付録E 機能差一覧

標準セキュリティ運用での、Symfoware Serverの機能差を説明します。

標準運用と標準セキュリティ運用の機能差の詳細

標準運用と標準セキュリティ運用のインストール時のデフォルトの設定と、チューニング方法を以下の表に示します。

以下の運用を行う場合は、ロードシェア運用を行うことはできません。

標準セキュリティ運用を行う場合

標準運用で監査ログ運用を行う場合

表E.1 標準運用と標準セキュリティ運用のデフォルトの設定
機能	標準運用	標準セキュリティ運用	チューニング方法
RDBディクショナリの参照権限	すべての利用者が参照可能である。権限情報表へのアクセス権限が利用者(PUBLIC)に与えられている。	管理者（スーパユーザ）のみ参照可能である。権限情報表へのアクセス権限が管理者（スーパユーザ）にのみ与えられている。	GRANT文 /REVOKE文で変更可能である。
以下のコマンドの実行権限 CREATE USER文 DROP USER文 ALTER USER文	実行できない。利用者登録の使用宣言を行っている場合は実行可能である。ただし、RDBディクショナリ作成者のみ実行可能である。	管理者（スーパユーザ）のみ実行できる。以下の機能が使用できる。利用者ごとの資源量制御利用者ごとの認証制御データベース専用利用者	利用者登録の使用宣言の有無で変更可能である。ただし、実行権限はチューニングできない。
以下のコマンドの実行権限 CREATE ROLE文 DROP ROLE文 GRANT文(ROLE指定) GRANT文(ROLE付与) REVOKE文(ROLE指定) REVOKE文(ROLE削除)	RDBディクショナリ作成者のみ実行可能である。対象資源に対して、権限の付与権が与えられている範囲で使用できる。	管理者（スーパユーザ）のみが実行可能である。管理者は、利用者に対して、データベース定義文の実行権や権限の付与権を付与できない。	チューニングできない。
SET SYSTEM PARAMETER文の実行権限	RDBディクショナリ作成者のみ実行可能である。	管理者（スーパユーザ）のみが、実行可能である。	チューニングできない。
その他のデータベース定義文の実行権限	すべての利用者が実行可能である。対象資源に対して、作成権限を与えられている範囲で使用できる。	管理者（スーパユーザ）のみが、実行可能できる。	チューニングできない。
SQL文の実行権	すべての利用者が実行可能である。対象資源に対して、アクセス権限が与えられている範囲で使用できる。	すべての利用者が実行可能である。対象資源に対して、アクセス権限が与えられている範囲で使用できる。	GRANT文 /REVOKE文で変更可能である。
RDBコマンドの実行権限	権限が直接、利用者に付与されている場合は実行可能である。各コマンドで必要な権限を含むロールが利用者に付与されている場合は、ROLE_RANGEパラメタを有効にすることで以下の運用系コマンドが実行可能である。－ rdbfmt － rdbsloader － rdbsaloader － rdbsuloader － rdbunl － rdbunlx	管理者（スーパユーザ）のみが、実行可能である。	GRANT文 /REVOKE文 /ROLE_RANGEパラメタで変更可能である。
監査ログ	監査ログが取得されない。	監査ログが取得される。	監査ログの取得範囲の指定で変更可能である。

セキュリティパラメタの省略値の機能差

標準運用と標準セキュリティ運用でのセキュリティパラメタの省略値の機能差を“表E.2 セキュリティ形態パラメタ”、“表E.3 ユーザパラメタ”、および“表E.4 監査ログパラメタ”に示します。

