各 MS SQL Server レコードにより、アカウントログイン資格情報、データベース情報(自動検出を使用していない場合)、対象が識別されます。
このレコードタイプは、PC または SCA が有効なアカウントでのみ使用でき、コンプライアンススキャンのみがサポートされています。
サポートされるテクノロジ
レコードタイプによって VM および PC で承認されている、サポート対象の認証テクノロジとそのバージョンの最新リストについては、次の記事を参照してください。
MS SQL Server 2008 または MS SQL Server 2008 R2 の場合
MS SQL Server 2008 ホストテクノロジにポストされたコントロールは、MS SQL Server 2008 と MS SQL Server 2008 R2 の両方に適用できます。
開始手順
「Scans」->「Authentication」に移動し、「New」->「Databases」->「MS SQL」を選択します。
ログイン資格情報
必要となるログイン資格情報
MS SQL Server 認証用に専用のユーザアカウントを定義することをお勧めします。
MS SQL Server データベースアカウント、または MS SQL Server データベースアカウントと関連付けられている Windows オペレーティングシステムアカウントを使用できます。詳細については、認証スキャンに関するヒントを記載した当社のドキュメントを参照してください。
パスワード Vault からアカウントのパスワードにアクセスする場合
複数のサードパーティのパスワード Vault との統合がサポートされています。Vault システムを設定するには、「Scans」->「Authentication」->「Vaults」を選択します。次に、MS SQL レコードで「Authentication Vault」を選択し、 Vault タイプ、Vault レコードタイトルを選択し、選択した Vault のタイプに固有の必須情報を指定します(Vault ヘルプ参照)。スキャン時には、レコードにあるアカウント名と Vault で見つかったパスワードを使用してホストへの認証が行われます。
認証タイプおよび認証 OS タイプ
実行する認証のタイプを「Windows」または「Database」から選択します。
Authentication Type: Windows
「Windows」を選択した場合は、アカウントが保存されている Windows ドメイン名を指定する必要があります。ドメイン名を入力する必要があるのは、スキャンエンジンが認証のために、オペレーティングシステムアカウントを MS SQL Server データベースアカウントに関連付ける必要があるためです。
Authentication Type: Database
「Database」を選択した場合は、認証 OS タイプ(Windows または Unix)を選択する必要があります。両方の OS タイプで MS SQL データベース認証がサポートされています。
Unix では、次の情報も指定します。
- Unix インスタンスディレクトリパス: Unix ホスト上の MS SQL Server インスタンスディレクトリへのパス(例: /var/opt/mssql)
- Unix 設定ファイルパス: Unix ホスト上の MS SQL Server 設定ファイルへのパス(例: /var/opt/mssql/mssq.conf)
VM を使用している場合
- VM を使用している場合、Windows の MS SQL データベースには、Windows 認証のみが必要です。
- PC または SCA を使用している場合、MS SQL 認証が使用されます。必要に応じて、インスタンス、データベース、およびポートの自動検出に Windows 認証レコードを使用できます。
認証プロトコルの選択(Windows のみ)
次の場合に、認証プロトコルを選択します。
- 認証タイプが「Windows」である
- 認証タイプが「Database」で、認証 OS タイプが「Windows」である
スキャナでは、レコードで選択された認証プロトコルの 1 つを使用して対象ホストへの認証が試行されます。その際、安全性の高いプロトコルから順に使用されます。Kerberos、NTLMv2、および NTLMv1 のプロトコルがサポートされています。
データベース情報
認証を行うデータベースインスタンスについて指定します。インスタンス名、データベース名、およびポートを指定して 1 つのインスタンスを定義するか、「Auto discover」オプションから選択して自動で一致するインスタンスを検索することができます。
インスタンス名を見つける方法
TCP/IP ポートに割り当てられているインスタンス名が必要となります(デフォルトでは MSSQLSERVER に設定されています)。MS SQL Server インスタンス名に割り当てられているホスト名ではありません。Windows システムで見つける方法の詳細
「Auto discover」オプション
「Auto discover」オプションを使用すると、対象ホストでデータベースインスタンスが自動で検出されるので、レコードにデータベース情報を設定する必要がなくなります。このオプションは、同じホストに複数のインスタンスがある場合にお勧めです
Windows では、インスタンス、データベース、およびポートに「Auto discover」オプションがあります。インスタンスまたはポートで「Auto discover」を選択した場合、Windows 認証も必要になります。MS SQL レコードに割り当てた IP が Windows レコードにも設定されていることを確認してください。
Unix では、データベースおよびポートに「Auto discover」オプションがあります。インスタンス名を指定する必要があります。ポートで「Auto discover」を選択した場合、Unix 認証も必要になります。MS SQL レコードに割り当てた IP が Unix レコードにも設定されていることを確認してください。
IP またはメンバードメイン
レコードに追加する IP について
認証対象のコンプライアンスホスト(IP)を選択します。各 IP は、1 つの MS SQL Server レコードに含めることができます。
メンバードメイン(Windows のみ)
ドメインのメンバーである対象の MS SQL サーバすべてに対してレコードを 1 つ作成できます。ドメインベースのサポートを使用するには、「IPs or Member Domain」タブで「Member Domain」フィールドに Active Directory ドメイン名または NetBIOS ドメイン名を入力します。このフィールドは、レコードの「Login Credentials」タブで、認証タイプまたは認証 OS タイプが「Windows」に設定されている場合にのみ表示されます。
「Member Domain」を設定すると、次のようになります。
- ドメインにある対象の MS SQL サーバすべてが自動検出されます。
- 同じレコードに対して複数の IP アドレスを入力することはできません。
ユニットマネージャ向けの重要事項
レコードを編集する場合、ユニットマネージャにはパーミッションを持っているレコードの IP のみが表示されます。ユニットマネージャによってレコードの設定が変更されると、すべてのホストがそのユーザのビジネスユニットに所属しているかどうかにかかわらず、変更内容がレコードに定義されているすべてのホストに適用されます。レコードには、ユニットマネージャに表示されない IP が含まれている場合があります。