DB2V9安全性安全性第1頁DB2安全機制身份驗證（authentication）利用操作系統來檢驗用戶ID和密碼授權（authorization）授權決定用戶和/或用戶組能夠執行操作以及他們能夠訪問數據對象。

SYSADM、SYSCTRL、SYSMAINT、SYSMON、DBADM和LOAD特權（privilege）基于數據庫對象權限（表、視圖、序列、模式、表空間等）注：DB29中新增一個概念是基于標簽訪問控制（LBAC），它允許以更細粒度控制誰有權訪問單獨行和/或列。安全性第2頁DB2身份驗證類型（1）新增了服務器連接認證參數（SRVCON_AUTH）

默認情況是NOT_SPECIFIED，也就是對實例級請求認證以數據庫管理器認證參數(AUTHENTICATION)為準，假如此值設置了新值，將對實例級請求按照新值進行驗證數據庫管理器認證參數(AUTHENTICATION)

對連接級請求按照設定值進行驗證在客戶機-網關（Connect）-主機環境中，這些身份驗證選項在客戶機和網關上設置，而不是在主機上。安全性第3頁DB2身份驗證類型（2）類型

描述

SERVER身份驗證在服務器上進行。SERVER_ENCRYPT身份驗證在服務器上進行。密碼在客戶機上進行加密，然后再發送到服務器。CLIENT身份驗證在客戶機上進行（例外情況見處理不可信客戶機）。*KERBEROS由Kerberos安全軟件執行身份驗證。*KRB_SERVER_ENCRYPT假如客戶機設置是KERBEROS，那么由Kerberos安全軟件執行身份驗證。不然使用SERVER_ENCRYPT。DATA_ENCRYPT身份驗證在服務器上進行。服務器接收加密用戶ID和密碼，并對數據進行加密。這個選項操作方式與SERVER_ENCRYPT相同，不過數據也要加密。DATA_ENCRYPT_CMP身份驗證方式與DATA_ENCRYPT相同，不過允許不支持DATA_ENCRYPT傳統客戶機使用SERVER_ENCRYPT身份驗證進行連接。在這種情況下，數據不進行加密。假如進行連接客戶機支持DATA_ENCRYPT，就會進行數據加密，而不能降級到SERVER_ENCRYPT身份驗證。這個身份驗證類型只在服務器數據庫管理程序配置文件中是有效，而且在客戶機或網關實例上使用CATALOGDATABASE時是無效。GSSPLUGIN身份驗證方式由一個外部GSS-API插件決定。GSS_SERVER_ENCRYPT身份驗證方式由一個外部GSS-API插件決定。在客戶機不支持服務器GSS-API插件之一情況下，使用SERVER_ENCRYPT身份驗證。*這些設置只對Windows、AIX、Solaris和Linux?操作系統有效。

安全性第4頁在服務器上設置身份驗證由DBMCFG中AUTHENTICATION控制查看配置文件中身份驗證參數db2getdbmcfg要將身份驗證參數修改為server_encrypt$db2updatedbmcfgusingauthenticationserver_encrypt$db2stop$db2start安全性第5頁在網關上設置身份驗證使用catalogdatabase命令在網關上設置身份驗證，但真正驗證不是在網關上進行比如，將網關身份驗證類型設置為SERVERdb2catalogdatabasemyhostdbatnodend1authenticationSERVERdb2terminate安全性第6頁在客戶機上設置身份驗證連接服務器數據庫客戶機客戶機身份驗證設置必須匹配數據庫服務器上設置（不過KRB_SERVER_ENCRYPT、DATA_ENCRYPT_CMP和GSS_SERVER_ENCRYPT例外）比如，db2catalogdatabasesampleatnodend1authenticationSERVER連接主機數據庫客戶機當網關沒有指定認證類型時，默認將采取SERVER_ENCRYPT網關上認證類型將取代主機上認證類型以網關上認證類型為準（不以客戶端上認證類型為準）安全性第7頁處理不可信客戶機服務器或網關上AUTHENTICATION為CLIENT時，則客戶機對用戶ID和密碼進行驗證除了windows9x操作系統外，全部客戶機都是可信客戶機。在客戶端進行認證，其還有兩個參數trust_allclnts和trust_clntauth有影響trust_allclnts默認為YES，表示全部客戶機都是可信。若指定為NO時，則不可信客戶機連接時將使用用戶名和密碼在SERVER端進行認證，可信客戶機繼續在客戶端進行認證。trust_clntauth默認為CLIENT，表示對于可信客戶機在客戶端進行認證，也能夠設置成SERVER，表示希望在服務器端進行認證，即若提供了用戶名和密碼則在服務器端進行認證，不然在客戶端進行認證。安全性第8頁當身份驗證設置為CLIENT時是否提供了ID/密碼？