表E.2 セキュリティ形態パラメタ
セキュリティパラメタ名	意味	セキュリティパラメタ値	省略値
セキュリティパラメタ名	意味	セキュリティパラメタ値	標準運用	標準セキュリティ運用
SECURE_MODE	インストール時に選択した運用の種類	SECURE: 標準セキュリティ運用 NORMAL: 標準運用	－（注1）	－（注1)
USER_CONTROL	利用者登録の使用宣言を行うか否か	YES:使用する NO :使用しない	NO	YES
ROLE_RANGE (注2)	以下の運用系コマンドに対するロールの使用を有効にするか否か－ rdbfmt － rdbsloader － rdbsaloader － rdbsuloader － rdbunl － rdbunlx	LEVEL1:有効にする LEVEL0:有効にしない	LEVEL0	LEVEL0
XA_USE (注3)	XAプロトコルを受け付けるか否か	YES:受け付ける NO :受け付けない	YES	NO
CONNECT_USER (注3)	CONNECT文での利用者の指定ができるか否か	YES:使用可能 NO :使用不可	YES	YES
WORKFILE_CLEAR(注3)	Symfoware Serverが自動的に作成する作業用ファイルを削除する時に内容を初期化するか否か	YES:初期化する NO :初期化しない	NO	YES
TRACEFILE_USE (注3)	調査用ファイルの取得を許すか否か	YES:許す NO :許さない	YES	NO

注1) インストール時に値が決定し、インストール後にSET SYSTEM PARAMETER文で変更はできません。

注2) ROLE_RANGEパラメタは、標準運用時のみ有効です。

注3) ロードシェア運用時は使用できません(設定しても無視されます)。

表E.3 ユーザパラメタ
セキュリティパラメタ名	意味	セキュリティパラメタ値	省略値
セキュリティパラメタ名	意味	セキュリティパラメタ値	USER_CONTROLがNOの場合	USER_CONTROLがYESの場合
MAX_CONNECTION (注1)	1人の利用者が同時に接続可能なコネクション数	最小：0 最大：32767 0：無制限	無制限	1
MAX_MEMORY_USE (注1)	1つのコネクションで使用可能なメモリ量	最小：0 最大：32767 単位：メガバイト 0：無制限	無制限	16
MAX_WORKFILE_USE (注1)	1つのコネクションで使用可能な作業用ファイルの量	最小：0 最大：32767 単位：メガバイト 0：無制限	無制限	0
MAX_WORKFILE_NUM(注1)	1つのコネクションで使用可能な作業用ファイルの数	最小：-1 最大：32767 単位：個 0：無制限	無制限	16
MAX_TRAN_TIME (注1)	1つのトランザクションで使用可能な時間	最小：0 最大：32767 単位：秒 0：無制限	無制限	300
MAX_TRAN_MEM (注1)	1つのトランザクションで使用可能なトランザクション用メモリ量	最小：0 最大：32767 単位：キロバイト 0：無制限	無制限	1024
MAX_WAIT_TIME (注1)	アプリケーションの無応答待ち時間	最小：0 最大：32767 単位：分 0：無制限	無制限	無制限
RESOURCE_LIMIT_CHECK (注1)(注2)	SET SESSION AUTHORIZATION文実行時に、使用可能な資源量を変更するか否か	USER：資源量を変更する CONNECTION：資源量を変更しない	－	USER
PASSWORD_CHANGE_TIME	何日前からパスワードの変更を勧めるかの日数	最小：0 最大：128 単位：日数	－	0
PASSWORD_LIMIT_TIME	パスワードの期限	最小：-1 最大：128 単位：日数 0：無制限	－	無制限
INVALID_PASSWORD_WAIT_TIME	パスワード誤り時の待ち時間	最小：0 最大：5 単位：秒	－	4
INVALID_PASSWORD_TIME	パスワード連続失敗の可能回数	最小：0 最大：10 単位：回	－	5
MIN_PASSWORD_SIZE	パスワードに最低限必要なバイト数	最小：6 最大：8 単位：バイト	－	6
DEFAULT_ROLE （注3）	デフォルトロールの指定	ロール名	－	なし

