iamwave
- 浏览: 31674 次
- 性别:
- 来自: 大连
-
文章分类
最新评论
--start
DB2 的安全性由两方面组成:认证和授权
认证
认证就是系统验证用户身份的过程。说的简单点,就是验证用户名和密码,因为DB2用户同时也是操作系统用户,所以,首先必须得到操作系统的认可。在默认情况下,DB2使用的就是基于操作系统的用户认证。当然,你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值:
SERVER (default) 认证在服务器端执行
CLIENT 认证在客户端执行
SERVER_ENCRYPT 和SERVER 参数相似,而且用户的id 和密码都经过加密
KERBEROS 认证使用Kerberos 安全机制
SQL_AUTHENTICATION_DATAENC 在服务器端进行认证,数据库连接时必须使用数据加密
SQL_AUTHENTICATION_DATAENC_CMP 与上面类似,但当条件不允许的情况下,可以不对数据进行加密
GSSPLUGIN 使用外部的基于GSS API 插件的安全工具进行认证
查看当前设置:db2 get dbm cfg | grep AUTHENTICATION
授权
授权是 DB2 获取有关已认证的 DB2 用户的信息的过程,此信息指示该用户可执行的数据库操作,以及可访问的数据对象。
很多人都感觉DB2的权限非常难理解,其实非常简单,大家之所以感觉难理解,主要原因是IBM把它介绍复杂了,然后,各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前,有的翻译的可能并不是很好,所以大家就感觉难理解了。其实,大家完全可以把DB2想象一个仓库,仓库中有好多房间,房间中有好多东西。仓库管理员有所有房间的钥匙,你想进入某个房间时,你必须有该房间的钥匙。如果你没有钥匙,你可以像管理员申请。那么DB2 有哪些房间呢(也就是DB2的组成部分)? DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限,如:你想访问某个表,那么你首先得连接数据库,所以,你必须具有该数据库的CONNECT权限,同时你还必须有该表的SELECT 权限。这就相当于,你想进入一个房间,你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限:
实例级别权限:
SYSADM 系统管理权限
SYSCTRL 系统控制权限
SYSMAINT系统维护权限
SYSMON 系统监视权限
数据库级别权限:
ACCESSCTRL 允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限
BINDADD 允许拥有者在数据库中创建新包
CONNECT 允许拥有者连接到数据库
CREATETAB 允许拥有者在数据库中创建新表
CREATE_EXTERNAL_ROUTINE 允许拥有者创建过程以供数据库的应用程序和其他用户使用
CREATE_NOT_FENCED_ROUTINE 允许拥有者创建未受防护的用户定义的函数(UDF)或过程
DATAACCESS 允许拥有者访问存储在数据库表中的数据。
DBADM 允许拥有者充当数据库管理员
EXPLAIN 允许拥有者说明查询方案,而不要求他们拥有访问这些查询方案所引用的表中数据的特权
IMPLICIT_SCHEMA 允许任何用户隐式地创建模式
LOAD 允许拥有者将数据装入到表中。
QUIESCE_CONNECT 允许拥有者在数据库处于停顿状态时访问该数据库。
SECADM 允许拥有者充当数据库的安全管理员。
SQLADM 允许拥有者监视和调整 SQL 语句。
WLMADM 允许拥有者充当工作负载管理员
GRANT CREATETAB ON DATABASE TO USER <user_name>
REVOKE CREATETAB ON DATABASE FROM USER <user_name>
表空间特权
USE 允许用户在该表空间中创建表
GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name>
REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>
模式特权
CREATEIN 允许用户在模式中创建对象
ALTERIN 允许用户在模式中改变对象
DROPIN 允许用户在模式中删除对象
GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name>
REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>
表和视图特权
SELECT 允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。
INSERT 允许用户将行插入表或视图以及运行 IMPORT 实用程序。
UPDATE 允许用户更改表或视图中的条目,或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。
DELETE 允许用户从表或视图中删除行。
ALTER 允许用户修改表,例如,为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表,或者表的一列。
INDEX 允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。
REFERENCES 允许用户创建和删除一个外键,并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。
CONTROL 给用户提供对表或视图的所有特权,包括删除它以及授予和撤销各个表特权的功能。
GRANT SELECT ON TABLE <table_name> TO USER <user_name>
REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>
索引特权
CONTROL 允许用户删除和修改索引
GRANT CONTROL ON INDEX <indext_name> TO USER <user_name>
REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name>
函数、过程、方法特权
EXECUTE 允许用户执行函数、过程、方法
GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name>
GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name>
GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>
程序包特权
EXECUTE 允许用户执行或运行程序包
