Db2 内部セキュリティーからの変換

Db2 の内部セキュリティを RACF のアクセス制御モジュールに変換する場合、 Db2 のすべてのオブジェクトの保護を変換する必要はありません。

RACF アクセス制御モジュールは、 Db2 のすべてのオブジェクトタイプを保護するプロファイルを定義する前に使用を開始することができます。 Db2 オブジェクトを保護する場合、RDEFINE コマンドと RALTER コマンドの WARNING オプションを追加することを検討してください。警告機能を使用すると、要求を失敗させる可能性があるプロファイルを識別する ICH408I メッセージが表示できることによって、変換が容易になる場合があります。

RACF プロファイルで保護された Db2 オブジェクトへのアクセス要求は、WARNINGオプション付きであれば常に許可されます。警告オプションがなければリクエストが失敗していた場合、 ICH408I メッセージが生成され、リクエストが失敗したであろう最初のプロファイル（ RACF 認証チェックのシーケンス）が特定されます。

注： Db2 の管理権限を持つユーザー（SYSADM、DBADM、または場合によってはSYSCTRL）がリソースに要求した際に、WARNINGオプションが追加された場合、そのユーザーはオブジェクトにアクセスできるため、警告メッセージは無視できます。

RACF アクセス制御モジュールが、管理権限プロファイルが存在せず、特定の Db2 オブジェクト（または特定の Db2 リソースに対応するクラス）を保護するプロファイルが存在しない（または特定のリソースに対応するクラスがアクティブではない）と判断した場合、権限の確認は Db2 に委ねられます。

例えば、 RACF プロファイルのセットのみを保護する Db2 テーブルが定義され、他のすべてのオブジェクトタイプのクラスがアクティブ化されていないとします。この場合、 RACF アクセス制御モジュールは、 Db2 テーブル、ビュー、およびインデックスのプロファイルチェックを行い、プラン、パッケージ、データベースなどの他のオブジェクトタイプの権限チェックについては、 Db2 を参照します。

ガイドライン： RACF アクセスコントロールモジュールを起動する前に、 Db2 管理当局をすべてUACC(NONE)で定義してください。次に、PERMIT コマンドを実行することによって、特定のユーザーを個別に選択して、もっと高いレベルで許可することができます。