監査ログを IBM DB2 に格納する方法

目次
casso127jpjp
目次
2
事前準備
データベース インスタンスのテーブルスペース ページ サイズ(page_size)およびバッファプール ページ サイズ設定が、それぞれ 16k 以上に設定されていることを確認してください。各設定に対するデフォルト DB2 値は監査ログ スキーマでは十分ではありません。
データベース情報の収集
ポリシー ストアまたは他の任意のタイプの
Single Sign-On
データ ストアとして機能するように単一の IBM DB2 データベースを設定するには、特定のデータベース情報が必要です。
以下の点を考慮します。
  • W から始まる情報は Windows の要件を表します。
  • U から始まる情報は UNIX の要件を表します。
ポリシー ストアまたは他のタイプの
Single Sign-On
データ ストアを設定する前に、以下の情報を収集します。IBM DB2 情報のワークシートを使用して値を記録できます。
  • データベース インスタンス名
    - ポリシー ストアまたはデータ ストアとして機能するデータベース インスタンスの名前を決定します。
  • 管理アカウント
    - データベース内のオブジェクトを作成、読み取り、変更、および削除する権限があるアカウントのユーザ名を決定します。
  • 管理パスワード
    - 管理アカウントのパスワードを決定します。
  • IP アドレス
    - データベース ホスト システムの IP アドレスを決定します。
  • TCP ポート
    - データベースがリスンするポートを決定します。
  • (W)
    データ ソース名
    - データ ソースを識別する名前を決定します。
  • (U)
    ポリシー サーバ ルート
    - ポリシー サーバがインストールされている場所の明示的なパスを決定します。
  • (U)
    パッケージ
    - 動的 SQL を処理するパッケージの名前を決定します。
  • (U)
    パッケージ所有者
    - パッケージに割り当てられた AuthID を決定します。この AuthID には、パッケージ内のすべての SQL を実行するための権限が必要です。
  • (U)
    付与 AuthID
    - パッケージに対する実行権限を制限する場合は、パッケージに対する実行権限を付与される AuthID を決定します。
    デフォルト ワイヤ プロトコル設定:
    パブリック
  • (U)
    分離レベル
    - システムがロックを取得しリリースする方法を決定します。
    デフォルト ワイヤ プロトコル設定:
    CURSOR_STABILTY
  • (U)
    ダイナミック セクション
    - ワイヤ プロトコル ドライバ パッケージが 1 人のユーザに用意できるセッションの数を決定します。
    デフォルト ワイヤ プロトコル設定:
    100
監査ストア スキーマの作成
IBM DB2 データベースが監査ログを格納できるように、
Single Sign-On
スキーマを作成します。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. siteminder_home
    \db\tier2\DB2 に移動します。
    • siteminder_home
      ポリシー サーバのインストール パスを指定します。
  3. 以下のファイルを開き、内容をテキスト エディタにコピーします。
    sm_db2_logs.sql
  4. 以下の行から NULL を削除します。
    sm_assertion_id         VARCHAR(255) NULL,
    sm_assertion_issuerid   VARCHAR(255) NULL,
    sm_assertion_destinationurl     VARCHAR(4096) NULL,
    sm_assertion_statuscode         VARCHAR(255) NULL,
    sm_assertion_NotOnBefore    TIMESTAMP,
    sm_assertion_notonorafter       TIMESTAMP,
    sm_assertion_sess_starttime     TIMESTAMP,
    sm_assertion_sess_notonorafter  TIMESTAMP,
    sm_assertion_authcontext        VARCHAR(255) NULL,
    sm_assertion_versionid          VARCHAR(255) NULL,
    sm_assertion_claims             VARCHAR(255) NULL,
    sm_application_name             VARCHAR(255) NULL,
    sm_tenant_name                  VARCHAR(255) NULL,
    sm_authentication_method        VARCHAR(255) NULL
