DB2 的安全性由两方面组成:认证和授权
1、认证
认证就是系统验证用户身份的过程。说的简单点,就是验证用户名和密码,因为DB2用户同时也是操作系统用户,所以,首先必须得到操作系统的认可。在默认情况下,DB2使用的就是基于操作系统的用户认证。当然,你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值:
SERVER (default) 认证在服务器端执行 CLIENT 认证在客户端执行 SERVER_ENCRYPT 和SERVER 参数相似,而且用户的id 和密码都经过加密 KERBEROS 认证使用Kerberos 安全机制 SQL_AUTHENTICATION_DATAENC 在服务器端进行认证,数据库连接时必须使用数据加密 SQL_AUTHENTICATION_DATAENC_CMP 与上面类似,但当条件不允许的情况下,可以不对数据进行加密 GSSPLUGIN 使用外部的基于GSS API 插件的安全工具进行认证
查看当前设置:
db2 get dbm cfg | grep AUTHENTICATION
2、授权
授权是 DB2 获取有关已认证的 DB2 用户的信息的过程,此信息指示该用户可执行的数据库操作,以及可访问的数据对象。
很多人都感觉DB2的权限非常难理解,其实非常简单,大家之所以感觉难理解,主要原因是IBM把它介绍复杂了,然后,各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前,有的翻译的可能并不是很好,所以大家就感觉难理解了。其实,大家完全可以把DB2想象一个仓库,仓库中有好多房间,房间中有好多东西。仓库管理员有所有房间的钥匙,你想进入某个房间时,你必须有该房间的钥匙。如果你没有钥匙,你可以像管理员申请。那么DB2 有哪些房间呢(也就是DB2的组成部分)? DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限,如:你想访问某个表,那么你首先得连接数据库,所以,你必须具有该数据库的CONNECT权限,同时你还必须有该表的SELECT 权限。这就相当于,你想进入一个房间,你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限
实例级别权限:
SYSADM 系统管理权限
SYSCTRL 系统控制权限
SYSMAINT系统维护权限
SYSMON 系统监视权限
SYSADM > SYSCTRL > SYSMAINT > SYSOMN
查看方式:
get authorizations
数据库级别权限:
ACCESSCTRL 允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限。 BINDADD 允许拥有者在数据库中创建新包 CONNECT 允许拥有者连接到数据库 CREATETAB 允许拥有者在数据库中创建新表 CREATE_EXTERNAL_ROUTINE 允许拥有者创建过程以供数据库的应用程序和其他用户使用 CREATE_NOT_FENCED_ROUTINE 允许拥有者创建未受防护的用户定义的函数(UDF)或过程 DATAACCESS 允许拥有者访问存储在数据库表中的数据。 DBADM 允许拥有者充当数据库管理员 EXPLAIN 允许拥有者说明查询方案,而不要求他们拥有访问这些查询方案所引用的表中数据的特权 IMPLICIT_SCHEMA 允许任何用户隐式地创建模式 LOAD 允许拥有者将数据装入到表中。 QUIESCE_CONNECT 允许拥有者在数据库处于停顿状态时访问该数据库。 SECADM 允许拥有者充当数据库的安全管理员。 SQLADM 允许拥有者监视和调整 SQL 语句。 WLMADM 允许拥有者充当工作负载管理员
查看方式:
GRANT CREATETAB ON DATABASE TO USER <user_name> REVOKE CREATETAB ON DATABASE FROM USER <user_name>
表空间特权:
USE 允许用户在该表空间中创建表 使用方法: GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name> REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>
模式特权
CREATEIN 允许用户在模式中创建对象 ALTERIN 允许用户在模式中改变对象 DROPIN 允许用户在模式中删除对象 使用方法: GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name> REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>
表和视图特权
SELECT 允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。 INSERT 允许用户将行插入表或视图以及运行 IMPORT 实用程序。 UPDATE 允许用户更改表或视图中的条目,或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。 DELETE 允许用户从表或视图中删除行。 ALTER 允许用户修改表,例如,为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表,或者表的一列。 INDEX 允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。 REFERENCES 允许用户创建和删除一个外键,并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。 CONTROL 给用户提供对表或视图的所有特权,包括删除它以及授予和撤销各个表特权的功能。 使用方法: GRANT SELECT ON TABLE <table_name> TO USER <user_name> REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>
索引特权
CONTROL 允许用户删除和修改索引 GRANT CONTROL ON INDEX <indext_name> TO USER <user_name> REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name> 函数、过程、方法特权 EXECUTE 允许用户执行函数、过程、方法 使用方法: GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name> GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name> GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>
程序包特权
EXECUTE 允许用户执行或运行程序包 BIND 允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本 CONTROL 给用户提供重新绑定、删除或执行程序包的功能,以及将那些特权授予其他用户的功能 使用方法: GRANT EXECUTE ON PACKAGE <package_name> TO USER <user_name> REVOKE EXECUTE ON PACKAGE <package_name> FROM USER <user_name>
用户、用户组、PUBLIC组
DB2 的用户是操作系统用户,当然,DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的,为了方便权限管理,我们可以把权限赋给用户组,这样,任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组,任何人或组都属于PUBLIC组,当一个数据库建立时,下面的特权都会自动的授予PUBLIC 组:CONNECT,CREATETAB,IMPLICIT SCHEMA,BINDADD,这就是当我们新建一个操作系统用户,没有赋给它任何权限,而它却可以连接数据库的原因
赋予用户实例级别权限
细心的朋友可能已经发现了,我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限,那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限,而且实例级别权限也不能赋予单个用户,只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢?在DBM CFG中定义以下4个参数,我们只要修改这几个参数就可以赋予用户组相应的实例级权限。 db2 get dbm cfg | grep GROUP SYSADM_GROUP SYSCTRL_GROUP SYSMAINT_GROUP SYSMON_GROUP
修改方法:
//将sde所在组赋予SYSMON权限 UPDATE DBM CFG USING SYSMON_GROUP sde所在的用户组名称
转载参考:http://iamwave.iteye.com/blog/649736