DB2安全性概述

yanchuen

--start

DB2 的安全性由两方面组成：认证和授权

认证
    认证就是系统验证用户身份的过程。说的简单点，就是验证用户名和密码，因为DB2用户同时也是操作系统用户，所以，首先必须得到操作系统的认可。在默认情况下，DB2使用的就是基于操作系统的用户认证。当然，你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值：
SERVER (default)            认证在服务器端执行  
CLIENT                          认证在客户端执行  
SERVER_ENCRYPT                  和SERVER 参数相似，而且用户的id 和密码都经过加密  
KERBEROS                    认证使用Kerberos 安全机制  
SQL_AUTHENTICATION_DATAENC  在服务器端进行认证，数据库连接时必须使用数据加密  
SQL_AUTHENTICATION_DATAENC_CMP  与上面类似，但当条件不允许的情况下，可以不对数据进行加密  
GSSPLUGIN                   使用外部的基于GSS API 插件的安全工具进行认证  

查看当前设置：db2 get dbm cfg | grep AUTHENTICATION

授权
    授权是 DB2  获取有关已认证的 DB2 用户的信息的过程，此信息指示该用户可执行的数据库操作，以及可访问的数据对象。

    很多人都感觉DB2的权限非常难理解，其实非常简单，大家之所以感觉难理解，主要原因是IBM把它介绍复杂了，然后，各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前，有的翻译的可能并不是很好，所以大家就感觉难理解了。其实，大家完全可以把DB2想象一个仓库，仓库中有好多房间，房间中有好多东西。仓库管理员有所有房间的钥匙，你想进入某个房间时，你必须有该房间的钥匙。如果你没有钥匙，你可以像管理员申请。那么DB2 有哪些房间呢（也就是DB2的组成部分）？ DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限，如：你想访问某个表，那么你首先得连接数据库，所以，你必须具有该数据库的CONNECT权限，同时你还必须有该表的SELECT 权限。这就相当于，你想进入一个房间，你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限：
实例级别权限：
引用

SYSADM  系统管理权限  
SYSCTRL 系统控制权限  
SYSMAINT系统维护权限  
SYSMON  系统监视权限  



数据库级别权限：
引用

ACCESSCTRL  允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限  
BINDADD                     允许拥有者在数据库中创建新包  
CONNECT                     允许拥有者连接到数据库  
CREATETAB                   允许拥有者在数据库中创建新表  
CREATE_EXTERNAL_ROUTINE     允许拥有者创建过程以供数据库的应用程序和其他用户使用  
CREATE_NOT_FENCED_ROUTINE   允许拥有者创建未受防护的用户定义的函数（UDF）或过程  
DATAACCESS                  允许拥有者访问存储在数据库表中的数据。  
DBADM                       允许拥有者充当数据库管理员  
EXPLAIN                     允许拥有者说明查询方案，而不要求他们拥有访问这些查询方案所引用的表中数据的特权  
IMPLICIT_SCHEMA             允许任何用户隐式地创建模式  
LOAD                        允许拥有者将数据装入到表中。  
QUIESCE_CONNECT             允许拥有者在数据库处于停顿状态时访问该数据库。  
SECADM                      允许拥有者充当数据库的安全管理员。  
SQLADM                      允许拥有者监视和调整 SQL 语句。  
WLMADM                      允许拥有者充当工作负载管理员  
GRANT  CREATETAB ON DATABASE  TO USER <user_name>  
REVOKE  CREATETAB ON DATABASE  FROM USER <user_name>  



表空间特权
引用

USE 允许用户在该表空间中创建表  
GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name>  
REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>  



模式特权
引用

CREATEIN  允许用户在模式中创建对象  
ALTERIN   允许用户在模式中改变对象  
DROPIN    允许用户在模式中删除对象  
GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name>  
REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>  



表和视图特权
引用

SELECT       允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。  
INSERT       允许用户将行插入表或视图以及运行 IMPORT 实用程序。  
UPDATE       允许用户更改表或视图中的条目，或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。  
DELETE       允许用户从表或视图中删除行。  
ALTER       允许用户修改表，例如，为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表，或者表的一列。  
INDEX       允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。  
REFERENCES  允许用户创建和删除一个外键，并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。  
CONTROL     给用户提供对表或视图的所有特权，包括删除它以及授予和撤销各个表特权的功能。  
GRANT  SELECT ON TABLE <table_name> TO USER <user_name>  
REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>  



索引特权
引用

CONTROL    允许用户删除和修改索引  
GRANT  CONTROL ON INDEX <indext_name> TO USER <user_name>  
REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name>  
函数、过程、方法特权
EXECUTE    允许用户执行函数、过程、方法  
GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name>  
GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name>  
GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>  



程序包特权
引用

EXECUTE  允许用户执行或运行程序包  
BIND     允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本  
CONTROL  给用户提供重新绑定、删除或执行程序包的功能，以及将那些特权授予其他用户的功能  
REVOKE  EXECUTE ON PACKAGE <package_name> FROM USER <user_name>  
GRANT  EXECUTE ON PACKAGE <package_name> TO USER <user_name>  



用户、用户组、PUBLIC组
引用

DB2 的用户是操作系统用户，当然，DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的，为了方便权限管理，我们可以把权限赋给用户组，这样，任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组，任何人或组都属于PUBLIC组，当一个数据库建立时，下面的特权都会自动的授予PUBLIC 组：CONNECT，CREATETAB，IMPLICIT SCHEMA，BINDADD，这就是当我们新建一个操作系统用户，没有赋给它任何权限，而它却可以连接数据库的原因。



赋予用户实例级别权限
引用

细心的朋友可能已经发现了，我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限，那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限，而且实例级别权限也不能赋予单个用户，只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢？在DBM CFG中定义以下4个参数，我们只要修改这几个参数就可以赋予用户组相应的实例级权限。
db2 get dbm cfg | grep GROUP  
SYSADM_GROUP  
SYSCTRL_GROUP  
SYSMAINT_GROUP  
SYSMON_GROUP  



--更多参见：DB2 系列文章目录
--声明：转载请注明出处
--last updated 2009.11.11
--written by wave at 2009.11.10
--end