[数据库]-db2权限
DB2 的安全性由两方面组成:认证和授权
***1、认证*
**认证就是系统验证用户身份的过程。说的简单点,就是验证用户名和密码,因为DB2用户同时也是操作系统用户,所以,首先必须得到操作系统的认可。在默认情况下,DB2使用的就是基于操作系统的用户认证。当然,你也可以指定其它认证方式。DBM CFG 的AUTHENTICATION参数决定在哪里进行用户认证。
AUTHENTICATION可以设定为以下值:
[](javascript:void(0)😉
SERVER (default) 认证在服务器端执行
CLIENT 认证在客户端执行
SERVER_ENCRYPT 和SERVER 参数相似,而且用户的id 和密码都经过加密
KERBEROS 认证使用Kerberos 安全机制
SQL_AUTHENTICATION_DATAENC 在服务器端进行认证,数据库连接时必须使用数据加密
SQL_AUTHENTICATION_DATAENC_CMP 与上面类似,但当条件不允许的情况下,可以不对数据进行加密
GSSPLUGIN 使用外部的基于GSS API 插件的安全工具进行认证
[](javascript:void(0)😉
查看当前设置:
db2 get dbm cfg | grep AUTHENTICATION
2、授权
授权是 DB2 获取有关已认证的 DB2 用户的信息的过程,此信息指示该用户可执行的数据库操作,以及可访问的数据对象。
很多人都感觉DB2的权限非常难理解,其实非常简单,大家之所以感觉难理解,主要原因是IBM把它介绍复杂了,然后,各种书籍、资料把DB2 的官方资料翻译出来呈现在大家面前,有的翻译的可能并不是很好,所以大家就感觉难理解了。其实,大家完全可以把DB2想象一个仓库,仓库中有好多房间,房间中有好多东西。仓库管理员有所有房间的钥匙,你想进入某个房间时,你必须有该房间的钥匙。如果你没有钥匙,你可以像管理员申请。那么DB2 有哪些房间呢(也就是DB2的组成部分)? DB2由 实例、数据库、表空间、模式、表、视图等组成。每个组成部分都定义了相应的权限,如:你想访问某个表,那么你首先得连接数据库,所以,你必须具有该数据库的CONNECT权限,同时你还必须有该表的SELECT 权限。这就相当于,你想进入一个房间,你必须有该房间的钥匙。下面我们来了解一下DB2的不同组成部分定义了哪些权限
实例级别权限:
[](javascript:void(0)😉
SYSADM 系统管理权限
SYSCTRL 系统控制权限
SYSMAINT系统维护权限
SYSMON 系统监视权限 SYSADM > SYSCTRL > SYSMAINT > SYSOMN查看方式:get authorizations
[](javascript:void(0)😉
数据库级别权限:
[](javascript:void(0)😉
ACCESSCTRL 允许拥有者授予和撤销所有对象特权和数据库权限以及 ACCESSCTRL、DATAACCESS、DBADM 和 SECADM 权限。
BINDADD 允许拥有者在数据库中创建新包
CONNECT 允许拥有者连接到数据库
CREATETAB 允许拥有者在数据库中创建新表
CREATE_EXTERNAL_ROUTINE 允许拥有者创建过程以供数据库的应用程序和其他用户使用
CREATE_NOT_FENCED_ROUTINE 允许拥有者创建未受防护的用户定义的函数(UDF)或过程
DATAACCESS 允许拥有者访问存储在数据库表中的数据。
DBADM 允许拥有者充当数据库管理员
EXPLAIN 允许拥有者说明查询方案,而不要求他们拥有访问这些查询方案所引用的表中数据的特权
IMPLICIT_SCHEMA 允许任何用户隐式地创建模式
LOAD 允许拥有者将数据装入到表中。
QUIESCE_CONNECT 允许拥有者在数据库处于停顿状态时访问该数据库。
SECADM 允许拥有者充当数据库的安全管理员。
SQLADM 允许拥有者监视和调整 SQL 语句。
WLMADM 允许拥有者充当工作负载管理员
[](javascript:void(0)😉
查看方式:
GRANT CREATETAB ON DATABASE TO USER <user_name>
REVOKE CREATETAB ON DATABASE FROM USER <user_name>
表空间特权:
USE 允许用户在该表空间中创建表
使用方法:
GRANT USE OF TABLESPACE <tablespace_name> TO USER <user_name>
REVOKE USE OF TABLESPACE <tablespace_name> FROM USER <user_name>
模式特权
[](javascript:void(0)😉
CREATEIN 允许用户在模式中创建对象
ALTERIN 允许用户在模式中改变对象
DROPIN 允许用户在模式中删除对象
使用方法:
GRANT CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> TO USER <user_name>
REVOKE CREATEIN,DROPIN,ALTERIN ON SCHEMA <schema_name> FROM USER <user_name>
[](javascript:void(0)😉
表和视图特权
[](javascript:void(0)😉
