IBM DB2에서 감사 로그를 저장하는 방법

목차
casso126kkr
목차
2
시작하기 전에
데이터베이스 인스턴스에 대한 테이블 공간 페이지 크기(page_size) 및 버퍼 풀 페이지 크기 설정을 각각 16,000 이상으로 설정해야 합니다. 각 설정의 기본 DB2 값이 감사 로그 스키마용으로 충분하지 않습니다.
데이터베이스 정보 수집
단일 IBM DB2 데이터베이스를 정책 저장소 또는 다른 유형의
Single Sign-On
데이터 저장소로 작동하도록 구성하려면 특정 데이터베이스 정보가 필요합니다.
다음 사항을 고려하십시오.
  • W 접두사가 붙은 정보는 Windows 요구 사항을 나타냅니다.
  • U 접두사가 붙은 정보는 UNIX 요구 사항을 나타냅니다.
정책 저장소나 다른 유형의
Single Sign-On
데이터 저장소를 구성하기 전에 다음 정보를 수집하십시오. IBM DB2 정보 워크시트를 사용하여 값을 기록할 수 있습니다.
  • 데이터베이스 인스턴스 이름
    - 정책 저장소 또는 데이터 저장소로 기능하는 데이터베이스 인스턴스의 이름을 확인합니다.
  • 관리 계정
    - 데이터베이스의 개체에 대한 생성, 읽기, 수정 및 삭제 권한이 있는 계정의 사용자 이름을 확인합니다.
  • 관리 암호
    - 관리 계정의 암호를 확인합니다.
  • IP 주소
    - 데이터베이스 호스트 시스템의 IP 주소를 확인합니다.
  • Tcp 포트
    - 데이터베이스가 수신 대기하는 포트를 확인합니다.
  • (W)
    데이터 원본 이름
    - 데이터베이스 원본을 식별할 이름을 확인합니다.
  • (U)
    정책 서버 루트
    - 정책 서버가 설치된 위치의 명시적 경로를 확인합니다.
  • (U)
    패키지
    - 동적 SQL을 처리할 패키지의 이름을 확인합니다.
  • (U)
    패키지 소유자
    - 패키지에 할당된 AuthID를 확인합니다. AuthID는 패키지의 모든 SQL을 실행할 권한이 있어야 합니다.
  • (U)
    권한 부여 AuthID
    - 패키지에 대한 실행 권한을 제한하려면 패키지에 대한 실행 권한이 부여된 AuthID를 확인합니다.
    기본 유선 프로토콜 설정:
    공용
  • (U)
    격리 수준
    - 시스템에서 잠금을 획득하고 해제하는 방법을 확인합니다.
    기본 유선 프로토콜 설정:
    CURSOR_STABILTY
  • (U)
    동적 섹션
    - 유선 프로토콜 드라이버 패키지에서 단일 사용자에 대해 준비할 수 있는 섹션의 수를 확인합니다.
    기본 유선 프로토콜 설정:
    100
감사 저장소 스키마 만들기
IBM DB2 데이터베이스에서 감사 로그를 저장할 수 있도록
Single Sign-On
스키마를 생성하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 호스트 시스템에 로그인합니다.
  2. siteminder_home
    \db\tier2\DB2로 이동합니다.
    • siteminder_home
      정책 서버 설치 경로를 지정합니다.
  3. 다음 파일을 열고 내용을 텍스트 편집기에 복사합니다.
    sm_db2_logs.sql
  4. 다음 줄에서 NULL을 제거합니다.
    sm_assertion_id         VARCHAR(255) NULL,
    sm_assertion_issuerid   VARCHAR(255) NULL,
    sm_assertion_destinationurl     VARCHAR(4096) NULL,
    sm_assertion_statuscode         VARCHAR(255) NULL,
    sm_assertion_NotOnBefore    TIMESTAMP,
    sm_assertion_notonorafter       TIMESTAMP,
    sm_assertion_sess_starttime     TIMESTAMP,
    sm_assertion_sess_notonorafter  TIMESTAMP,
    sm_assertion_authcontext        VARCHAR(255) NULL,
    sm_assertion_versionid          VARCHAR(255) NULL,
    sm_assertion_claims             VARCHAR(255) NULL,
    sm_application_name             VARCHAR(255) NULL,
    sm_tenant_name                  VARCHAR(255) NULL,
    sm_authentication_method        VARCHAR(255) NULL
  5. 변경 내용을 파일에 저장합니다.
  6. 내용을 쿼리에 붙여 넣고 쿼리를 실행합니다.
    참고:
    쿼리 실행에 대한 자세한 내용은 IBM 설명서를 참조하십시오.
    감사 저장소 스키마가 데이터베이스에 추가됩니다.
