iamwave
- 浏览: 30366 次
- 性别:
- 来自: 大连
-
文章分类
最新评论
--start
DB2 的安全性由两方面组成:认证和授权
认证
认证就是系统验证用户身份的过程。说的简单点,就是验证用户名和密码,因为DB2用户同时也是操作系统用户,所以,首先必须得到操作系统的认可。在默认情况下,DB2使用的就是基于操作系统的用户认证。当然,你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值:
SERVER (default) 认证在服务器端执行
CLIENT 认证在客户端执行
SERVER_ENCRYPT 和SERVER 参数相似,而且用户的id 和密码都经过加密
KERBEROS 认证使用Kerberos 安全机制
SQL_AUTHENTICATION_DATAENC 在服务器端进行认证,数据库连接时必须使用数据加密
SQL_AUTHENTICATION_DATAENC_CMP 与上面类似,但当条件不允许的情况下,可以不对数据进行加密
GSSPLUGIN 使用外部的基于GSS API 插件的安全工具进行认证
查看当前设置:db2 get dbm cfg | grep AUTHENTICATION
授权
授权是 DB2 获取有关已认证的 DB2 用户的信息的过程,此信息指示该用户可执行的数据库操作,以及可访问的数据对象。
很多人都感觉DB2的权限非常难理解,其实非常简单,大家之所以感觉难理解,主要原因是IBM把它介绍复杂了,然后,各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前,有的翻译的可能并不是很好,所以大家就感觉难理解了。其实,大家完全可以把DB2想象一个仓库,仓库中有好多房间,房间中有好多东西。仓库管理员有所有房间的钥匙,你想进入某个房间时,你必须有该房间的钥匙。如果你没有钥匙,你可以像管理员申请。那么DB2 有哪些房间呢(也就是DB2的组成部分)? DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限,如:你想访问某个表,那么你首先得连接数据库,所以,你必须具有该数据库的CONNECT权限,同时你还必须有该表的SELECT 权限。这就相当于,你想进入一个房间,你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限:
实例级别权限:
SYSADM 系统管理权限
SYSCTRL 系统控制权限
SYSMAINT系统维护权限
SYSMON 系统监视权限
数据库级别权限:
ACCESSCTRL 允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限
BINDADD 允许拥有者在数据库中创建新包
CONNECT 允许拥有者连接到数据库
CREATETAB 允许拥有者在数据库中创建新表
CREATE_EXTERNAL_ROUTINE 允许拥有者创建过程以供数据库的应用程序和其他用户使用
CREATE_NOT_FENCED_ROUTINE 允许拥有者创建未受防护的用户定义的函数(UDF)或过程
DATAACCESS 允许拥有者访问存储在数据库表中的数据。
DBADM 允许拥有者充当数据库管理员
EXPLAIN 允许拥有者说明查询方案,而不要求他们拥有访问这些查询方案所引用的表中数据的特权
IMPLICIT_SCHEMA 允许任何用户隐式地创建模式
LOAD 允许拥有者将数据装入到表中。
QUIESCE_CONNECT 允许拥有者在数据库处于停顿状态时访问该数据库。
SECADM 允许拥有者充当数据库的安全管理员。
SQLADM 允许拥有者监视和调整 SQL 语句。
WLMADM 允许拥有者充当工作负载管理员
GRANT CREATETAB ON DATABASE TO USER <user_name>
REVOKE CREATETAB ON DATABASE FROM USER <user_name>
表空间特权
USE 允许用户在该表空间中创建表
GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name>
REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>
模式特权
CREATEIN 允许用户在模式中创建对象
ALTERIN 允许用户在模式中改变对象
DROPIN 允许用户在模式中删除对象
GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name>
REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>
表和视图特权
SELECT 允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。
INSERT 允许用户将行插入表或视图以及运行 IMPORT 实用程序。
UPDATE 允许用户更改表或视图中的条目,或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。
DELETE 允许用户从表或视图中删除行。
ALTER 允许用户修改表,例如,为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表,或者表的一列。
INDEX 允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。
REFERENCES 允许用户创建和删除一个外键,并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。
CONTROL 给用户提供对表或视图的所有特权,包括删除它以及授予和撤销各个表特权的功能。
GRANT SELECT ON TABLE <table_name> TO USER <user_name>
REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>
索引特权
CONTROL 允许用户删除和修改索引
GRANT CONTROL ON INDEX <indext_name> TO USER <user_name>
REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name>
函数、过程、方法特权
EXECUTE 允许用户执行函数、过程、方法
GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name>
GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name>
GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>
程序包特权
EXECUTE 允许用户执行或运行程序包
BIND 允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本
CONTROL 给用户提供重新绑定、删除或执行程序包的功能,以及将那些特权授予其他用户的功能
REVOKE EXECUTE ON PACKAGE <package_name> FROM USER <user_name>
GRANT EXECUTE ON PACKAGE <package_name> TO USER <user_name>
用户、用户组、PUBLIC组
DB2 的用户是操作系统用户,当然,DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的,为了方便权限管理,我们可以把权限赋给用户组,这样,任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组,任何人或组都属于PUBLIC组,当一个数据库建立时,下面的特权都会自动的授予PUBLIC 组:CONNECT,CREATETAB,IMPLICIT SCHEMA,BINDADD,这就是当我们新建一个操作系统用户,没有赋给它任何权限,而它却可以连接数据库的原因。
赋予用户实例级别权限
细心的朋友可能已经发现了,我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限,那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限,而且实例级别权限也不能赋予单个用户,只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢?在DBM CFG中定义以下4个参数,我们只要修改这几个参数就可以赋予用户组相应的实例级权限。
db2 get dbm cfg | grep GROUP
SYSADM_GROUP
SYSCTRL_GROUP
SYSMAINT_GROUP
SYSMON_GROUP
--更多参见:DB2 系列文章目录
--声明:转载请注明出处
--last updated 2009.11.11
--written by wave at 2009.11.10
--end
DB2 的安全性由两方面组成:认证和授权
认证
认证就是系统验证用户身份的过程。说的简单点,就是验证用户名和密码,因为DB2用户同时也是操作系统用户,所以,首先必须得到操作系统的认可。在默认情况下,DB2使用的就是基于操作系统的用户认证。当然,你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值:
SERVER (default) 认证在服务器端执行
CLIENT 认证在客户端执行
SERVER_ENCRYPT 和SERVER 参数相似,而且用户的id 和密码都经过加密
KERBEROS 认证使用Kerberos 安全机制
SQL_AUTHENTICATION_DATAENC 在服务器端进行认证,数据库连接时必须使用数据加密
SQL_AUTHENTICATION_DATAENC_CMP 与上面类似,但当条件不允许的情况下,可以不对数据进行加密
GSSPLUGIN 使用外部的基于GSS API 插件的安全工具进行认证
查看当前设置:db2 get dbm cfg | grep AUTHENTICATION
授权
授权是 DB2 获取有关已认证的 DB2 用户的信息的过程,此信息指示该用户可执行的数据库操作,以及可访问的数据对象。
很多人都感觉DB2的权限非常难理解,其实非常简单,大家之所以感觉难理解,主要原因是IBM把它介绍复杂了,然后,各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前,有的翻译的可能并不是很好,所以大家就感觉难理解了。其实,大家完全可以把DB2想象一个仓库,仓库中有好多房间,房间中有好多东西。仓库管理员有所有房间的钥匙,你想进入某个房间时,你必须有该房间的钥匙。如果你没有钥匙,你可以像管理员申请。那么DB2 有哪些房间呢(也就是DB2的组成部分)? DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限,如:你想访问某个表,那么你首先得连接数据库,所以,你必须具有该数据库的CONNECT权限,同时你还必须有该表的SELECT 权限。这就相当于,你想进入一个房间,你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限:
实例级别权限:
引用
SYSADM 系统管理权限
SYSCTRL 系统控制权限
SYSMAINT系统维护权限
SYSMON 系统监视权限
数据库级别权限:
引用
ACCESSCTRL 允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限
BINDADD 允许拥有者在数据库中创建新包
CONNECT 允许拥有者连接到数据库
CREATETAB 允许拥有者在数据库中创建新表
CREATE_EXTERNAL_ROUTINE 允许拥有者创建过程以供数据库的应用程序和其他用户使用
CREATE_NOT_FENCED_ROUTINE 允许拥有者创建未受防护的用户定义的函数(UDF)或过程
DATAACCESS 允许拥有者访问存储在数据库表中的数据。
DBADM 允许拥有者充当数据库管理员
EXPLAIN 允许拥有者说明查询方案,而不要求他们拥有访问这些查询方案所引用的表中数据的特权
IMPLICIT_SCHEMA 允许任何用户隐式地创建模式
LOAD 允许拥有者将数据装入到表中。
QUIESCE_CONNECT 允许拥有者在数据库处于停顿状态时访问该数据库。
SECADM 允许拥有者充当数据库的安全管理员。
SQLADM 允许拥有者监视和调整 SQL 语句。
WLMADM 允许拥有者充当工作负载管理员
GRANT CREATETAB ON DATABASE TO USER <user_name>
REVOKE CREATETAB ON DATABASE FROM USER <user_name>
表空间特权
引用
USE 允许用户在该表空间中创建表
GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name>
REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>
模式特权
引用
CREATEIN 允许用户在模式中创建对象
ALTERIN 允许用户在模式中改变对象
DROPIN 允许用户在模式中删除对象
GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name>
REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>
表和视图特权
引用
SELECT 允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。
INSERT 允许用户将行插入表或视图以及运行 IMPORT 实用程序。
UPDATE 允许用户更改表或视图中的条目,或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。
DELETE 允许用户从表或视图中删除行。
ALTER 允许用户修改表,例如,为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表,或者表的一列。
INDEX 允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。
REFERENCES 允许用户创建和删除一个外键,并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。
CONTROL 给用户提供对表或视图的所有特权,包括删除它以及授予和撤销各个表特权的功能。
GRANT SELECT ON TABLE <table_name> TO USER <user_name>
REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>
索引特权
引用
CONTROL 允许用户删除和修改索引
GRANT CONTROL ON INDEX <indext_name> TO USER <user_name>
REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name>
函数、过程、方法特权
EXECUTE 允许用户执行函数、过程、方法
GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name>
GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name>
GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>
程序包特权
引用
EXECUTE 允许用户执行或运行程序包
BIND 允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本
CONTROL 给用户提供重新绑定、删除或执行程序包的功能,以及将那些特权授予其他用户的功能
REVOKE EXECUTE ON PACKAGE <package_name> FROM USER <user_name>
GRANT EXECUTE ON PACKAGE <package_name> TO USER <user_name>
用户、用户组、PUBLIC组
引用
DB2 的用户是操作系统用户,当然,DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的,为了方便权限管理,我们可以把权限赋给用户组,这样,任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组,任何人或组都属于PUBLIC组,当一个数据库建立时,下面的特权都会自动的授予PUBLIC 组:CONNECT,CREATETAB,IMPLICIT SCHEMA,BINDADD,这就是当我们新建一个操作系统用户,没有赋给它任何权限,而它却可以连接数据库的原因。
赋予用户实例级别权限
引用
细心的朋友可能已经发现了,我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限,那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限,而且实例级别权限也不能赋予单个用户,只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢?在DBM CFG中定义以下4个参数,我们只要修改这几个参数就可以赋予用户组相应的实例级权限。
db2 get dbm cfg | grep GROUP
SYSADM_GROUP
SYSCTRL_GROUP
SYSMAINT_GROUP
SYSMON_GROUP
--更多参见:DB2 系列文章目录
--声明:转载请注明出处
--last updated 2009.11.11
--written by wave at 2009.11.10
--end
分享到:
发表评论
-
DataBase相关文章目录
2010-08-21 16:09 957--Start DB2 系列文章目录 Sybase 系列文 ... -
SQLServer
2010-08-21 16:04 892--Start --声明:转载请注明出处 --更多参见: ... -
Sybase 系列文章目录
2010-08-21 16:03 953--Start --声明:转载请注明出处 --更多参见: ... -
DB2 SQL 精萃
2010-04-21 18:38 119--start 凡是知 ... -
遇到问题该如何解决
2010-04-21 18:36 1130--start 我们在使用db2的过程中,不可避免 ... -
DB2 锁升级失败将引起死锁
2010-04-21 18:35 3139--start 引用 DB2 SQL error: SQLC ... -
DB2 脚本
2010-04-21 18:33 1466--start 我们可以把DB2 命令或者 SQL语句 ... -
DB2 用户管理
2010-04-21 18:31 3284--start DB2 用户和其它数据库有些不同,DB2用户 ... -
DB2 CHNGPGS_THRES 参数
2010-04-21 18:21 942--start 之前看书的时候遇到这样一个问题,并 ... -
DB2 配置
2010-04-21 18:19 3738--start DB2 可以在四个不 ... -
DB2 目录结构
2010-04-21 18:15 2090--start 一:DB2 安装目录结构 操作系统环 ... -
在FedaroCore4下安装DB2 Express-C
2010-04-21 18:11 1122--start 一:前提条件 linux 版本:Fedaro ... -
DB2 认证路线图
2010-04-21 18:06 1552--start 很多没考过DB2认证的朋友搞不清楚D ... -
DB2 系列文章目录
2010-04-21 18:01 1295--Start DB2 认证路线图 在FedaroCore ...