SELECT 允许用户检索表或视图中的行、对表创建视图以及运行 EXPORT 实用程序。
INSERT 允许用户将行插入表或视图以及运行 IMPORT 实用程序。
UPDATE 允许用户更改表或视图中的条目,或表或视图中的一个或多个特定列的条目。用户只能对特定的列拥有此特权。
DELETE 允许用户从表或视图中删除行。
ALTER 允许用户修改表,例如,为表添加列或唯一约束。具有 ALTER 特权用户还可以 COMMENT ON 一个表,或者表的一列。
INDEX 允许用户对表创建一个索引。索引创建者自动具有索引的 CONTROL 特权。
REFERENCES 允许用户创建和删除一个外键,并指定该表为关系中的父表。用户可能只对特定的列拥有此特权。
CONTROL 给用户提供对表或视图的所有特权,包括删除它以及授予和撤销各个表特权的功能。
使用方法:
GRANT SELECT ON TABLE <table_name> TO USER <user_name>
REVOKE SELECT ON TABLE <table_name> FROM USER <user_name>
[](javascript:void(0)😉
索引特权
[](javascript:void(0)😉
CONTROL 允许用户删除和修改索引
GRANT CONTROL ON INDEX <indext_name> TO USER <user_name>
REVOKE CONTROL ON INDEX <indext_name> FROM USER <user_name>
函数、过程、方法特权
EXECUTE 允许用户执行函数、过程、方法
使用方法:
GRANT EXECUTE ON FUNCTION <function_name> TO USER <user_name>
GRANT EXECUTE ON PROCEDURE <procedure_name> TO USER <user_name>
GRANT EXECUTE ON METHOD <method_name> TO USER <user_name>
[](javascript:void(0)😉
程序包特权
[](javascript:void(0)😉
EXECUTE 允许用户执行或运行程序包
BIND 允许用户重新绑定或绑定该程序包以及添加具有相同程序包名和创建者的新程序包版本
CONTROL 给用户提供重新绑定、删除或执行程序包的功能,以及将那些特权授予其他用户的功能
使用方法:
GRANT EXECUTE ON PACKAGE <package_name> TO USER <user_name>
REVOKE EXECUTE ON PACKAGE <package_name> FROM USER <user_name>
[](javascript:void(0)😉
用户、用户组、PUBLIC组
DB2 的用户是操作系统用户,当然,DB2用户组也是操作系统用户组。由上面的介绍大家就可以知道赋予用户权限是非常繁琐的,为了方便权限管理,我们可以把权限赋给用户组,这样,任何属于该组的用户都可以获得相应的权限。值得注意的是DB2还定义了一个PUBLIC组,任何人或组都属于PUBLIC组,当一个数据库建立时,下面的特权都会自动的授予PUBLIC 组:CONNECT,CREATETAB,IMPLICIT SCHEMA,BINDADD,这就是当我们新建一个操作系统用户,没有赋给它任何权限,而它却可以连接数据库的原因
赋予用户实例级别权限
[](javascript:void(0)😉
细心的朋友可能已经发现了,我们在介绍实例级别权限的时候没有说明如何赋予用户实例级别权限,那是因为我们不能通过GRANT和REVOKE语句赋予和撤销权限,而且实例级别权限也不能赋予单个用户,只能赋予用户组。那么到底该怎么赋予用户组实例级别权限呢?在DBM CFG中定义以下4个参数,我们只要修改这几个参数就可以赋予用户组相应的实例级权限。
db2 get dbm cfg | grep GROUP
SYSADM_GROUP
SYSCTRL_GROUP
SYSMAINT_GROUP
SYSMON_GROUP
[](javascript:void(0)😉
修改方法:
//将sde所在组赋予SYSMON权限
UPDATE DBM CFG USING SYSMON_GROUP sde所在的用户组名称
DB2 中的各种系统表介绍
SYSCAT.TABLES:数据库中对象的信息,包括 table,view,nickname 和 alias 的一些定义。详细说明见表 1。
表 1. SYSCAT.TABLES 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
TABSCHEMA | VARCHAR(128) | 记录 schema 的名字 |
TABNAME | VARCHAR(128) | 记录数据库对象的名称。包括表、视图、别名等 |
TYPE | CHAR(1) | 表示该数据库对象是表,视图还是别名 ('T'表示table; 'V'表示 view; 'N' 表示nickname; 'A' 表示 alias。) |
COLCOUNT | SMALLINT | 表或视图中列的个数 |
…… |
SYSCAT.VIEWS:视图的定义信息。详细说明见表 2。
表 2. SYSCAT.VIEWS 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
