次に、バージョン 16.0 で導入された製品全体の追加機能を示します。サポートされているプラットフォームおよびバージョンについては、![[external link]](gif/external.gif)
http://www.sybase.com/detail?id=1061806を参照してください。
新しいセキュリティモデル:ロールベースのアクセス制御 (RBAC)SQL Anywhere 16.0 には、以前の権限およびパーミッションセキュリティモデルに代わって、ロールベースおよび権限ベースの新しいセキュリティモデルが導入されています。新しいロールベースのセキュリティモデルにより、ユーザが実行できる権限付きのタスクのきめ細かい制御が可能になり、アクセス制御の管理が簡素化されます。
以前からの SQL Anywhere の利用者がバージョン 16.0 にアップグレードする場合、データベースのアップグレード後もアプリケーションが引き続き機能するように下位互換が保証されています。モデル間の相違点、アップグレード時に自動的に実行される内容、SQL Anywher を使用するアプリケーションに実行すべき内容 (GRANT 文と REVOKE 文の呼び出しの更新など) について、よく理解できるように特別な章を設けています。ロールベースのセキュリティへのアップグレードを参照してください。
チュートリアルについては、チュートリアル:ロールと権限の付与 (Sybase Central の場合)およびチュートリアル:ロールと権限の付与 (SQL の場合)を参照してください。
以下に、新しいロールベースのセキュリティモデルをサポートするために提供される新機能と変更機能の概要を示します。
ロールベースのセキュリティモデルの概要 より精度の高い機能を提供することによりセキュリティを強化するために、システム権限とロールの完全なセットを追加しました。システムで実行できる権限付き操作のために、システム権限が作成されています。ロールは権限を組み合わせて論理グループにします。SQL Anywhere には事前定義済みのロールが多数用意されていますが、ユーザが独自のロールを作成することもできます。ユーザのセキュリティ (ロールと権限)を参照してください。
アップグレード中に、権限、パーミッション、グループはロール、権限、ユーザ拡張ロールに置き換わります。ロールベースのセキュリティへのアップグレードを参照してください。
新しい TRUNCATE オブジェクトレベル権限 指定のテーブルやマテリアライズドビューをトランケートするための、新しいオブジェクトレベル権限 TRUNCATE が追加されています。この権限は、以前のリリースのソフトウェアでは、オブジェクトレベルのパーミッションとして存在していませんでした。オブジェクトレベル権限を参照してください。
新しい LOAD オブジェクトレベル権限 特定のテーブルをロードするための、新しいオブジェクトレベル権限 LOAD が追加されています。この権限は、以前のリリースのソフトウェアでは、オブジェクトレベルのパーミッションとして存在していませんでした。オブジェクトレベル権限を参照してください。
ユーザアカウントの自動ロック解除 root_auto_lock_time (ルートログインポリシーのみ) ログインポリシーオプションと auto_unlock_time ログインポリシーオプションを使用して、ログインの失敗によってデータベースからロックアウトされたユーザ用に自動ロック解除時間を指定できます。これらのオプションは、CREATE LOGIN POLICY 文と ALTER LOGIN POLICY 文で使用できます。 ユーザアカウントの自動ロック解除を参照してください。
システムプロシージャ 以下に、ロールベースのセキュリティをサポートするために追加されたシステムプロシージャを示します。
sp_objectpermission システムプロシージャ このプロシージャは、指定のオブジェクト、dbspace、またはユーザ名に付与されるオブジェクト権限に関するレポートを生成します。このシステムプロシージャを取得するには、既存のデータベースを再構築してください。 sp_objectpermission システムプロシージャを参照してください。
sp_displayroles システムプロシージャ 指定されたシステム権限、システムロール、ユーザ定義ロール、またはユーザ名に付与されたすべてのロールを返すか、またはロールの階層ツリー全体を表示します。sp_displayroles システムプロシージャを参照してください。
sp_has_role システムプロシージャ プロシージャのインボーカに、指定されたシステム権限またはユーザ定義ロールが付与されているかどうかを返します。sp_has_role システムプロシージャを参照してください。
sp_proc_priv システムプロシージャ プロシージャの実行に必要なシステム権限のリストを返します。sp_proc_priv システムプロシージャを参照してください。
sp_auth_sys_role_info システムプロシージャ 以前のバージョンの SQL Anywhere から、それに対応する互換ロールへの、権限のマッピングを返します。sp_auth_sys_role_info システムプロシージャを参照してください。
