IBM DB2에서 감사 로그를 저장하는 방법
목차
casso12kr
목차
2
시작하기 전에
데이터베이스 인스턴스에 대한 테이블 공간 페이지 크기(page_size) 및 버퍼 풀 페이지 크기 설정을 각각 16,000 이상으로 설정해야 합니다. 각 설정의 기본 DB2 값이 감사 로그 스키마용으로 충분하지 않습니다.
데이터베이스 정보 수집
단일 IBM DB2 데이터베이스를 정책 저장소 또는 다른 유형의
Single Sign-On
데이터 저장소로 작동하도록 구성하려면 특정 데이터베이스 정보가 필요합니다.다음 사항을 고려하십시오.
- W 접두사가 붙은 정보는 Windows 요구 사항을 나타냅니다.
- U 접두사가 붙은 정보는 UNIX 요구 사항을 나타냅니다.
정책 저장소나 다른 유형의
Single Sign-On
데이터 저장소를 구성하기 전에 다음 정보를 수집하십시오. IBM DB2 정보 워크시트를 사용하여 값을 기록할 수 있습니다.- 데이터베이스 인스턴스 이름- 정책 저장소 또는 데이터 저장소로 기능하는 데이터베이스 인스턴스의 이름을 확인합니다.
- 관리 계정- 데이터베이스의 개체에 대한 생성, 읽기, 수정 및 삭제 권한이 있는 계정의 사용자 이름을 확인합니다.
- 관리 암호- 관리 계정의 암호를 확인합니다.
- IP 주소- 데이터베이스 호스트 시스템의 IP 주소를 확인합니다.
- Tcp 포트- 데이터베이스가 수신 대기하는 포트를 확인합니다.
- (W)데이터 원본 이름- 데이터베이스 원본을 식별할 이름을 확인합니다.
- (U)정책 서버 루트- 정책 서버가 설치된 위치의 명시적 경로를 확인합니다.
- (U)패키지- 동적 SQL을 처리할 패키지의 이름을 확인합니다.
- (U)패키지 소유자- 패키지에 할당된 AuthID를 확인합니다. AuthID는 패키지의 모든 SQL을 실행할 권한이 있어야 합니다.
- (U)권한 부여 AuthID- 패키지에 대한 실행 권한을 제한하려면 패키지에 대한 실행 권한이 부여된 AuthID를 확인합니다.기본 유선 프로토콜 설정:공용
- (U)격리 수준- 시스템에서 잠금을 획득하고 해제하는 방법을 확인합니다.기본 유선 프로토콜 설정:CURSOR_STABILTY
- (U)동적 섹션- 유선 프로토콜 드라이버 패키지에서 단일 사용자에 대해 준비할 수 있는 섹션의 수를 확인합니다.기본 유선 프로토콜 설정:100
감사 저장소 스키마 만들기
IBM DB2 데이터베이스에서 감사 로그를 저장할 수 있도록
Single Sign-On
스키마를 생성하십시오.다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- siteminder_home\db\tier2\DB2로 이동합니다.
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 파일을 열고 내용을 텍스트 편집기에 복사합니다.sm_db2_logs.sql
- 다음 줄에서 NULL을 제거합니다.sm_assertion_id VARCHAR(255) NULL,sm_assertion_issuerid VARCHAR(255) NULL,sm_assertion_destinationurl VARCHAR(4096) NULL,sm_assertion_statuscode VARCHAR(255) NULL,sm_assertion_NotOnBefore TIMESTAMP,sm_assertion_notonorafter TIMESTAMP,sm_assertion_sess_starttime TIMESTAMP,sm_assertion_sess_notonorafter TIMESTAMP,sm_assertion_authcontext VARCHAR(255) NULL,sm_assertion_versionid VARCHAR(255) NULL,sm_assertion_claims VARCHAR(255) NULL,sm_application_name VARCHAR(255) NULL,sm_tenant_name VARCHAR(255) NULL,sm_authentication_method VARCHAR(255) NULL
- 변경 내용을 파일에 저장합니다.
- 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.참고:쿼리 실행에 대한 자세한 내용은 IBM 설명서를 참조하십시오.감사 저장소 스키마가 데이터베이스에 추가됩니다.
Single Sign-On
에 대한 IBM DB2 데이터 원본 구성ODBC를 사용하는 경우
Single Sign-On
이 Single Sign-On
데이터 저장소와 통신할 수 있도록 데이터 원본을 구성합니다.Windows 시스템에서 DB2 데이터 원본 만들기
ODBC를 사용하는 경우 DB2 유선 프로토콜 드라이버에 대한 DB2 데이터 원본을 생성할 수 있습니다.