TRUST_ALLCLNTS

TRUST_CLNTAUTH

不可信客戶機可信客戶機主機客戶機

NoYesCLIENT

CLIENT

CLIENT

CLIENT

NoYesSERVER

CLIENT

CLIENT

CLIENT

NoNoCLIENT

SERVER

CLIENT

CLIENT

NoNoSERVER

SERVER

CLIENT

CLIENT

NoDRDAONLY

CLIENT

SERVER

SERVER

CLIENT

NoDRDAONLY

SERVER

SERVER

SERVER

CLIENT

YesYesCLIENT

CLIENT

CLIENT

CLIENT

YesYesSERVER

SERVER

SERVER

SERVER

YesNoCLIENT

SERVER

CLIENT

CLIENT

YesNoSERVER

SERVER

SERVER

SERVER

YesDRDAONLY

CLIENT

SERVER

SERVER

CLIENT

YesDRDAONLY

SERVER

SERVER

SERVER

SERVER

注：DRDAONLY意味著只信任主機客戶機安全性第9頁SYSADM權限最高權限，能夠對實例和數據庫進行完全控制由DBMCFG文件中SYSADM_GROUP參數控制只有含有SYSADM權限用戶才能夠：遷移數據庫更改數據庫管理器配置文件（包含指定含有SYSCTRL或SYSMAINT或SYSMON權限組）授予DBADM權限當含有SYSADM權限用戶創建數據庫時，將自動授予她們對此數據庫顯式DBADM權限。若從SYSADM組中除去了此數據庫創建者，而且您也想阻止她們作為DBADM存取該數據庫，則必須顯式取消此DBADM權限。

安全性第10頁SYSCTRL權限最高級別系統控制權限由DBMCFG文件中SYSCTRL_GROUP參數控制不能對數據庫對象進行存取，也不能對數據庫管理器配置文件進行更改只有含有SYSCTRL權限或更高權限用戶才能夠執行以下操作：更新數據庫、節點或分布式連接服務（DCS）目錄迫使用戶從系統注銷創建和刪除一個數據庫刪除、創建或更改一個表空間經過恢復工具創建一個新數據庫只有SYSADMIN或SYSCTRL才能執行FORCEAPPLICATIONS命令安全性第11頁第二級別系統控制權限由DBMCFG文件中SYSMAINT_GROUP參數控制提供對數據庫管理器實例和其數據庫執行維護和實用程序操作能力，但沒有直接存取數據權限只有含有SYSMAINT權限或更高權限才能：更新數據庫配置文件備份數據庫或表空間恢復一個已存在數據庫恢復表空間執行前滾恢復開啟或停頓DB2實例運行數據庫監控器，捕捉數據庫管理器實例或其數據庫數據庫系統監視器快照開啟或終止跟蹤工具SYSMAINT權限安全性第12頁系統監視器權限（SYSMON）提供拍攝數據庫管理器實例或其數據庫數據庫系統監視器快照能力。由DBMCFG文件中sysmon_group參數控制SYSMON權限使用戶能夠運行以下命令：GETDATABASEMANAGERMONITORSWITCHESGETMONITORSWITCHESGETSNAPSHOTLISTACTIVEDATABASESLISTAPPLICATIONSLISTDCSAPPLICATIONSRESETMONITORUPDATEMONITORSWITCHES安全性第13頁數據庫級別最高權限假如想授予其它用戶DBADM權限，必須由該數據庫所在實例上含有SYSADM權限用戶經過GRANT命令進行授權。只有含有DBADM或更高權限用戶才能夠：讀取日志文件創建、激活和刪除事件監視器含有DBADM、SYSMAINT或更高權限用戶能夠執行以下操作：查詢表空間狀態更新日志歷史文件停頓表空間重組表使用RUNSTATS實用程序搜集目錄統計信息。注：DBADM只能對您持有DBADM權限數據庫執行上述操作。DBADM權限安全性第14頁LOAD權限允許某個用戶在不具備數據庫管理員權限情況下將數據導入到DB2中只有擁有SYSADM或DBADM權限用戶能夠對用戶或用戶組授予或撤消LOAD權限

