E.1 Oracle Label Securityのデータ・ディクショナリ表およびビュー
E.1.1 Oracle Databaseのデータ・ディクショナリ表
Oracle Label Securityでは、Oracleのデータ・ディクショナリ表がラベル付けされることはありません。アクセスは、標準的なOracle Databaseのシステム権限とオブジェクト権限により制御されます。 すべてのデータ・ディクショナリ表およびビューの詳細は、『Oracle Databaseリファレンス』を参照してください。
E.1.2 Oracle Label Securityのデータ・ディクショナリ・ビュー
Oracle Label Securityでは、データ・ディクショナリ表の独自セットがメンテナンスされます。これらの表は、ポリシーの施行対象から除外されます。この項では、Oracle Label Securityに関する情報を表示できるビューを示します。
DBAビューへのアクセス権は、デフォルトでSELECT_CATALOG_ROLEに付与されることに注意してください。これは、Oracle Databaseのデータ・ディクショナリを検証できる標準的なOracle Databaseのロールです。
E.1.2.1 ALL_SA_AUDIT_OPTIONS
E.1.2.2 ALL_SA_COMPARTMENTS
E.1.2.3 ALL_SA_DATA_LABELS
E.1.2.5 ALL_SA_LABELS
ALL_SA_LABELSへのアクセスはPUBLICです。ただし、参照できるのは、セッションにより読取りアクセスが認可されているラベルのみです。
E.1.2.8 ALL_SA_PROG_PRIVS
E.1.2.9 ALL_SA_SCHEMA_POLICIES
E.1.2.10 ALL_SA_TABLE_POLICIES
E.1.2.12 ALL_SA_USER_LABELS
|
注意: ALL_SA_USERSのUSER_LABELSフィールドおよびALL_SA_USER_LABELSのLABELSフィールドは下位互換性のために残され、次のリリースでは削除されます。 |
E.1.2.13 ALL_SA_USER_LEVELS
E.1.2.14 ALL_SA_USER_PRIVS
E.1.2.15 DBA_SA_AUDIT_OPTIONS
E.1.2.16 DBA_SA_COMPARTMENTS
E.1.2.17 DBA_SA_DATA_LABELS
E.1.2.19 DBA_SA_GROUP_HIERARCHY
E.1.2.23 DBA_SA_PROG_PRIVS
E.1.2.24 DBA_SA_SCHEMA_POLICIES
E.1.2.25 DBA_SA_TABLE_POLICIES
E.1.2.26 DBA_SA_USERS
|
注意: DBA_SA_USERSのUSER_LABELSフィールドは下位互換性のために残され、次のリリースでは削除されます。 |
E.1.2.27 DBA_SA_USER_COMPARTMENTS
E.1.2.28 DBA_SA_USER_GROUPS
E.1.2.29 DBA_SA_USER_LABELS
|
注意: DBA_SA_USER_LABELSのLABELSフィールドは下位互換性のために残され、次のリリースでは削除されます。 |
E.1.2.30 DBA_SA_USER_LEVELS
E.1.2.31 DBA_SA_USER_PRIVS
E.1.3 Oracle Label Securityの監査ビュー
SA_AUDIT_ADMIN.CREATE_VIEWプロシージャを使用すると、特定のポリシーの監査証跡ビューを作成できます。 デフォルトでは、このビューの名前はDBA_policyname_AUDIT_TRAILです。
DBA_SA_AUDIT_OPTIONSビューには、列POLICY_NAME、USER_NAME、APY、SET_およびPRVが含まれています。
E.2 Oracle Label Securityでの制限事項
このリリースのOracle Label Securityには、次の制限事項があります。
E.2.1 Oracle Label SecurityでのCREATE TABLE AS SELECTの制限
Oracle Label Securityポリシーで保護されているスキーマ内でCREATE TABLE AS SELECTの実行を試みると、文は失敗します。
E.2.2 ラベル・タグの制限
ラベル・タグは、データベース内のポリシー間で一意であることが必要です。 データベース内で複数のポリシーを使用する場合、異なるポリシー内で同じ数値ラベル・タグは使用できません。
E.2.3 Oracle Label Securityでのエクスポート制限