다음 단계를 수행하십시오.
- 다음 단계 중 하나를 완료하십시오.
- 지원되는 32비트 Windows 운영 체제를 사용 중인 경우 "시작"을 클릭하고 "프로그램", "관리 도구", "ODBC 데이터 원본"을 차례로 선택합니다.
- 지원되는 64비트 Windows 운영 체제를 사용 중인 경우 다음을 수행합니다.
- install_home\Windows\SysWOW64로 이동합니다.
- odbcad32.exe를 두 번 클릭합니다.
- "시스템 DSN" 탭을 클릭하고 "추가"를 클릭합니다.
- 아래로 스크롤하여 "Single Sign-OnDB2 Wire Protocol"을 선택하고 "마침"을 클릭합니다.
- "ODBC DB2 Wire Protocol Driver 설정" 대화 상자의 "일반" 탭에서 다음 단계를 완료합니다.
- "데이터 원본 이름" 필드에 이름을 입력합니다.예:SiteMinder DB2 Wire Data Source
- (선택 사항) "설명" 필드에 DB2 유선 프로토콜 데이터 원본에 대한 설명을 입력합니다.
- "IP 주소" 필드에 DB2 데이터베이스가 설치된 IP 주소를 입력합니다.
- "TCP 포트" 필드에 DB2가 시스템에서 수신 대기하는 포트 번호를 입력합니다.
- "연결 테스트"를 클릭합니다.연결이 테스트됩니다.
- "확인"을 클릭합니다."ODBC DB2 Wire Protocol Driver 설정" 대화 상자가 닫히고, 선택 내용이 저장되고 DB2 데이터 원본이 Windows 시스템에 생성됩니다.
참고:
이제 생성한 데이터 원본을 사용하도록 Single Sign-On
을 구성할 수 있습니다.UNIX 시스템에서 DB2 데이터 원본 만들기
CA Single Sign-on
ODBC 데이터 원본은 system_odbc.ini 파일을 사용하여 구성합니다. 이 파일은 policy_server_home/db에 있는 db2wire.ini를 system_odbc.ini로 이름을 바꿔 생성할 수 있습니다. 이 system_odbc.ini 파일에는 사용할 수 있는 ODBC 데이터 원본의 이름뿐 아니라 이러한 데이터 원본과 연관된 특성도 모두 들어 있습니다. 각 사이트에 맞게 이 파일을 사용자 지정해야 합니다. CA Single Sign-on
에 대한 추가 ODBC 사용자 디렉터리를 정의하는 등 이 파일에 데이터 원본을 더 추가할 수도 있습니다.system_odbc.ini 파일의 첫 번째 섹션인 [ODBC Data Sources]에는 현재 사용할 수 있는 모든 데이터 원본의 목록이 들어 있습니다. "=" 앞의 이름은 해당 파일에서 각 개별 데이터 원본을 설명하는 이후 섹션을 나타냅니다. "=" 뒷부분은 주석 필드입니다.
system_odbc.ini 파일에는 각 데이터 원본의 특성을 설명하는 섹션이 있습니다. 첫 번째 특성은 해당 데이터 원본이
CA Single Sign-on
에서 사용될 때 로드되는 ODBC 드라이버입니다. 나머지 특성은 드라이버마다 다릅니다.DB2 데이터 원본을 추가하려면 파일의 [ODBC Data Sources] 섹션에 새 데이터 원본 이름을 추가한 후 데이터 원본과 동일한 이름을 사용하여 데이터 원본을 설명하는 섹션을 추가해야 합니다. 새 서비스 이름을 생성하거나 다른 드라이버를 사용하려는 경우에는 system_odbc.ini 파일을 변경해야 합니다. [SiteMinder Data Source] 아래에 DB2 드라이버에 대한 항목을 추가해야 합니다.
또한 DB2 데이터 원본을 구성하려면 먼저
policy_server_home
/db 디렉터리에 system_odbc.ini 파일을 생성해야 합니다. 이를 위해서는 policy_server_home
/db에 있는 db2wire.ini를 system_odbc.ini로 이름을 바꿔야 합니다.참고:
policy_server_home
은 정책 서버 설치 경로입니다.DB2 유선 프로토콜 드라이버 구성
다음 표에서는 DB2 데이터 원본의 구성 매개 변수를 보여 줍니다. 이러한 매개 변수를 편집하여 데이터 원본에 대해 별도의 키, 감사 로그, 세션 및 샘플 사용자 데이터베이스를 구성할 수 있습니다.