sp_sys_priv_role_info システムプロシージャ 基本となるシステムロールへのシステム権限のマッピングを返します。sp_sys_priv_role_info システムプロシージャを参照してください。
データベースオプション 以下に、ロールベースのセキュリティをサポートするために追加されたシステムオプションを示します。
min_role_admins オプション ロールに必要な管理者の最小数を設定します。min_role_admins オプションを参照してください。
db_publisher オプション このオプションはデータベースパブリッシャのユーザ ID を格納します。設定方法は他のデータベースオプションと同様ですが、GRANT PUBLISH 文や REVOKE PUBLISH 文を使用して設定することもできます。db_publisher オプションを参照してください。
データベースサーバオプション ロールベースのセキュリティをサポートするため、次のデータベースサーバオプションの動作が変更されています。
-gu データベースサーバオプション 値を DBA に設定した場合、SERVER OPERATOR 権限を持つユーザのみがデータベースを作成または削除できます。-gu データベースサーバオプションを参照してください。
-gk データベースサーバオプション 値を DBA に設定した場合、SERVER OPERATOR 権限を持つユーザのみが、dbstop ユーティリティを使用してデータベースサーバをシャットダウンできます。-gk データベースサーバオプションを参照してください。
-gd データベースサーバオプション 値を DBA に設定した場合、SERVER OPERATOR 権限を持つユーザのみがデータベースを起動できます。 -gd データベースサーバオプションを参照してください。
-gl データベースサーバオプション 値を DBA に設定した場合、LOAD ANY TABLE 権限または ALTER ANY TABLE 権限を持つユーザのみが LOAD 文を実行できます。UNLOAD 文を実行するには SELECT ANY TABLE 権限が必要です。-gl データベースサーバオプションを参照してください。
新しい SQL 文と変更された SQL 文 以下に、ロールベースのセキュリティをサポートするために追加、または変更された SQL 文を示します。
GRANT 文の変更 ロールと権限を付与できるように GRANT 文が強化されています。GRANT 文を参照してください。
権限、パーミッション、およびグループのメンバーシップを付与するための古い構文は、サポートされたままですが、廃止される予定です。GRANT 文 (権限とグループ) (廃止予定)を参照してください。
REVOKE 文の変更 ロールと権限を呼び出せるように REVOKE 文が強化されています。REVOKE 文を参照してください。
権限、パーミッション、およびグループのメンバーシップを付与するための古い構文は、サポートされたままですが、廃止される予定です。REVOKE 文 (権限とグループ) (廃止予定)を参照してください。
新しい CREATE ROLE 文 ロールの作成または置き換え、ユーザからロールへの変換、またはロールでのロール管理者の管理を行います。CREATE ROLE 文を参照してください。
新しい ALTER ROLE 文 互換ロール (SYS_AUTH_ で始まるロール) をユーザ定義ロールに移行し、互換ロールを削除します。ALTER ROLE 文を参照してください。
新しい DROP ROLE 文 データベースからユーザ定義ロールまたは互換ロールを削除するか、ユーザ拡張ロールを通常のユーザに変換します。DROP ROLE 文を参照してください。
新しい GRANT ROLE SYS_RUN_REPLICATION_ROLE 文 この文は、レプリケーションの実行に必要なロールを付与します。GRANT ROLE SYS_RUN_REPLICATION_ROLE 文 [Mobile Link] [SQL Remote]を参照してください。
新しい GRANT ROLE SYS_REPLICATION_ADMIN_ROLE 文 この文は、レプリケーションの管理に必要なロールを付与します。GRANT ROLE SYS_REPLICATION_ADMIN_ROLE 文 [Mobile Link] [SQL Remote]を参照してください。
GRANT PUBLISH 文と REVOKE PUBLISH 文の変更 以前は、GRANT PUBLISH 文と REVOKE PUBLISH 文は ISYSAUTHORITY システムテーブル内のデータベースパブリッシャ情報を更新していました。しかし、データベースパブリッシャユーザ ID は、ロールベースのセキュリティの一部として、db_publisher データベースオプションとして格納されるようになりました。現在、これらの文は ISYSUSERAUTHORITY を更新するのではなく、db_publisher データベースオプションの値を更新します。GRANT PUBLISH 文 [SQL Remote]とREVOKE PUBLISH 文 [SQL Remote]を参照してください。