Single Sign-On
에 대한 IBM DB2 데이터 원본 구성
ODBC를 사용하는 경우
Single Sign-On
Single Sign-On
데이터 저장소와 통신할 수 있도록 데이터 원본을 구성합니다.
Windows 시스템에서 DB2 데이터 원본 만들기
ODBC를 사용하는 경우 DB2 유선 프로토콜 드라이버에 대한 DB2 데이터 원본을 생성할 수 있습니다.
다음 단계를 수행하십시오.
  1. 다음 단계 중 하나를 완료하십시오.
    • 지원되는 32비트 Windows 운영 체제를 사용 중인 경우 "시작"을 클릭하고 "프로그램", "관리 도구", "ODBC 데이터 원본"을 차례로 선택합니다.
    • 지원되는 64비트 Windows 운영 체제를 사용 중인 경우 다음을 수행합니다.
      1. install_home
        \Windows\SysWOW64로 이동합니다.
      2. odbcad32.exe를 두 번 클릭합니다.
    "ODBC 데이터 원본 관리자"가 표시됩니다.
  2. "시스템 DSN" 탭을 클릭하고 "추가"를 클릭합니다.
  3. 아래로 스크롤하여 "
    Single Sign-On
    DB2 Wire Protocol"을 선택하고 "마침"을 클릭합니다.
  4. "ODBC DB2 Wire Protocol Driver 설정" 대화 상자의 "일반" 탭에서 다음 단계를 완료합니다.
    1. "데이터 원본 이름" 필드에 이름을 입력합니다.
      :
      SiteMinder DB2 Wire Data Source
    2. (선택 사항) "설명" 필드에 DB2 유선 프로토콜 데이터 원본에 대한 설명을 입력합니다.
    3. "IP 주소"ߙ필드에 DB2 데이터베이스가 설치된 IP 주소를 입력합니다.
    4. "TCP 포트" 필드에 DB2가 시스템에서 수신 대기하는 포트 번호를 입력합니다.
    5. "연결 테스트"를 클릭합니다.
      연결이 테스트됩니다.
  5. "확인"을 클릭합니다.
    "ODBC DB2 Wire Protocol Driver 설정" 대화 상자가 닫히고, 선택 내용이 저장되고 DB2 데이터 원본이 Windows 시스템에 생성됩니다.
참고:
이제 생성한 데이터 원본을 사용하도록
Single Sign-On
을 구성할 수 있습니다.
UNIX 시스템에서 DB2 데이터 원본 만들기
CA Single Sign-on
ODBC 데이터 원본은 system_odbc.ini 파일을 사용하여 구성합니다. 이 파일은 policy_server_home/db에 있는 db2wire.ini를 system_odbc.ini로 이름을 바꿔 생성할 수 있습니다. 이 system_odbc.ini 파일에는 사용할 수 있는 ODBC 데이터 원본의 이름뿐 아니라 이러한 데이터 원본과 연관된 특성도 모두 들어 있습니다. 각 사이트에 맞게 이 파일을 사용자 지정해야 합니다.
CA Single Sign-on
에 대한 추가 ODBC 사용자 디렉터리를 정의하는 등 이 파일에 데이터 원본을 더 추가할 수도 있습니다.
system_odbc.ini 파일의 첫 번째 섹션인 [ODBC Data Sources]에는 현재 사용할 수 있는 모든 데이터 원본의 목록이 들어 있습니다. "=" 앞의 이름은 해당 파일에서 각 개별 데이터 원본을 설명하는 이후 섹션을 나타냅니다. "=" 뒷부분은 주석 필드입니다.
system_odbc.ini 파일에는 각 데이터 원본의 특성을 설명하는 섹션이 있습니다. 첫 번째 특성은 해당 데이터 원본이
CA Single Sign-on
에서 사용될 때 로드되는 ODBC 드라이버입니다. 나머지 특성은 드라이버마다 다릅니다.
DB2 데이터 원본을 추가하려면 파일의 [ODBC Data Sources] 섹션에 새 데이터 원본 이름을 추가한 후 데이터 원본과 동일한 이름을 사용하여 데이터 원본을 설명하는 섹션을 추가해야 합니다. 새 서비스 이름을 생성하거나 다른 드라이버를 사용하려는 경우에는 system_odbc.ini 파일을 변경해야 합니다. [SiteMinder Data Source] 아래에 DB2 드라이버에 대한 항목을 추가해야 합니다.
또한 DB2 데이터 원본을 구성하려면 먼저
policy_server_home
/db 디렉터리에 system_odbc.ini 파일을 생성해야 합니다. 이를 위해서는
policy_server_home
/db에 있는 db2wire.ini를 system_odbc.ini로 이름을 바꿔야 합니다.
참고:
policy_server_home
은 정책 서버 설치 경로입니다.