BIND 允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本
CONTROL 给用户提供重新绑定、删除或执行程序包的功能,以及将那些特权授予其他用户的功能
REVOKE EXECUTE ON PACKAGE <package_name> FROM USER <user_name>
GRANT EXECUTE ON PACKAGE <package_name> TO USER <user_name>
用户、用户组、PUBLIC组
DB2 的用户是操作系统用户,当然,DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的,为了方便权限管理,我们可以把权限赋给用户组,这样,任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组,任何人或组都属于PUBLIC组,当一个数据库建立时,下面的特权都会自动的授予PUBLIC 组:CONNECT,CREATETAB,IMPLICIT SCHEMA,BINDADD,这就是当我们新建一个操作系统用户,没有赋给它任何权限,而它却可以连接数据库的原因。
赋予用户实例级别权限
细心的朋友可能已经发现了,我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限,那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限,而且实例级别权限也不能赋予单个用户,只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢?在DBM CFG中定义以下4个参数,我们只要修改这几个参数就可以赋予用户组相应的实例级权限。
db2 get dbm cfg | grep GROUP
SYSADM_GROUP
SYSCTRL_GROUP
SYSMAINT_GROUP
SYSMON_GROUP
--更多参见:DB2 系列文章目录
--声明:转载请注明出处
--last updated 2009.11.11
--written by wave at 2009.11.10
--end
DB2 的安全性由两方面组成:认证和授权
认证
认证就是系统验证用户身份的过程。说的简单点,就是验证用户名和密码,因为DB2用户同时也是操作系统用户,所以,首先必须得到操作系统的认可。在默认情况下,DB2使用的就是基于操作系统的用户认证。当然,你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值:
SERVER (default) 认证在服务器端执行
CLIENT 认证在客户端执行
SERVER_ENCRYPT 和SERVER 参数相似,而且用户的id 和密码都经过加密
KERBEROS 认证使用Kerberos 安全机制
SQL_AUTHENTICATION_DATAENC 在服务器端进行认证,数据库连接时必须使用数据加密
SQL_AUTHENTICATION_DATAENC_CMP 与上面类似,但当条件不允许的情况下,可以不对数据进行加密
GSSPLUGIN 使用外部的基于GSS API 插件的安全工具进行认证
查看当前设置:db2 get dbm cfg | grep AUTHENTICATION
授权
授权是 DB2 获取有关已认证的 DB2 用户的信息的过程,此信息指示该用户可执行的数据库操作,以及可访问的数据对象。
很多人都感觉DB2的权限非常难理解,其实非常简单,大家之所以感觉难理解,主要原因是IBM把它介绍复杂了,然后,各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前,有的翻译的可能并不是很好,所以大家就感觉难理解了。其实,大家完全可以把DB2想象一个仓库,仓库中有好多房间,房间中有好多东西。仓库管理员有所有房间的钥匙,你想进入某个房间时,你必须有该房间的钥匙。如果你没有钥匙,你可以像管理员申请。那么DB2 有哪些房间呢(也就是DB2的组成部分)? DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限,如:你想访问某个表,那么你首先得连接数据库,所以,你必须具有该数据库的CONNECT权限,同时你还必须有该表的SELECT 权限。这就相当于,你想进入一个房间,你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限:
实例级别权限:
引用
SYSADM 系统管理权限
SYSCTRL 系统控制权限
SYSMAINT系统维护权限
SYSMON 系统监视权限
数据库级别权限:
引用
ACCESSCTRL 允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限
BINDADD 允许拥有者在数据库中创建新包
CONNECT 允许拥有者连接到数据库
CREATETAB 允许拥有者在数据库中创建新表
CREATE_EXTERNAL_ROUTINE 允许拥有者创建过程以供数据库的应用程序和其他用户使用
CREATE_NOT_FENCED_ROUTINE 允许拥有者创建未受防护的用户定义的函数(UDF)或过程
DATAACCESS 允许拥有者访问存储在数据库表中的数据。
DBADM 允许拥有者充当数据库管理员
EXPLAIN 允许拥有者说明查询方案,而不要求他们拥有访问这些查询方案所引用的表中数据的特权
IMPLICIT_SCHEMA 允许任何用户隐式地创建模式
LOAD 允许拥有者将数据装入到表中。
QUIESCE_CONNECT 允许拥有者在数据库处于停顿状态时访问该数据库。
SECADM 允许拥有者充当数据库的安全管理员。
SQLADM 允许拥有者监视和调整 SQL 语句。
WLMADM 允许拥有者充当工作负载管理员
GRANT CREATETAB ON DATABASE TO USER <user_name>
REVOKE CREATETAB ON DATABASE FROM USER <user_name>
表空间特权
引用
USE 允许用户在该表空间中创建表
GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name>
REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>
模式特权
引用
CREATEIN 允许用户在模式中创建对象
ALTERIN 允许用户在模式中改变对象
DROPIN 允许用户在模式中删除对象
GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name>
REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>
表和视图特权
引用
SELECT 允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。
