2.2.3 認証と識別

利用者に対する認証と識別は、以下の2つの方式があります。

Symfoware Serverが認証を行う方式
OSが認証を行う方式

認証は、CONNECT文実行時、または、CONNECT後にSET SESSION AUTHORIZATION文を指定して利用者を変更した場合に行います。

CONNECT文の指定方法については、“11.3 CONNECT文”を参照してください。

SET SESSION AUTHORIZATION文の指定方法については、“11.11 SET SESSION AUTHORIZATION文”を参照してください。

なお、以降の説明ではCONNECT文を中心に説明します。SET SESSION AUTHORIZATION文についても同様の認証方式なので、CONNECT文の説明をSET SESSION AUTHORIZATION文に置き換えて解釈してください。

Symfoware Serverが認証を行う方式

Symfoware Serverへの接続時に認証を行う方式です。

利用者が実行できるのは、アプリケーションからのSQL文の実行です。

CONNECT文を使用した接続形式には以下の2つがあります。

OSのログイン名で接続する場合
データベース専用利用者名で接続する場合

OSのログイン名で接続する場合

OSのログイン名を利用してCONNECT文を実行した場合です。

この場合、Symfoware Serverは、その利用者がSymfoware Serverの利用者として登録されていて、かつパスワードがOSに登録されているものと一致しているかをチェックします。

図2.1 OSのログイン名で接続する場合の認証

データベース専用利用者名で接続する場合

データベース専用利用者を利用してCONNECT文を実行した場合です。

この場合は、指定された利用者名とパスワードがSymfoware Serverに登録されているものと一致しているかをチェックします。

図2.2 データベース専用利用者名で接続する場合の認証

OSが認証を行う方式

ログイン時にOSが認証を行い、Symfoware Serverはこの識別情報をOSから引き継ぐ方式です。

同一サーバ内での共用メモリ通信(システム内通信)を用いてアプリケーションやRDBコマンドを実行する場合は、利用者は事前にサーバにログインしておく必要があります。この場合は、すでにOSの認証、識別が完了していることから、Symfoware Serverの利用者として登録されているかをチェックします。

サーバ内にログインして、そこから同一サーバ内のSymfoware Serverに対してCONNECT文を実行する場合には、CONNECT文に利用者名とパスワードを指定しないでアプリケーション実行時のログイン名を利用して接続することができます。これは、認証がOSに対してログイン時に終了しているからです。

この場合には、CONNECT文実行時には、そのログイン時の利用者がSymfoware Serverに対して(OSにログインできる利用者として)登録されているかのみをチェックします。

図2.3 OSが認証を行う方式

それぞれの場合の認証とパスワードの管理について以下の表に示します。

表2.1 認証とパスワードの管理方法
認証の方式	CONNECT文での接続方法	認証を行う箇所	パスワードの管理箇所
Symfoware Serverが認証を行う	CONNECT OSのログイン名	Symfoware Server	OS
Symfoware Serverが認証を行う	CONNECT データベース専用利用者名	Symfoware Server	Symfoware Server
OSが認証を行う	CONNECT 利用者名指定なし	OS (注)	OS

注) Symfoware Serverに利用者として登録されている必要があります。

認証に成功した場合または、失敗した場合の利用者の対応については、“12.1 認証時の対応”を参照してください。

パスワードは、長期間同じものを使用していると、他人に盗まれる可能性が高くなります。また、頻繁にパスワードを変更した場合、管理が難しくなります。そこで、パスワードのエージング制御によって、適度にパスワードの保守を行います。パスワードのエージング制御とは、パスワードが一定期間のみ有効であり、これを監視し、利用者に通知する機能です。

パスワードのエージング制御には、以下があります。

パスワードの期限の設定

パスワードは、システムのセキュリティ強度に合わせて、適切なパスワード期限を設定する必要があります。

パスワードの期限は、以下の項目を考慮して決定します。

パスワードに使用できる文字種
パスワードに最低限必要なバイト数
パスワードの誤り時の待ち時間

連続失敗回数の設定

パスワードを連続して失敗できる回数を設定します。

データベース専用利用者が、この回数を超えてパスワードを誤った場合、そのパスワードは自動的にシステムがロック(使用不可の状態)します。

この回数を設定することにより、不正な利用者から攻撃を受けた場合にも、システムを防御することができます。

変更催促期間の設定

パスワードを変更してからある程度の時間が過ぎると、パスワードの変更催促期間に入り、利用者にパスワードの変更を促します。パスワードの有効期限までにパスワードが変更されない場合は、利用者のパスワードは無効になります。

パスワードのエージング制御は、管理者がSET SYSTEM PARAMETER文を使ってセキュリティパラメタをチューニングすることで行います。

セキュリティパラメタのチューニングの詳細については、“2.5 セキュリティパラメタのチューニング”を参照してください。

2.2.3 認証と識別

2.2.3.1 認証と識別の方式

2.2.3.2 パスワードのエージング制御