매개 변수
| 설명
| 편집 방법
|
Data Source Name | 데이터 원본의 이름입니다. | 데이터 원본 이름을 대괄호로 묶어 입력합니다. |
Driver | SiteMinder DB2 유선 프로토콜 드라이버의 전체 경로입니다. | "nete_ps_root"를 정책 서버 설치 디렉터리로 바꿉니다. |
설명 | 데이터 원본에 대한 설명입니다. | 원하는 대로 설명을 입력합니다. |
데이터베이스 | DB2 UDB 데이터베이스의 이름입니다. | "nete_database"를 DB2 UDB 서버에 구성된 데이터베이스의 이름으로 바꿉니다. |
IPAddress | DB2 UDB 서버의 IP 주소나 호스트 이름입니다. | "nete_server_ip"를 DB2 UDB 서버의 IP 주소나 호스트 이름으로 바꿉니다. |
TcpPort | DB2 UDB 서버의 TCP 포트 번호입니다. | 기본값 50000을 DB2 UDB 서버의 실제 TCP 포트 번호로 바꿉니다. |
Package | 동적 SQL을 처리할 패키지의 이름입니다. | "nete_package"를 생성하려는 패키지의 이름으로 바꿉니다. |
PackageOwner | (선택 사항) 패키지에 할당된 AuthID입니다. | 기본적으로 비어 있습니다. 이 DB2 AuthID에는 패키지의 모든 SQL을 실행할 수 있는 권한이 있어야 합니다. |
GrantAuthid | 패키지에 대한 실행 권한이 부여된 AuthID입니다. | 기본적으로 "PUBLIC"입니다. 패키지에 대한 실행 권한을 제한하려는 경우 원하는 AuthID를 지정합니다. |
GrantExecute | GrantAuthid에 나열된 AuthID에 실행 권한을 부여할지 여부를 지정합니다. | 1 또는 0이 될 수 있습니다. 기본적으로 0으로 설정됩니다. |
IsolationLevel | 시스템에서 잠금을 확보 및 해제하는 방법입니다. | 기본값은 CURSOR_STABILITY입니다. |
DynamicSections | DB2 유선 프로토콜 드라이버 패키지가 단일 사용자에 대해 준비할 수 있는 문의 수입니다. | 기본값은 100입니다. 원하는 문 수를 입력합니다. |
정책 서버를 데이터베이스에 연결
정책 서버가 감사 로그를 읽고 저장할 수 있도록 정책 서버를 데이터베이스에 연결하십시오.
정책 서버를 데이터 저장소에 연결하려면
- 정책 서버 관리 콘솔을 열고 "데이터" 탭을 클릭합니다.데이터베이스 설정이 표시됩니다.
- "저장소" 목록에서 "ODBC"를 선택합니다.ODBC 설정이 표시됩니다.
- "데이터베이스" 목록에서 "감사 로그"를 선택합니다.
- "저장소" 목록에서 "ODBC"를 선택합니다.데이터 원본 설정이 활성화됩니다.
- "데이터 원본 정보" 필드에 데이터 원본 이름을 입력합니다.
- (Windows) 입력하는 이름은 데이터 원본을 생성할 때 "데이터 원본 이름" 필드에 입력한 이름과 일치해야 합니다.
- (UNIX) 입력하는 이름은 system_odbc.ini 파일의 데이터 원본 항목 첫 행과 일치해야 합니다. 기본적으로 이 파일의 첫 행은 [SiteMinder Data Sources]입니다. 첫 번째 항목을 수정한 경우 올바른 값을 입력해야 합니다.
- 데이터베이스 인스턴스에 대한 모든 권한이 있는 데이터베이스 계정의 사용자 이름 및 암호를 해당 필드에 입력하고 확인합니다.
- Single Sign-On에 할당되는 최대 데이터베이스 연결 수를 지정합니다.참고:최상의 성능을 위해서는 기본값을 유지하는 것이 좋습니다.
- "적용"을 클릭합니다.설정이 저장됩니다.
- "연결 테스트"를 클릭합니다.CA Single Sign-on에 정책 서버가 데이터 저장소에 액세스할 수 있다는 확인 메시지가 표시됩니다.
- "확인"을 클릭합니다.정책 서버가 데이터베이스를 감사 로깅 데이터베이스로 사용하도록 구성되었습니다.
정책 서버 다시 시작
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 엽니다.
- "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.정책 서버가 중지되고 빨강 표시등이 표시됩니다.
- "시작"을 클릭합니다.정책 서버가 시작되고 녹색 표시등이 표시됩니다.참고: Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.