Oracle Label Securityでは不透明な型が使用されるため、LBACSYSスキーマはエクスポートできません。Oracle Label Securityをインストールした状態でデータベース全体をエクスポートできますが(パラメータFULL=Y)、LBACSYSスキーマはエクスポートされません。
E.2.4 Oracle Label Securityでの削除制限
LBACSYSアカウントではDROP USER CASCADEを実行しないでください。
AS SYSDBA構文を使用してデータベースにユーザーSYSで接続し、ファイル$ORACLE_HOME/rdbms/admin/catnools.sqlを実行して、Oracle Label Securityを削除します。
|
関連項目: プラットフォーム固有のOracleインストレーション・ガイドを参照してください。 |
E.2.5 共有スキーマのサポート
Oracle Internet Directoryに定義されているユーザー・アカウントに、個々のOracle Label Securityの認可を付与することはできません。 ただし、ディレクトリ・ユーザーがマップされている共有スキーマに認可を付与することはできます。
Oracle Label SecurityのファンクションSET_ACCESS_PROFILEをプログラムで使用すると、ユーザーが認証を受けて共有スキーマにマップされた後に使用する、ラベル認可プロファイルを設定できます。Oracle Label Securityでは、Oracle Label Security内でラベル認可が付与されているユーザーと実際のデータベース・ユーザー間のマッピングは施行されません。
E.2.6 非表示列の制限
PL/SQLでは、表にある非表示列の参照は認識されません。コンパイラ・エラーが生成されます。
E.3 Oracle Label Securityのインストール
Oracle Label Securityのインストール担当者は、最初に「カスタム」インストール・オプションを選択します。「カスタム」インストール画面にオプションの1つとしてOracle Label Securityが表示されます。Oracle Label SecurityファイルをコピーしてOracleを再リンクすると、インストーラ・ソフトウェアによりデータベース登録処理中にDatabase Configuration Assistant(DBCA)が自動的に起動され、作成するデータベースにあわせてオプションが構成されます。
DBCAでは、Oracle Label SecurityでOracle Internet Directoryを使用可能にする場合は、インストーラで追加のオプションを使用して、Oracle Directory Integration and Provisioning(DIP)ユーザーのパスワードを構成できます。デフォルトのパスワードDIPを持つDIPユーザーが、catproc.sqlにより作成されています。この構成手順の間にパスワードを設定すると、新規DIPパスワードを使用してDIPプロビジョニング・プロファイルが作成されます。
DBCAにより自動的に次の処理が実行されます。
-
catolsd.sqlが実行されます(スタンドアロンのOracle Label Security構成用にcatols.sqlを実行する場合と同様)。
-
このデータベースの指定のデータベースDNを使用してDIPプロビジョニング・プロファイルが作成されます。
-
ブートストラップ・ユーティリティが実行され、Oracle Internet Directoryからのポリシー情報でデータベースがリフレッシュされます。
-
データベースDNがcn=DBServersグループに追加されます。
|
注意: このパスワードに変更がある場合は、プロビジョニング・ツールoidprovtoolを使用して、この情報でOracle Internet Directoryを更新する必要があります。 |
E.3.1 Oracle Label SecurityおよびSYS.AUD$表
Oracle Label Securityをインストールすると、AUD$表がSYSからSYSTEMおよび異なる表領域に自動的に移動します。
Oracle Label Securityの使用中は、SYSTEMスキーマ内のAUD$表がサポートされます。
Oracle Label Securityをインストールしない場合、Oracleコードではアップグレードおよびバックアップ/リカバリ使用例のサポート中にSYS.AUD$などのデータ・ディクショナリ表が暗黙的に想定されるため、SYSTEM表領域からのSYS.AUD$表の移動はサポートされません。SYS.AUD$の移動がサポートされるのは、Oracle Label SecurityがインストールされていてOracleにより移動される場合のみです。