INSERT 允许用户将行插入表或视图以及运行 IMPORT 实用程序。
UPDATE 允许用户更改表或视图中的条目,或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。
DELETE 允许用户从表或视图中删除行。
ALTER 允许用户修改表,例如,为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表,或者表的一列。
INDEX 允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。
REFERENCES 允许用户创建和删除一个外键,并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。
CONTROL 给用户提供对表或视图的所有特权,包括删除它以及授予和撤销各个表特权的功能。
GRANT SELECT ON TABLE <table_name> TO USER <user_name>
REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>
索引特权
引用
CONTROL 允许用户删除和修改索引
GRANT CONTROL ON INDEX <indext_name> TO USER <user_name>
REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name>
函数、过程、方法特权
EXECUTE 允许用户执行函数、过程、方法
GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name>
GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name>
GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>
程序包特权
引用
EXECUTE 允许用户执行或运行程序包
BIND 允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本
CONTROL 给用户提供重新绑定、删除或执行程序包的功能,以及将那些特权授予其他用户的功能
REVOKE EXECUTE ON PACKAGE <package_name> FROM USER <user_name>
GRANT EXECUTE ON PACKAGE <package_name> TO USER <user_name>
用户、用户组、PUBLIC组
引用
DB2 的用户是操作系统用户,当然,DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的,为了方便权限管理,我们可以把权限赋给用户组,这样,任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组,任何人或组都属于PUBLIC组,当一个数据库建立时,下面的特权都会自动的授予PUBLIC 组:CONNECT,CREATETAB,IMPLICIT SCHEMA,BINDADD,这就是当我们新建一个操作系统用户,没有赋给它任何权限,而它却可以连接数据库的原因。
赋予用户实例级别权限
引用
细心的朋友可能已经发现了,我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限,那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限,而且实例级别权限也不能赋予单个用户,只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢?在DBM CFG中定义以下4个参数,我们只要修改这几个参数就可以赋予用户组相应的实例级权限。
db2 get dbm cfg | grep GROUP
SYSADM_GROUP
SYSCTRL_GROUP
SYSMAINT_GROUP
SYSMON_GROUP
--更多参见:DB2 系列文章目录
--声明:转载请注明出处
--last updated 2009.11.11
--written by wave at 2009.11.10
--end
分享到:
发表评论
-
DataBase相关文章目录
2010-08-21 16:09 1035--Start DB2 系列文章目录 Sybase 系列文 ... -
SQLServer
2010-08-21 16:04 961--Start --声明:转载请注明出处 --更多参见: ... -
Sybase 系列文章目录
2010-08-21 16:03 1034--Start --声明:转载请注明出处 --更多参见: ... -
DB2 SQL 精萃
2010-04-21 18:38 119--start 凡是知 ... -
遇到问题该如何解决
2010-04-21 18:36 1177--start 我们在使用db2的过程中,不可避免 ... -
DB2 锁升级失败将引起死锁
2010-04-21 18:35 3201--start 引用 DB2 SQL error: SQLC ... -
DB2 脚本
2010-04-21 18:33 1529--start 我们可以把DB2 命令或者 SQL语句 ... -
DB2 用户管理
2010-04-21 18:31 3327--start DB2 用户和其它数据库有些不同,DB2用户 ... -
DB2 CHNGPGS_THRES 参数
2010-04-21 18:21 993--start 之前看书的时候遇到这样一个问题,并 ... -
DB2 配置
2010-04-21 18:19 3851--start DB2 可以在四个不 ... -
DB2 目录结构
2010-04-21 18:15 2147--start 一:DB2 安装目录结构 操作系统环 ... -
在FedaroCore4下安装DB2 Express-C
2010-04-21 18:11 1175--start 一:前提条件 linux 版本:Fedaro ... -
DB2 认证路线图
2010-04-21 18:06 1629--start 很多没考过DB2认证的朋友搞不清楚D ... -
DB2 系列文章目录
2010-04-21 18:01 1373--Start DB2 认证路线图 在FedaroCore ...
相关推荐
- **DB2安全框架**:介绍DB2 V9.5中内置的安全模型及其组成部分,包括认证、授权和审计机制。 - **安全策略定义**:指导如何创建和维护符合组织需求的安全策略,确保数据访问的安全性和合规性。 - **认证机制**:...
DB2数据库系统安全配置基线是一份详细的指南,旨在确保DB2数据库系统的安全性,遵循最佳实践,以防止未授权访问和潜在的数据泄露。本指南涵盖了多个关键领域,包括账号管理、口令策略、权限控制以及认证和审计机制。...