相关推荐
Oracle_10g数据库基础教程 数据库发展概述 网状数据库 关系数据库 对象数据库 2 关系数据库特点 数据完整性 数据安全性 3 主流数据库系统简介 Oracle MS SQLServer DB2
2.1.2 安全性,对数据信息进行加密处理,严格核实身份,避免安全风险。 2.1.3 完整性,要求保证数据信息在安全状态下的同时,确保内容、排序和程序的完好。 2.1.4 可调性,用户结合数据库运行状态进行适当调整和...
1. 概述 4 1.1 范围定义 4 1.2 内容说明 4 2. 巡检维度 4 2.1 基础设施状况 5 2.2 容量状况 5 2.3 性能状况 6 2.4 信息安全 7 2.5 业务连续性 10 3. 巡检内容 12 3.1 系统整体架构 13 3.2 机房环境 13 3.3 网络系统 ...
一:数据库概述,SQLite数据库。 数据库(database)是按照数据结构来组织,存储... 数据的安全性(保护)、数据的完整性(检查),并发性(多个用户同时访问)、数据库的回复功能。 结构化查询语言,SQL:用于
1.8.2. Microsoft 安全模板支持 128 保护对服务器的访问 128 保护 XenApp Advanced Configuration 128 使用 NTFS 分区 128 安装和配置简单网络管理协议 (SNMP) 服务 128 受信任的服务器配置 129 保护数据存储 129 ...
主要花在通信部分 2)存取结构复杂 3)数据的安全性与保密性较难处理 数据共享 分布式数据库系统数据共享有以下两个层次: 1)局部共享:在局部数据库存储局部场地上各⽤户共享的数据,这些数据是本地⽤户常⽤的。...
安全性要求不高 比如商务网站 高,价格也很昂贵~万 元以上 二、oracle安装,启动及卸载 1.系统要求: 操作系统最好为windows2000 内存最好在256M以上 硬盘空间需要2G以上 2.oracle安装会自动的生成sys和system...
管理员对网站进行日常维护前须先进入管理后台登录页面,在输入帐号和密码后即可进入后台管理中心,如果登录信息输入错误超过三次,系统将要求输入验证码,防止恶意登录行为,加强系统安全性,登录界面如下图: ...
1.4.4 JSP连接DB2数据库 1.4.5 指点迷津——连接数据库常见问题 1.5 调试和错误处理 1.5.1 使用MyEclipse实现快速调试 1.5.2 使用System.out监控变量 1.5.3 为JSP指定一个错误处理页面 1.6 ...
MySQL作为一种开放源码数据库,以其简单易用的特点广泛被广大用户采用,MySQL虽然是免费的,但同Oracle, Sybase, Informix, Db2等商业数据库一样,具有数据库系统的通用性: (1)数据库管理系统。我们知道,所谓的...
功能强大 结合市场需求精髓,适用性好,安全,稳定 D.移植性好 可以任意的移植到其他平台上,无须再次开发 E.节省成本 采用开源技术及数据库系统,性能突出,节省资金 2. 可以运行的操作平台 UNIX,LINUX,WINDOWS,NT ...
db2 IBM DB2在企业级的应用最为广泛, 在全球的500家最大的企业中,几乎85%以上用DB2数据库服务器。收费 大型企业 Access 微软 Access是一种桌面数据库,只适合数据量少的应用,在处理少量 数据和单机访问的数据库时...
本章探讨了并发控制、安全性、备份及恢复技术。数据库管理主题很重要,因为它适用于所有数据库,即使是个人或单用户数据库也是如此。事实上,在某些方面这些主题对于小型数据库更重要,因为它们没有专业的数据库管理...
用于 Visual Studio .Net 的 IBM DB2 开发外接程序 第2章 并发操作的一致性问题 (2) Using sqlite with .NET Visual Studio 2005 中的新 DataSet 特性 MySQL 和 .Net2.0配合使用 与DotNet数据对象结合的自定义数据...
文将对 Linux™ 程序员可以使用的内存管理技术进行概述,虽然关注的重点是 C 语言,但同样也适用于其他语言。文中将为您提供如何管理内存的细节,然后将进一步展示如何手工管理内存,如何使用引用计数或者内存池来半...