カタログの変更 以下に、ロールベースのセキュリティをサポートするために行われたカタログの変更を示します。変更されているのはカタログテーブルですが、アクセスできるのは対応するシステムビューのみであるため、ビューも示します。
| カタログの項目 | 変更 |
|---|---|
|
ISYSROLEGRANT システムテーブル/SYSROLEGRANT システムビュー |
新規。ロールのメンバーシップとメンバーシップのタイプに関する情報を格納します。 |
| SYSROLEGRANTS 統合ビュー | 新規。SYSROLEGRANT と同じですが、2 つのカラム role_name と grantee_name が追加されています。 |
|
ISYSROLEGRANTEXT システムテーブル/SYSROLEGRANTEXT システムビュー |
新規。SET USER 権限と CHANGE PASSWORD 権限のための構文拡張を格納します。 |
| SYSGROUP 互換ビュー | このビューは以前はシステムビューでしたが、現在は互換ビューです。 |
| SYSGROUPS 互換ビュー | このビューは以前は統合ビューでしたが、現在は互換ビューです。 |
| SYSUSER システムビュー | 新しいカラム:dual_password |
| SYSUSERAUTHORITY 互換ビュー (旧式) | このビューはシステムビューから互換ビューに変更されています。基本となる ISYSAUTHORITY システムテーブルは削除されていますが、このビューは互換性のために保持されています。 |
| SYSTABLEPERM システムビュー | 新しいカラム:loadauth および truncateauth |
| SYSTABAUTH 統合ビュー | 新しいカラム:loadauth および truncateauth |
ロールと権限をサポートするための SQL Anywhere プラグインの変更 新しいロールベースのセキュリティモデルをサポートするため、Sybase Central には多くの変更が加えられています。テーブルの作成など、権限付きのデータベースタスクを実行する場合、SQL 文を使用する場合よりも、Sybase Central での実行のためにより多くの権限が必要となることがあります。Sybase Central では、使用中に、表示のためのフォルダ (ビュー、ユーザなど) の移植などの、追加の権限付きタスクが実行されるためです。
タスクの実行に必要な権限が不明な場合、Sybase Central でのタスクの実行に関する文書を参照してください。
LDAP ユーザ認証サポートSQL Anywhere では LDAP ユーザ認証がサポートされるようになりました。以下に、LDAP ユーザ認証をサポートするために追加または変更された内容を示します。 LDAP 認証を参照してください。
ルートログインポリシーの変更 LDAP ユーザ認証をサポートするため、ルートログインポリシーに次のログインポリシーオプションが追加されています。
ルートログインポリシーを参照してください。
システムプロシージャ LDAP ユーザ認証をサポートするため、次のシステムプロシージャが追加または強化されています。
sa_get_user_status システムプロシージャにより、新しいカラム (user_dn、user_dn_cached_at、password_change_state、password_change_first_user、password_change_second_user) がレポートされます。
データベースサーバとデータベースオプション LDAP ユーザ認証をサポートするため、次のデータベースオプションが追加または強化されています。
SQL 文 LDAP ユーザ認証をサポートするため、次の SQL 文が追加されています。
LDAP ユーザ認証をサポートするため、次の SQL 文が強化されています。
カタログの変更 LDAP ユーザ認証をサポートするため、次のようにカタログが変更されています。
SYSLDAPSERVER システムビュー (新規) SYSLDAPSERVER システムビューには、データベースで設定されている各 LDAP SERVER オブジェクトに対して 1 つのローが含まれます。 SYSLDAPSERVER システムビューを参照してください。
SYSUSER システムビュー SYSUSER システムビューには、LDAP ユーザ認証に関連する 2 つの新しいカラムuser_dn と user_dn_cached_at があります。 SYSUSER システムビューを参照してください。
 |
DocCommentXchange で意見交換できます
|
Copyright © 2013, SAP AG or an SAP affiliate company. - SAP Sybase SQL Anywhere 16.0 |