  5. ファイルの変更を保存します。
  6. クエリに内容を貼り付けて、クエリを実行します。
    注:
    クエリ実行の詳細については、IBM のドキュメントを参照してください。
    監査ストア スキーマがデータベースに追加されます。
Single Sign-On
用の IBM DB2 データ ソースの設定
ODBC を使用している場合、
Single Sign-On
Single Sign-On
データ ストアと通信できるようデータ ソースを設定します。
Windows システムでの DB2 データ ソースの作成
ODBC を使用している場合は、DB2 ワイヤ プロトコル ドライバ用の DB2 データ ソースを作成できます。
以下の手順に従います。
  1. 以下のいずれかの操作を実行します。
    • サポートされた 32 ビットの Windows オペレーティング システムを使用している場合は、[スタート]をクリックし、[プログラム]-[管理ツール]-[ODBC データ ソース]を選択します。
    • サポートされる 64 ビットの Windows オペレーティング システムを使用している場合:
      1. install_home
        \Windows\SysWOW64 に移動します。
      2. odbcad32.exe をダブルクリックします
    [ODBC データ ソース アドミニストレータ]が表示されます。
  2. [システム DSN]タブをクリックして、[追加]をクリックします。
  3. 下にスクロールして
    Single Sign-On
    DB2 Wire Protocol を選択し、[完了]をクリックします。
  4. [ODBC DB2 Wire Protocol ドライバのセットアップ]ダイアログ ボックスの[全般]タブで、以下の操作を行います。
    1. [データ ソース名]フィールドに、任意の名前を入力します。
      例:
      SiteMinder DB2 Wire Data Source
    2. (オプション)[説明]フィールドに、DB2 ワイヤ プロトコル データ ソースの説明を入力します。
    3. [IP アドレス]フィールドに、DB2 データベースがインストールされている場所の IP アドレスを入力します。
    4. [Tcp ポート]フィールドに、DB2 がシステムでリスンするポート番号を入力します。
    5. [接続のテスト]をクリックします。
      接続がテストされます。
  5. [OK]をクリックします。
    [ODBC DB2 Wire Protocol ドライバのセットアップ]ダイアログ ボックスが閉じて、選択内容が保存されます。DB2 データ ソースが Windows システム上に作成されます。
注:
作成したデータ ソースを使用するように
Single Sign-On
を設定できます。
UNIX システムでの DB2 データ ソースの作成
CA Single Sign-on
ODBC データ ソースは、system_odbc.ini ファイルを使用して設定します。このファイルは、policy_server_home/db にある db2wire.ini の名前を変更して作成できます。この system_odbc.ini ファイルには、使用可能な ODBC データ ソースの名前すべてと、それらのデータ ソースと関連付けられた属性が含まれています。このファイルは、サイトごとに機能するようカスタマイズする必要があります。また、
CA Single Sign-on
用に追加の ODBC ユーザ ディレクトリを定義するなど、このファイルに別のデータ ソースを追加することもできます。
system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使用可能なデータ ソースすべてのリストが含まれています。「=」の前の名前は、個別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示しています。「=」の後には、コメント フィールドがあります。
system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクションがあります。最初の属性は、このデータ ソースが
CA Single Sign-on
で使用される際にロードされる ODBC ドライバです。残りの属性は、そのドライバに固有です。
DB2 データ ソースを追加するには、ファイルの[ODBC Data Sources]セクションに新規データ ソース名を追加し、データ ソースと同じ名前を使用してデータ ソースを表すセクションを追加します。新しいサービス名を作成したり、別のドライバを使用する場合は、system_odbc.ini ファイルを変更する必要があります。[SiteMinder Data Source]の下に、DB2 ドライバのエントリが必要です。
すでに説明したように、DB2 データ ソースを設定するには、まず、
policy_server_home
/db ディレクトリに system_odbc.ini ファイルを作成する必要があります。これを行うには、
