コンテンツエリア開始

Background documentation ストアドプロシージャのセキュリティ上の考慮事項 Locate the document in its SAP Library structure

 

ストアドプロシージャは DB2 に接続中のユーザによって実行されます。ストアドプロシージャを正常に実行するために、実行ユーザには該当するアクションを実行する OMVS セグメントと権限が必要です。

便宜上、セキュリティモデルは JES インタフェースで更新可能です (トランザクション DB2Jプロファイルパラメータボタン)

      DB2 接続ユーザを選択する場合、DB2 接続ユーザには OMVS セグメントが必要です。JES インタフェース (トランザクション DB2J、ボタンパスワード) TSO パスワードを更新する必要がなくなるため、これが最も使いやすいソリューションです。データベースとアプリケーションサーバをファイアウォールの後方に配置して SAP システムを安全にするための規格です。この規格に従えば、セキュリティに関する影響も限定的なものとなります。

一方で、DB2 接続ユーザは期限無制限のパスワードを保有している必要があります (SAP DBA Guide for DB2 DB2 接続ユーザ ID およびパスワードの設定を参照してください)会社のセキュリティ方針によっては、ユーザに OMVS セグメントを与えることを禁止している場合があります。

      管理者を選択し、管理者の権限で DB2 へのマルチコネクトを実行すると以前の動作がエミュレートされます。各管理者は TSO ID と同じ SAP ユーザ名を持ち、自分のパスワードを更新する必要があります。DBA アクションは、そのアクションをスケジュールした管理者の TSO ユーザで実行されます。

      ユーザを選択すると、関連入力項目でユーザを指定することができます。このユーザ権限で DB2 へのマルチコネクトを実行することにより、このユーザですべての DBA アクションが実行されます。利点は、設定する必要があるのはこのユーザのパスワードのみで、DBA アクションを実行するためにすべての SAP 管理者が同じ名前の TSO ユーザ名を保有している必要はないことです。

DB2 接続ユーザおよびユーザとのセキュリティモデルについて

セキュリティモデル 1 および 3 は、制御不可の JCL ジョブが実行されないように、SAP セキュリティシステムによって保護されています。関連管理トランザクションを実行するには、オペレータプロファイル S_A.ADMIN または S_DB_DBADM が必要です。同じ名前の TSO ユーザ名を保有していなくてもシステムにログオンして SAP サポートがサポートを行うことができるため、セキュリティモデル 3 は推奨オプションとなります。ただし、会社の方針によりできない場合もあります。

管理者およびユーザのセキュリティモデルについて

DBA アクションを実行するユーザは、DB2 サブシステムで以下の権限が必要です。

      権限SYSADM

      DB2 接続パッケージの権限SYSCTRLEXECUTE、およびすべての DB2 カタログテーブルの権限 SELECT

これには、SAP ノート843808 で詳細が説明されているdb2radm ツールを使用することができます。たとえば、アプリケーションサーバが実行される OS システムコンソールで以下のコマンドを発行します。

db2radm -m db2i -L <DDF-Location> -P <DDF-Port> -S <SSID> -H  <hostname>

以下のオプションを使用することができます

      -Q <DBA アクションを実行するユーザ>

      -U <DBA アクションを実行するユーザ>

      -u <許可ユーザSYSADM 権限が必要>

      -p <許可ユーザのパスワード>

テーブル DBCON デフォルト という名称の接続が設定されていない場合、オプション -C <コレクション ID> は省略する必要があります。このオプションが設定され、さらにパラメータ PS が列 CON_ENV に設定されている場合は、オプションをこのパラメータと同じに設定する必要があります。

 

コンテンツエリア終了