VIEWSCHEMA | VARCHAR(128) | 视图的 Schema |
VIEWNAME | VARCHAR(128) | 视图名称 |
READONLY | CHAR(1) | 视图是否只读:Y = 视图是只读N = 视图不是只读 |
VALID | CHAR(1) | 视图状态是否合法:Y = 视图状态合法(valid)X = 视图状态不合法(invalid) |
TEXT | CLOB (64K) | 视图的源程序(DDL) |
…… |
SYSCAT.ROUTINES:DB2 UDF,系统方法(system-generated method),用户定义方法(user-defined method)和存储过程(SP)的定义。我们可以认为该视图包含了数据库中程序的定义。见表 3。
表 3. SYSCAT.ROUTINES 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
ROUTINESCHEMA | VARCHAR(128) | 记录程序的 schema |
ROUTINENAME | VARCHAR(128) | 记录程序名称 |
ROUTINETYPE | CHAR(1) | 记录程序类型:F = FunctionM = MethodP = Procedure |
SPECIFICNAME | VARCHAR(128) | 程序实例的名称(可以指定,也可以由系统自动生成) |
VALID | CHAR(1) | 如果存储过程依赖的一些对象被删除或修改了,该存储过程必须要被重建Y = SQL 存储过程是合法的N = SQL 存储过程是非法的X = SQL 存储过程是不可操作的 |
TEXT | CLOB(1M) | 如果是用 SQL 编写的程序,该字段记录了其创建的 DDL |
… |
表 4 所示的 SYSCAT.ROUTINEDEP 说明了 DB2 UDF与其他对象的依赖关系。
表 4. SYSCAT.ROUTINEDEP 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
ROUTINESCHEMA | VARCHAR(128) | 依赖于其他对象的 DB2 程序的 schema |
ROUTINENAME | VARCHAR(128) | 依赖于其他对象的 DB2 程序的名称 |
BTYPE | CHAR(1) | 依赖对象的类型:A = AliasS = Materialized query tableT = TableV = View |
BSCHEMA | VARCHAR(128) | 被依赖的对象的 schema |
BNAME | VARCHAR(128) | 被依赖的对象的名称 |
表 5 所示的 SYSCAT.COLUMNS 说明了表或视图的每一个列的信息。
表 5. SYSCAT.COLUMNS 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
TABSCHEMA | VARCHAR(128) | 表或视图的 Schema |
TABNAME | VARCHAR(128) | 表或视图名称 |
COLNAME | VARCHAR(128) | 列名称 |
KEYSEQ | SMALLINT | 记录列在其表的主键的位置 |
表 6 所示的 SYSCAT.PACKAGEDEP 说明了 Pachage 与其他数据库对象的依赖关系。
表 6. SYSCAT.PACKAGEDEP 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
PKGSCHEMA | VARCHAR(128) | Package 的 schema |
PKGNAME | VARCHAR(18) | Package 的名称 |
BTYPE | CHAR(1) | 依赖对象的类型:A = AliasB = TriggerI = IndexS = Materialized query tableT = TableV = View |
BSCHEMA | VARCHAR(128) | 被依赖的对象的 schema |
BNAME | VARCHAR(128) | 被依赖的对象的名称 |
表 7 所示的 SYSCAT.TABDEP 说明了视图或者固化视图和 DB2 对象之间的依赖关系。
表 7. SYSCAT.TABDEP 视图的说明
列名 | 数据类型 | 描述 |
---|---|---|
TABSCHEMA | VARCHAR(128) | 视图或者固化视图的 schema |
TABNAME | VARCHAR(128) | 视图或者固化视图的名称 |
DTYPE | CHAR(1) | 视图的类型:S = Materialized query tableV = View (untyped)W = Typed view |
BTYPE | CHAR(1) | 依赖对象的类型:A = AliasS = Materialized query tableT = TableV = View |
BSCHEMA | VARCHAR(128) | 被依赖的对象的 schema |
BNAME | VARCHAR(128) | 被依赖的对象的名称 |
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步