13 GGSCIコマンド・セキュリティの構成
Oracle GoldenGateでコマンド・セキュリティを確立して、Oracle GoldenGate機能へのアクセスを許可するユーザーを制御できます。
注意:
GGSCI
プログラムは、Oracle GoldenGate CAでのみ使用できます。
たとえば、特定のユーザーにINFO
コマンドおよびSTATUS
コマンドの発行を許可する一方で、START
コマンドおよびSTOP
コマンドの使用を拒否できます。セキュリティ・レベルは、オペレーティング・システムのユーザー・グループによって定義されます。
Oracle GoldenGateコマンドに対するセキュリティを実装するには、Oracle GoldenGateディレクトリにCMDSEC
ファイルを作成します。このファイルがない場合、すべてのユーザーにすべてのOracle GoldenGateコマンドに対するアクセス権が付与されます。
注意:
GGSCI
プログラムのセキュリティは、オペレーティング・システムのセキュリティ制御機能によって制御されます。
トピック:
コマンド・セキュリティの設定
次の例は、UNIXシステムでのCMDSEC
ファイルの適切な実装を示しています。
表13-1 サンプルのCMDSECファイルとその説明
ファイルの内容 | 説明 |
---|---|
#GG command security |
コメント行 |
STATUS REPLICAT * Smith NO |
|
STATUS * dpt1 * YES |
先行するルールを除き、すべての |
START REPLICAT root * YES |
|
START REPLICAT * * NO |
先行するルールを除き、 |
* EXTRACT 200 * NO |
すべての |
* * root root YES |
|
* * * * NO |
すべてのユーザーに対してすべてのコマンドが拒否されます。この行によって、先行するルールで明示的にアクセスを許可または拒否していない他のすべてのユーザーのセキュリティに対応します。そうしないと、先行する明示的な許可または拒否を除き、すべてのユーザーに対してすべてのコマンドが許可されます。 |
次の不適切な例は、CMDSEC
ファイルの作成時に避ける必要のある設定を示しています。
表13-2 不適切なCMDSECのエントリ
ファイルの内容 | 説明 |
---|---|
STOP * dpt2 * NO |
すべての |
STOP * * Chen YES |
すべての |
表13-2のエントリ順序では、論理エラーが発生します。1番目のルール(1行目)によって、すべてのSTOP
コマンドがグループdpt2
のすべてのメンバーに対して拒否されます。2番目のルール(2行目)によって、すべてのSTOP
コマンドがユーザーChen
に対して許可されます。このとき、Chenは、dpt2
グループのメンバーであるため、このコマンドを発行する権限を付与される必要があっても、2番目のルールによってすべてのSTOP
コマンドに対するアクセスを拒否されます。
このセキュリティ・ルールを適切に構成する方法は、ユーザー固有のルールを、それよりも一般的な1つ以上のルールの前に設定することです。したがって、エラーを修正するには、2つのSTOP
ルールの順序を逆にします。
親トピック: GGSCIコマンド・セキュリティの構成
CMDSECファイルの保護
GGSCIプログラムとCMDSECファイルのセキュリティは、オペレーティング・システムのセキュリティ制御機能によって制御されます。CMDSEC
ファイルは、セキュリティの根源であるため、保護する必要があります。読取りアクセスは必要に応じて付与してかまいませんが、書込みアクセスと削除アクセスは、Oracle GoldenGate Administratorsにのみ許可することをお薦めします。
親トピック: GGSCIコマンド・セキュリティの構成