Symfoware(R) Server 概説書 - FUJITSU - |
目次 索引 |
利用者が、権限のないデータベースのデータへのアクセスや権限のない機能を実行しようとする脅威に対抗するための機能です。Symfoware Serverのデータベースにアクセスする利用者の登録や利用者の認証、識別を行い、権限の範囲を超えた処理を制限したり、指定された量を超えた資源の獲得を制限します。
利用者制御についての詳細は、“セキュリティガイド”を参照してください。
利用者制御について、以下の機能を説明します。
不当な利用者によってデータが破壊された場合、データが破壊された直後の調査やその利用者の削除などを行うために、一時的に利用者の使用を制限する機能です。起動したSymfoware Serverに対して、利用者が使える時と使えない時を設け、利用者の勝手なデータベースへのアクセスを制限することができます。
Symfoware Serverを用いてサービスを行う場合、Symfoware Serverを利用する人は、管理者と利用者に分けられます。
利用者と管理者の関係について、以下に示します。
管理者は、OSのスーパ・ユーザなので、特に登録しなくてもインストールおよびRDBディクショナリ作成時に自動的に登録されます。管理者は、Symfoware Serverを利用してサービスを提供し、Symfoware Serverを含む環境全体を保守、運用します。
利用者に対する認証と識別について、以下の項目を説明します。
認証と識別の方式
Symfoware Serverは、以下の2つの方式により、利用者に対する認証と識別を行います。
Symfoware Serverが認証を行う方式
OSが認証を行う方式
パスワードのエージング制御
パスワードのエージング制御とは、パスワードが一定期間のみ有効とした上で、これを監視し、利用者に通知する機能です。
Symfoware Serverは、SQLの実行を利用者ごとに制御しています。
管理者はすべてのSQL文を実行できますが、利用者が実行できるSQL文は、一部のSQL文に限られています。また、利用者が実行できるSQL文には、権限を必要としないSQL文と権限を必要とするSQL文があります。
SQL権限の実行の定義は、管理者がSQL文で行います。
ある業務で必要な権限をまとめて設定したいという要件がある場合、ロールを利用することができます。
ロールについての詳細は、“権限”を参照してください。
Symfoware Serverは、RDBコマンドの実行を利用者によって制御しています。
RDBコマンドは、基本的に管理者のみが実行可能です。
しかし、利用者がアプリケーションを翻訳するようなセキュリティとは関係ない機能に対しては、OSにログインできるすべての利用者が実行できます。
ある特定の利用者が資源を膨大に使い、全体の資源を枯渇させることによって、他の正当な利用者の処理実行を妨げるという脅威を防ぐために、各利用者が使用できる資源量を制御する機能です。
実行資源の制御について、以下に示します。
Symfoware Serverは、システム表と監査ログ表へのアクセスを制御しています。
システム表は、利用者が定義したデータベースやスキーマなどの定義情報を管理する表です。
システム表は、RDBディクショナリともいいます。
管理者はシステム表のすべての実表およびビュー表を参照できます。
利用者は、自分がアクセス権限を持つ表またはプロシジャに関する定義情報を実表またはビュー表の形式で参照できます。利用者の権限情報(どのような利用者がいて、その利用者がどのような権限を持っているかなど)に関しては、自分の情報に限定してビュー表の形式で参照できます。
目次 索引 |