### DB2性能安全知识点概述 #### 一、SERV_ID等常用字段的长度为何需要统一? 在实际生产环境中,为了确保数据的一致性和查询效率,DBA常常会规范某些常用字段(如`SERV_ID`)的长度。这样做主要是为了减少因字段...
例如,从早期的DB2 for MVS到DB2 UDB,再到如今的DB2 11.x及更高版本,每个版本都在数据处理、安全性、云支持等方面进行了优化。 1.4 DB2新特性 随着技术的演进,DB2引入了许多创新特性,如对大数据的支持、实时...
DB2提供了强大的安全特性,包括访问控制、审计和加密,以确保数据在传输和存储过程中的安全性。 七、监控和故障诊断 DB2提供了丰富的监控工具,如db2pd和db2top,用于检查HADR的状态、性能指标和错误日志。通过持续...
### DB2数据库安全性详解 #### 一、章节概述 本章节深入探讨了DB2数据库安全性相关的知识体系,旨在帮助读者全面理解并掌握DB2数据库安全性的核心概念和技术要点。通过本章的学习,读者将能够: - 理解DB2数据库...
5. **安全性与合规性**:DB2提供了强大的安全机制,如SQL级别权限控制,符合各种行业标准和法规要求。 在对比中,Oracle 10g可能更注重于操作的简便性和网格环境的适应性,而DB2 UDB则在XML处理和大数据分析上具有...
DB2 UDB以其卓越的数据处理能力和强大的安全性著称,广泛应用于企业级应用环境中。 #### 多维度聚集(MDA) MDA是DB2 UDB的一项关键技术,它通过预先计算和存储多维视图,显著加速了复杂的查询执行速度,特别适合于...
通过上述内容可以了解到,DB2Connect不仅提供了基础的数据库连接和管理功能,还涵盖了高级的安全性配置、性能优化以及与其他IBM产品的集成方案。这对于企业级用户来说是非常宝贵的资源,能够帮助他们更好地管理和...
DB2 High Availability Disaster Recovery (HADR) 是IBM的数据库高可用性和灾难恢复解决方案,它确保在主数据库服务器遇到故障时,能迅速切换到备用数据库服务器,以维持业务连续性和数据完整性。HADR最初源于...
DB2数据库管理系统具有高性能、可靠性高、安全性高、可扩展性强等特点,广泛应用于企业级应用系统中。 大型机系统概述课程的学习结果包括新型主机概论、操作系统概论、COBOL语言、z/OS系统管理、CICS系统主机数据库...
它提供了强大的事务处理能力、高可用性和安全性,支持SQL标准,且具有良好的性能和扩展性。 3. DB2Writer插件功能 DB2Writer是DataX针对DB2数据库的数据写入插件,主要功能包括: - 全量数据迁移:DB2Writer能够...
这一版本不仅提升了数据库性能,还增强了安全性,并引入了一些新的工具和技术来提高开发人员和DBA的工作效率。 #### 三、新增功能与改进 ##### 3.1 数据库性能提升 DB2 V9.5通过优化查询引擎和索引结构,显著提高...
DB2支持SQL标准,并提供了一系列高级功能,包括事务处理、备份恢复、高可用性以及安全性等。 - **DRDA**(Distributed Relational Database Architecture): 是一种用于在分布式环境下实现关系型数据库之间通信的标准...
DB2以其高性能、高可用性、安全性和灵活性著称,适用于各种操作系统平台,如Windows、Linux、Unix以及IBM自家的AIX。在IT行业中,熟悉并掌握DB2的使用和管理对于数据库管理员(DBA)和开发人员来说至关重要。 **DB2...
DB2因其高效性、稳定性和安全性在企业级应用中被广泛采用。 ### DB2 v11.5版本概述 DB2 v11.5作为DB2系列中的一个较新版本,引入了许多新特性和改进,旨在提高数据库性能、简化管理并增强数据安全。以下是一些关键...
在企业级应用中,确保数据的安全性和系统的高可用性至关重要。因此,了解如何有效地进行数据恢复及构建高可用性的解决方案对于维护稳定运行至关重要。 ### 二、DB2数据恢复技术 #### 1. 数据备份 - **全备份**:将...
教程分为十个章节,涵盖了DB2的核心概念、工具使用、数据对象管理、高级查询、安全性、并发性、数据迁移、备份与恢复、新版本特性及综合案例分析。每一章节都精心设计,旨在通过理论与实践相结合的方式,让学习者...
根据给定的信息,本文将详细解析“DB2实用...通过合理利用其性能监控、故障诊断等功能,可以显著提升DB2系统的稳定性和安全性。然而,在使用过程中务必遵循法律法规,尊重软件版权,合法获取并使用注册码等相关信息。
这是DB2中最常用的管理API之一,用于创建数据库的完整或增量备份,确保数据的安全性和可恢复性。 #### db2DatabasePing-数据库心跳检测 这个API用于测试数据库服务器是否处于活动状态,通常用于监测系统健康状况或...