別個の fenced ユーザーのサポート (Linux および AIX)
Net Search Extender には、 Db2® データベース・サーバーが使用するアドレス (メモリー) スペースの外部でユーザー定義関数 (UDF) およびストアード・プロシージャーを実行するための fenced ユーザー・アカウントが必要です。
別個の fenced ユーザー ID が Net Search Extender でサポートされるようになりました。 この ID は、 Db2 インスタンス所有者とは異なります。 インスタンス所有者と fenced ユーザーの両方に対して、共通のグループが 2 次グループとして追加されます。
fenced ユーザー ID を使用する場合、以下の点を考慮に入れてください。
- インスタンス所有者と fenced ユーザーが異なる場合、 Net Search Extender の管理コマンドが表所有者または表に対するコントロール特権を持つユーザーによって実行されると、 そのコマンドは失敗します。 例えば、インスタンス所有者と fenced ユーザーが異なり、共通の 2 次グループを共有していない場合、 db2text START を実行すると次のエラー・メッセージが返されます。
CTE0312E fenced ユーザーおよびインスタンス所有者に対する共通 2 次グループが 存在しません。
共通の 1 次グループを使用することはできますが、セキュリティー上の理由で共通の 2 次グループを使用することが推奨されています。 システム、root、および管理グループは共通 2 次グループとして使用しないでください。そのグループによる NSE ファイル所有権のセキュリティー・リスクが生じるためです。 この目的のためには、新しく 2 次グループを作成する必要があります。注: インスタンス所有者および fenced ユーザーの共通 2 次グループがゼロに設定されている場合、NSE サービスは開始されません。 - fenced ユーザーは索引ファイルとシソーラス・ファイルへのアクセス権限を持つ必要があります。注: 新しい 2 次グループは、これを実現するのに役立ちます。 umask 制限が、fenced ユーザーに対してグループ読み取り権限と書き込み権限を許可するようになっていることを確認してください。 umask 値は 0002 に設定する必要があります。
- 以下の管理コマンドは、インスタンス所有者によってのみ発行できます。
- CREATE INDEX
- UPDATE INDEX
- ALTER INDEX
- DROP INDEX
- ACTIVATE CACHE
- DEACTIVATE CACHE
- RESET PENDING
- CLEAR EVENTS
- DB2EXTTH
- ヘルプ
- COPYRIGHT
- NSE 索引ディレクトリーには、NSE 索引ファイル以外の外部ファイルは存在しません。
- HPUX の場合、シソーラス検索を機能させるには、シソーラス定義ファイルを再コンパイルする必要があります。
- NUMBER_DOCS ルーチンおよび REORG_SUGGESTED ルーチンは、パーティション・データベース環境ではサポートされません。
例
インスタンス所有者の ID が db2inst1 で、fenced ユーザーの ID が db2fenc1 である場合に、「video」という新しいグループを作成します。 このグループをインスタンス所有者と fenced ユーザーの両方に対する 2 次グループにします。
これは、以下のステップを使用して検証することができます。
>id db2inst1
uid=44049(db2inst1) gid=204(search) groups=33(video)
>id db2fenc1
uid=44048(db2fenc1) gid=100(users) groups=33(video)