DB2 유선 프로토콜 드라이버 구성
다음 표에서는 DB2 데이터 원본의 구성 매개 변수를 보여 줍니다. 이러한 매개 변수를 편집하여 데이터 원본에 대해 별도의 키, 감사 로그, 세션 및 샘플 사용자 데이터베이스를 구성할 수 있습니다.
매개 변수
설명
편집 방법
Data Source Name
데이터 원본의 이름입니다.
데이터 원본 이름을 대괄호로 묶어 입력합니다.
Driver
SiteMinder DB2 유선 프로토콜 드라이버의 전체 경로입니다.
"nete_ps_root"를 정책 서버 설치 디렉터리로 바꿉니다.
설명
데이터 원본에 대한 설명입니다.
원하는 대로 설명을 입력합니다.
데이터베이스
DB2 UDB 데이터베이스의 이름입니다.
"nete_database"를 DB2 UDB 서버에 구성된 데이터베이스의 이름으로 바꿉니다.
IPAddress
DB2 UDB 서버의 IP 주소나 호스트 이름입니다.
"nete_server_ip"를 DB2 UDB 서버의 IP 주소나 호스트 이름으로 바꿉니다.
TcpPort
DB2 UDB 서버의 TCP 포트 번호입니다.
기본값 50000을 DB2 UDB 서버의 실제 TCP 포트 번호로 바꿉니다.
Package
동적 SQL을 처리할 패키지의 이름입니다.
"nete_package"를 생성하려는 패키지의 이름으로 바꿉니다.
PackageOwner
(선택 사항) 패키지에 할당된 AuthID입니다.
기본적으로 비어 있습니다. 이 DB2 AuthID에는 패키지의 모든 SQL을 실행할 수 있는 권한이 있어야 합니다.
GrantAuthid
패키지에 대한 실행 권한이 부여된 AuthID입니다.
기본적으로 "PUBLIC"입니다. 패키지에 대한 실행 권한을 제한하려는 경우 원하는 AuthID를 지정합니다.
GrantExecute
GrantAuthid에 나열된 AuthID에 실행 권한을 부여할지 여부를 지정합니다.
1 또는 0이 될 수 있습니다. 기본적으로 0으로 설정됩니다.
IsolationLevel
시스템에서 잠금을 확보 및 해제하는 방법입니다.
기본값은 CURSOR_STABILITY입니다.
DynamicSections
DB2 유선 프로토콜 드라이버 패키지가 단일 사용자에 대해 준비할 수 있는 문의 수입니다.
기본값은 100입니다. 원하는 문 수를 입력합니다.
정책 서버를 데이터베이스에 연결
정책 서버가 감사 로그를 읽고 저장할 수 있도록 정책 서버를 데이터베이스에 연결하십시오.
정책 서버를 데이터 저장소에 연결하려면
  1. 정책 서버 관리 콘솔을 열고 "데이터" 탭을 클릭합니다.
    데이터베이스 설정이 표시됩니다.
  2. "저장소" 목록에서 "ODBC"를 선택합니다.
    ODBC 설정이 표시됩니다.
  3. "데이터베이스" 목록에서 "감사 로그"를 선택합니다.
  4. "저장소" 목록에서 "ODBC"를 선택합니다.
    데이터 원본 설정이 활성화됩니다.
  5. 데이터 원본 정보 필드에 데이터 원본 이름을 입력합니다.
    • (Windows) 입력하는 이름은 데이터 원본을 생성할 때 "데이터 원본 이름" 필드에 입력한 이름과 일치해야 합니다.
    • (UNIX) 입력하는 이름은 system_odbc.ini 파일의 데이터 원본 항목 첫 행과 일치해야 합니다. 기본적으로 이 파일의 첫 행은 [SiteMinder Data Sources]입니다. 첫 번째 항목을 수정한 경우 올바른 값을 입력해야 합니다.
  6. 데이터베이스 인스턴스에 대한 모든 권한이 있는 데이터베이스 계정의 사용자 이름 및 암호를 해당 필드에 입력하고 확인합니다.
  7. Single Sign-On
    에 할당되는 최대 데이터베이스 연결 수를 지정합니다.
    참고:
    최상의 성능을 위해서는 기본값을 유지하는 것이 좋습니다.
  8. "적용"을 클릭합니다.
    설정이 저장됩니다.
  9. "연결 테스트"를 클릭합니다.
    CA Single Sign-on
    에 정책 서버가 데이터 저장소에 액세스할 수 있다는 확인 메시지가 표시됩니다.
  10. "확인"을 클릭합니다.
    정책 서버가 데이터베이스를 감사 로깅 데이터베이스로 사용하도록 구성되었습니다.
정책 서버 다시 시작
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 엽니다.
  2. "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.
    정책 서버가 중지되고 빨강 표시등이 표시됩니다.
  3. "시작"을 클릭합니다.
    정책 서버가 시작되고 녹색 표시등이 표시됩니다.
    참고
    : Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.