注1) ロードシェア運用時は使用できません(設定しても無視されます)。

注2) RESOURCE_LIMIT_CHECKは、SET SYSTEM PARAMETER文で指定します。

注3) DEFAULT_ROLEは、ALTER USER文で指定します。

表E.4 監査ログパラメタ
セキュリティパラメタ名	意味	セキュリティパラメタ値	省略値
セキュリティパラメタ名	意味	セキュリティパラメタ値	標準運用	標準セキュリティ運用
AUDIT_SESSION_SUCCESS(注1)	接続に成功したアプリケーション実行に関する監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_SESSION_FAIL(注1)	接続に失敗したアプリケーション実行に関する監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_ACCESS_SUCCESS(注1)	表およびルーチンなどの資源に対するアクセスで成功したものの監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_ACCESS_FAIL(注1)	表およびルーチンなどの資源に対するアクセスで失敗したものの監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_SQL(注1)	アプリケーションから実行されるSQL文とSQL文の実行時間に関する監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_SQLBIND(注1)	SQL文の入力に関する情報の監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_MANAGE(注1)	管理者の実行の監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT_ERROR(注1)	システムにおける重大なエラー、その他の事象の監査ログを取得するか否か	YES:取得する NO :取得しない	NO	YES
AUDIT(注1)	監査ログを取得する利用者を限定	（注2）	ANY	ANY
AUDIT_LOG_FULL(注1)	監査ログ満杯時のふるまい	STOP:Symfoware/RDBを強制停止 REUSE:一番古い監査ログエレメントを再利用 CANCEL:監査ログの取得を停止して、メッセージログファイルに出力	CANCEL	CANCEL

注1) ロードシェア運用時は使用できません(設定しても無視されます)。

注2) 指定する値と意味は以下のようになります。

ANY：すべての利用者の監査ログを取得する
ANY BY USER (利用者1,利用者2, ...)：利用者1、利用者2、...の監査ログを取得する
ANY BY USER EXCEPT (利用者1,利用者2, ...)：利用者1、利用者2、...を除いた利用者の監査ログを取得する

標準運用でのセキュリティ機能の使い方

ここでは、標準運用で以下のセキュリティ機能を利用する方法を説明します。

利用者登録の使用

利用者登録を使用していない場合には、管理者と利用者を区別することができません。利用者登録を使用すると、管理者と利用者を区別して運用することができます。

標準運用で利用者登録を使用する場合は、一度、利用者情報を削除する必要があり、すべての権限を削除し、適用したスコープを解除します。この状態で、利用者登録の使用を宣言します。

標準運用で利用者登録を使用する場合の手順を、以下に示します。

付与した権限をすべて削除します。権限の削除は、REVOKE文で行います。詳細は、“11.9 REVOKE文”を参照してください。
適用したスコープをすべて解除します。スコープの解除は、RELEASE SCOPE文で行います。
参照
詳細は、“SQLリファレンス”を参照してください。
利用者登録の使用を宣言します。SET SYSTEM PARAMETER文でセキュリティ形態パラメタのUSER_CONTROLにYESを指定します。詳細は、“11.12 SET SYSTEM PARAMETER文”を参照してください。
利用者を登録します。利用者の登録は、CREATE USER文で行います。詳細は、“11.5 CREATE USER文(利用者定義文)”を参照してください。
権限を付与します。権限の付与は、GRANT文で行います。詳細は、“11.8 GRANT文”を参照してください。
スコープを適用します。スコープの適用は、APPLY SCOPE文で行います。
参照
詳細は、“SQLリファレンス”を参照してください。

運用系コマンドに対するロールの使用: 標準運用をしている場合、ROLE_RANGEパラメタを使用することで運用系コマンドに対するロールの使用を有効にすることが可能です。
参照
ROLE_RANGEパラメタの詳細は、“セットアップガイド”を参照してください。

監査ログの取得: 標準運用をしている場合も、監査ログの取得が可能です。
参照
標準運用の監査ログの取得については、“RDB運用ガイド”を参照してください。