるまでの時間 (分単位)。	15 分	すべてのユーザ
ldap_failover_to_std	システムリソースの不足、ネットワークの停止、接続のタイムアウト、または同様のシステム障害が原因でユーザの識別名 (DN) が見つからないために、LDAP サーバでの認証に失敗した場合に、標準認証による認証を許可するかどうか。この設定では、LDAP サーバから返された実際の認証の失敗 (ユーザが見つかったが、入力されたパスワードが一致しない場合など) が標準認証へとフェイルオーバされることは許可されません。	ON	すべてのユーザ
ldap_refresh_dn	このオプションが、CREATE LOGIN POLICY または ALTER LOGIN POLICY 文で指定されているときは、現在時刻の値がログインポリシーとともに格納されます。この値は、ユーザ認証によって、ISYSUSER で見つかったユーザの user_dn_cached_at 値と比較されるタイムスタンプです。ポリシー内の値が、ISYSUSER の user_dn_cached_at value 値より新しい場合は、ユーザの識別名 (DN) が検索され、ISYSUSER の user_dn 値が再表示されます。値 NOW は、このポリシーオプションに割り当てられる唯一の有効な値です。これ以外の値はエラーとなります。この値は、協定世界時 (UTC: Coordinated Universal Time) に基づく時間で、サーバのデフォルト形式の文字列として格納されます。	(なし)	すべてのユーザ
locked	このオプションの値が ON の場合、ユーザは新しい接続を確立できません。sa_get_user_status システムプロシージャの reason_locked カラムは、データベースサーバで生成されたユーザのロック理由を示す文字列を返します。	OFF	MANAGE ANY USER システム権限を持つユーザを除くすべてのユーザ
max_connections	ユーザに許容される同時接続の最大数。	無制限	SERVER OPERATOR または DROP CONNECTION システム権限を持つユーザを除くすべてのユーザ
max_failed_login_attempts	前回のログイン成功以降、ユーザがロックされるまでのログイン失敗の最大回数。最後のログイン失敗から 1 分が経過すると、SYS_AUTH_DBA_ROLE 互換ロールのユーザのロックは解除されます。	無制限
max_days_since_login	同一ユーザによる 2 回の連続するログインの間で許容される最大経過日数。	無制限	MANAGE ANY USER システム権限を持つユーザを除くすべてのユーザ
max_non_dba_connections	ユーザが確立できる同時接続の最大数。このオプションは、ルートログインポリシーでのみサポートされます。	無制限	SERVER OPERATOR または DROP CONNECTION システム権限を持つユーザを除くすべてのユーザ
password_life_time	パスワードの変更が必要となるまでの最大日数。	無制限	すべてのユーザ
password_grace_time	パスワードの有効期限が切れるまでの日数。この期間中は、ログインは許可されますが、デフォルトの post_login プロシージャから警告が出ます。	0	すべてのユーザ
password_expiry_on_next_login	このオプションの値が ON の場合、次回のログイン後にユーザのパスワードは期限切れになります。	OFF	すべてのユーザ
root_auto_unlock_time	ロックされたアカウントのロックが自動的に解除されるまでの時間。このオプションは、ルートログインポリシーでのみサポートされています。	1 分	MANAGE ANY USER システム権限を持つユーザ

ログインポリシーが変更されるとすぐに、すべてのユーザに変更が適用されます。

ポリシーオプションを指定しない場合は、ルートログインポリシーからこのログインポリシーの値が取得されます。新しいポリシーは、MAX_NON_DBA_CONNECTIONS および ROOT_AUTO_UNLOCK_TIME ポリシーオプションを継承しません。

すべての新しいデータベースには、ルートログインポリシーが含まれています。ルートログインポリシーの値を変更することはできますが、ポリシーは削除できません。ルートログインポリシーのデフォルト値の概要は上記の表に示されています。

MANAGE ANY LOGIN POLICY システム権限が必要です。

なし

SQL/2008 ベンダー拡張。

次の例は、LOCKED および MAX_CONNECTIONS ポリシーオプションを変更することによって、架空の Test1 ログインポリシーを改変します。LOCKED の値は、このポリシーを割り当てられたユーザが新しい接続を確立できないことを示し、MAX_CONNECTIONS の値は、許容される同時接続数を制限します。

ALTER LOGIN POLICY Test1 
LOCKED=ON
MAX_CONNECTIONS=5;

この例はルートログインポリシー LOCKED および MAX_CONNECTIONS ポリシーオプションを上書きします。

ALTER LOGIN POLICY root 
LOCKED=ON
MAX_CONNECTIONS=5;

次の例は、架空の ldap_user_policy ログインポリシーに対してプライマリ LDAP サーバとセカンダリ LDAP サーバを設定し、データベースオプション login_mode に 'Standard' が含まれていても、標準認証にフェイルオーバできる機能をオフにします。これによって、このログインポリシーのユーザを厳格に制御し、LDAP ユーザ認証のみを使用して認証できるようにします。大量のログイン接続が発生して LDAP サーバがすぐに応答したり認証できない場合、再試行回数とタイムアウトを使い切ったユーザは、標準認証を使用するようにフェイルオーバするのではなく、データベースサーバへの接続エラーが表示されます。

ALTER LOGIN POLICY ldap_user_policy
LDAP_PRIMARY_SERVER=ldapsrv1
LDAP_SECONDARY_SERVER=ldapsrv2
LDAP_FAILOVER_TO_STD=OFF;

次の例は、架空の application_user_policy ログインポリシーのタイムスタンプ値を現在の時刻にリセットします。このポリシーが割り当てられたユーザは、次のログイン試行時に自分の識別名 (DN) が検索され、ISYSUSER にキャッシュされている値は使用されません。この方式では、このポリシーに関連付けられているユーザの次回の認証時に、ISYSUSER に保持されている古い DN の値がパージされます。

ALTER LOGIN POLICY application_user_policy
LDAP_REFRESH_DN=NOW;

ALTER LOGIN POLICY 文

構文

パラメータ

備考

権限

関連する動作

参照

標準と互換性

例