policy_server_home
/db にある db2wire.ini の名前を system_odbc.ini に変更する必要があります。
注:
policy_server_home
にはポリシー サーバのインストール パスを指定します。
DB2 ワイヤ プロトコル ドライバの設定
以下の表に、DB2 データ ソースの設定パラメータを示します。これらのパラメータを編集することで、キー、監査ログ、セッション、およびサンプル ユーザ データベース別にデータ ソースを設定することができます。
パラメータ
説明
編集方法
データ ソース名
データ ソースの名前。
データ ソース名を角かっこで囲んで入力します。
Driver
SiteMinder DB2 ワイヤ プロトコル ドライバの完全パス。
「nete_ps_root」を、ポリシー サーバのインストール ディレクトリに置き換えます。
説明
データ ソースの説明。
任意の希望する説明を入力します。
データベース
DB2 UDB データベースの名前。
「nete_database」を、DB2 UDB サーバ上に設定されたデータベースの名前に置き換えます。
IP アドレス
DB2 UDB サーバの IP アドレスまたはホスト名。
「nete_server_ip」を、DB2 UDB サーバの IP アドレスまたはホスト名に置き換えます。
TCP ポート
DB2 UDB サーバの TCP ポート番号。
デフォルト値の 50000 を、DB2 UDB サーバの実際の TCP ポート番号に置き換えます。
パッケージ
動的 SQL を処理するパッケージの名前。
「nete_package」を、作成するパッケージの名前に置き換えます。
PackageOwner
(任意)パッケージに割り当てられた AuthID。
デフォルトは空です。この DB2 AuthID には、パッケージ内のすべての SQL を実行するための権限が必要です。
GrantAuthid
パッケージの実行権限が付与される AuthID。
デフォルトは「PUBLIC」です。パッケージの実行権限を制限したい場合は、必要な AuthID を指定します。
GrantExecute
GrantAuthid にリストされている AuthID に実行権限を付与するかどうかを指定します。
1 または 0 のどちらかを指定できます。デフォルトでは 0 に設定されます。
IsolationLevel
システムがロックを獲得および解放する方法。
デフォルトは CURSOR_STABILITY です。
DynamicSections
DB2 Wire Protocol ドライバ パッケージが 1 人のユーザに用意できるステートメントの数。
デフォルトは 100 です。必要なステートメント数を入力します。
ポリシー サーバに対する参照データベースの指定
ポリシー サーバが、監査ログを読み取りおよび保存できるように、ポリシー サーバに、参照するデータベースを指定します。
ポリシー サーバがデータ ストアを参照するようにする方法
  1. ポリシー サーバ管理コンソールを開き、[データ]タブをクリックします。
    データベース設定が表示されます。
  2. [ストレージ]リストから[ODBC]を選択します。
    ODBC 設定が表示されます。
  3. [データベース]リストから[監査ログ]を選択します。
  4. [ストレージ]リストから[ODBC]を選択します。
    データ ソース設定がアクティブになります。
  5. [データ ソース情報]フィールドにデータ ソースの名前を入力します。
    • (Windows)このエントリは、データ ソースを作成したときに[データ ソース名]フィールドに入力した名前と一致する必要があります。
    • (UNIX)このエントリは、system_odbc.ini ファイルのデータ ソース エントリの最初の行と一致している必要があります。デフォルトでは、このファイルの最初の行は [SiteMinder Data Sources] です。最初のエントリを変更した場合は、正しい値を入力していることを確認します。
  6. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権限を持つデータベース アカウントのユーザ名およびパスワードを入力し確認します。
  7. Single Sign-On
    に割り当てるデータベース接続の最大数を指定します。
    注:
    最適なパフォーマンスを得るためにデフォルトの設定を保持することを推奨します。
  8. [適用]をクリックします。
    設定が保存されます。
  9. [テスト接続]をクリックします。
    ポリシー サーバがデータ ストアにアクセスできるという確認が
    CA Single Sign-on
    から返されます。
  10. [OK]をクリックします。
    ポリシー サーバは監査ログ データベースとしてそのデータベースを使用するように設定されます。
ポリシー サーバの再起動
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    注:
    UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。