ストアドプロシージャは DB2 に接続中のユーザによって実行されます。ストアドプロシージャを正常に実行するために、実行ユーザには該当するアクションを実行する OMVS セグメントと権限が必要です。
便宜上、セキュリティモデルは JES インタフェースで更新可能です (トランザクション DB2J、プロファイルパラメータボタン)。
● DB2 接続ユーザを選択する場合、DB2 接続ユーザには OMVS セグメントが必要です。JES インタフェース (トランザクション DB2J、ボタンパスワード) で TSO パスワードを更新する必要がなくなるため、これが最も使いやすいソリューションです。データベースとアプリケーションサーバをファイアウォールの後方に配置して SAP システムを安全にするための規格です。この規格に従えば、セキュリティに関する影響も限定的なものとなります。
一方で、DB2 接続ユーザは期限無制限のパスワードを保有している必要があります (『SAP DBA Guide for DB2』の DB2 接続ユーザ ID およびパスワードの設定を参照してください)。会社のセキュリティ方針によっては、ユーザに OMVS セグメントを与えることを禁止している場合があります。
● 管理者を選択し、管理者の権限で DB2 へのマルチコネクトを実行すると以前の動作がエミュレートされます。各管理者は TSO ID と同じ SAP ユーザ名を持ち、自分のパスワードを更新する必要があります。DBA アクションは、そのアクションをスケジュールした管理者の TSO ユーザで実行されます。
● ユーザを選択すると、関連入力項目でユーザを指定することができます。このユーザ権限で DB2 へのマルチコネクトを実行することにより、このユーザですべての DBA アクションが実行されます。利点は、設定する必要があるのはこのユーザのパスワードのみで、DBA アクションを実行するためにすべての SAP 管理者が同じ名前の TSO ユーザ名を保有している必要はないことです。
セキュリティモデル 1 および 3 は、制御不可の JCL ジョブが実行されないように、SAP セキュリティシステムによって保護されています。関連管理トランザクションを実行するには、オペレータプロファイル S_A.ADMIN または S_DB_DBADM が必要です。同じ名前の TSO ユーザ名を保有していなくてもシステムにログオンして SAP サポートがサポートを行うことができるため、セキュリティモデル 3 は推奨オプションとなります。ただし、会社の方針によりできない場合もあります。
DBA アクションを実行するユーザは、DB2 サブシステムで以下の権限が必要です。
● 権限SYSADM
● DB2 接続パッケージの権限SYSCTRL、EXECUTE、およびすべての DB2 カタログテーブルの権限 SELECT
これには、SAP ノート843808 で詳細が説明されているdb2radm ツールを使用することができます。たとえば、アプリケーションサーバが実行される OS システムコンソールで以下のコマンドを発行します。
db2radm -m db2i -L <DDF-Location> -P <DDF-Port> -S <SSID> -H <hostname>
以下のオプションを使用することができます
● -Q <DBA アクションを実行するユーザ>
● -U <DBA アクションを実行するユーザ>
● -u <許可ユーザ、SYSADM 権限が必要>
● -p <許可ユーザのパスワード>
テーブル DBCON に ‘デフォルト’ という名称の接続が設定されていない場合、オプション -C <コレクション ID> は省略する必要があります。このオプションが設定され、さらにパラメータ PS が列 CON_ENV に設定されている場合は、オプションをこのパラメータと同じに設定する必要があります。