以下示例演示LOAD權限怎樣允許我們用戶使用LOAD命令將數據裝載進sales表中db2grantloadondatabasetousertst1 db2grantinsertontablesalestousertst1 有了LOAD權限和插入特權，tst1就能夠對sales表發出LOADINSERT或LOADRESTART，或者在LOADINSERT之后發出TERMINATE。db2grantloadondatabasetogroupgrp1 db2grantdeleteontablesalestogroupgrp1 db2grantinsertontablesalestogroupgrp1 有了LOAD權限以及刪除和插入特權，grp1任何組員就能夠對sales表發出LOADREPLACE或LOADRESTART，或者在LOADREPLACE之后發出TERMINATE。安全性第15頁Grant/RevokeDBADM Establish/ChangeSYSCTRLEstablish/ChangeSYSMAINTEstablish/ChangeSYSMONForceusersoffdatabaseCreate/DropdatabaseRestoretonewdatabaseUpdateDBCFGBackupdatabase/tablespaceRestoretoexistingdatabasePerformroll-forwardrecoveryStart/StopinstanceRestoretablespaceRuntraceObtainmonitorsnapshotsQuerytablespacestatePruneloghistoryfilesQuiescetablespaceLOADtablesSet/Unsetcheck-pendingstatusCreate/DropeventmonitorsYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYESYES

YESYESYESYESYESYESYESYESYESYESYESYESYESYESUpdateDBMCFG

YESYESYESYESYESFunctionSYSADMSYSCTRLSYSMAINTSYSMONLOADDBADM權限安全性第16頁權限和特權層次關系安全性第17頁DB2特權特權名稱

相關對象

描述

CONTROL表、視圖、索引、包、別名、不一樣類型、用戶定義函數、序列提供對對象全部權限。擁有這種特權用戶還能夠向其它用戶授予或撤消對對象特權。DELETE表、視圖允許用戶從對象中刪除統計。INSERT表、視圖允許用戶經過INSERT或IMPORT命令將統計插入對象中。SELECT表、視圖提供使用選擇語句來查看對象內容能力。UPDATE表、視圖允許用戶使用更新語句修改對象中統計。ALTER表允許用戶使用更改語句更改對象定義。INDEX表允許用戶使用創建索引語句在對象上創建索引。REFERENCES表提供在對象上創建或刪除外鍵約束能力。BIND包允許用戶重新綁定現有包。EXECUTE包、過程、函數、方法允許用戶執行包和例程。ALTERIN模式允許用戶修改模式中對象定義。CREATEIN模式允許用戶在模式中創建對象。DROPIN模式允許用戶刪除模式中對象。安全性第18頁默認情況下數據庫權限PUBLICGROUP

ANYuserididentifiablebyoperatingsystem/networkauthenticationserviceWhenadatabaseiscreated,thefollowingauthoritiesareautomaticallygrantedt