27_SH43-0144-00 (1038594), страница 50
Текст из файла (страница 50)
Если пакет зависитот пользовательской функции и эта функция отброшена, этот пакет переводитсяв состояние ″неработоспособный″.Кэшируемый динамический оператор SQL, находящийся в состоянии″недействительный″, автоматически заново оптимизируется при следующемиспользовании.
Если объект, необходимый этому оператору, был отброшен,выполнение этого динамического оператора может быть неудачным и будетвыдано сообщение об ошибке.Для пакета, находящегося в состоянии ″недействительный″, повторноесвязывание выполняется неявно при его следующем использовании. Для такогопакета можно также явно выполнить повторное связывание. Если пакет отмеченкак недействительный из-за отбрасывания триггера, повторно связанный пакетболее не будет запускать этот триггер.|||||Для пакета, находящегося в состоянии ″неработоспособный″, необходимо явновыполнить повторное связывание, прежде чем его можно будет использовать.Дополнительную информацию о связывании и повторном связывании пакетовсмотрите в руководстве Application Development Guide.||||Объекты базы данных объединения имеют аналогичные зависимости.Например, при отбрасывании сервера становятся недействительными все пакетыили кэшируемые динамические операторы SQL, в которых используютсяпсевдонимы, связанные с этим сервером.||||В некоторых случаях повторное связывание пакета невозможно.
Например, еслитаблица была отброшена и не создана заново, повторное связывание пакетаневозможно. В этом случае нужно или заново создать отброшенный объект илиизменить прикладную программу, чтобы она не использовала этот объект.||В многих других случаях (например, если было отброшено одно из ограничений)повторное связывание пакета возможно.222Руководство администратора: РеализацияСледующие производные таблицы каталога помогут вам определить состояниепакета и его зависимости:v SYSCAT.PACKAGEAUTHv SYSCAT.PACKAGEDEPv SYSCAT.PACKAGESДополнительную информацию о зависимостях объектов смотрите в разделе обоператоре DROP руководства SQL Reference.Глава 4.
Изменение базы данных223224Руководство администратора: РеализацияЧасть 3. Защита баз данных© Copyright IBM Corp. 1993, 2000225226Руководство администратора: РеализацияГлава 5. Управление доступом к базам данныхБезопасность баз данных - важнейшая обязанность администратора баз данныхи системного администратора. Обеспечение безопасности базы данных включаетнесколько аспектов:v Предотвращение случайных потерь данных и нарушений целостности данныхиз-за отказов оборудования и системы.v Предотвращение несанкционированного доступа к ценным данным.
Выдолжны обеспечить закрытость конфиденциальной информации от тех, комуона не требуется для работы.v Предотвращение ущерба от действий неуполномоченных лиц - уничтоженияданных и искажения данных.v Мониторинг обращений пользователей к данным, который обсуждается вразделе “Глава 6. Аудит действий DB2” на стр. 281.Далее описаны следующие темы:v “Выбор ID пользователей и групп для установки”v “Выбор метода аутентификации для сервера” на стр. 230v “Особенности аутентификации для удаленных клиентов” на стр.
236v “Особенности распределенной базы данных” на стр. 237v “Использование служб защиты DCE для аутентификации пользователей” настр. 237v “Привилегии, полномочия и авторизация” на стр. 249v “Управление доступом к объектам баз данных” на стр. 264v “Задачи и требуемая авторизация” на стр.
274v “Использование системного каталога” на стр. 275.Планирование мер безопасности: Определите сначала цели для плана управлениядоступом к базам данных и решите, кто, к каким объектам и при какихобстоятельствах будет иметь доступ. В вашем плане также должно бытьуказано, какие для достижения этих целей будут использованы функции базданных, функции других программ, административные процедуры.Выбор ID пользователей и групп для установкиСоображения безопасности должны учитываться администратором DB2 смомента установки продукта. В руководствах Quick Beginnings, (Быстрый старт)для конкретных платформ содержится информация о планировании, установке инастройке DB2.© Copyright IBM Corp.
1993, 2000227Для установки DB2 потребуются имя пользователя, имя группы и пароль. Вовремя установки все требуемые параметры администратора имеют значения поумолчанию. Когда же установка DB2 с параметрами по умолчанию завершена,администратору настоятельно рекомендуется создать новые именапользователей, имена групп и пароли, прежде чем создавать экземпляры, вкоторых будут размещены базы данных. Использование новых именпользователей, имени группы и паролей уменьшит риск того, что другойпользователь, зная значения по умолчанию, использует их длянесанкционированного доступа к экземплярам и базам данных.Еще одна рекомендация, связанная с мерами безопасности после установки DB2- изменить привилегии, предоставленные пользователям по умолчанию.
В ходеустановки привилегии SYSADM предоставляются по умолчанию следующимпользователям в каждой из операционных систем:||||OS/2Всем допустимым ID пользователей DB2 изгрупп администраторов UPM (User ProfileManagement - управление профилямипользователей) и локальных администраторов.||Windows 95 или Windows 98Всем пользователям Windows 95 или Windows98.||Windows NT или Windows 2000 Всем пользователям DB2 из группыадминистраторов.UNIXВсем пользователям DB2 из первичной группыID пользователя владельца экземпляра.Привилегии SYSADM - самый сильный набор привилегий, доступный в DB2.(Привилегии рассматриваются ниже в этой главе). Поэтому вы, возможно, незахотите, чтобы все эти пользователи имели привилегии SYSADM поумолчанию. DB2 позволяет администратору предоставлять привилегии группами отдельным пользователям и отзывать их.Информация о создании и назначении групп и ID пользователей находится вкнигах Быстрый старт для конкретных платформ.
Изменяя параметрконфигурации SYSADM_GROUP менеджера баз данных, администратор можетуправлять тем, какая группа будет определена как группа управления системой спривилегиями системного администратора. Требованиями безопасностидиктуются следующие меры при установке DB2 и при последующем созданииэкземпляров и баз данных.Должна существовать группа, определенная как группа управления системой(полученная путем изменения SYSADM_GROUP). Желательно, чтобы имя этойгруппы ясно свидетельствовало о принадлежности группы владельцамэкземпляра.
ID пользователей и группы, принадлежащие этой группе, имеютполномочия системного администратора для своих экземпляров.|||||228Руководство администратора: РеализацияРекомендуется создать ID пользователя - владельца экземпляра, который будетлегко ассоциироваться с конкретным экземпляром. Этот ID пользователядолжен входить в группу SYSADM, описанную выше. Рекомендуется такжеиспользовать этот ID пользователя - владельца экземпляра только как членгруппы владельца экземпляра и не использовать его в других группах.
Этопоможет предотвратить неконтролируемый рост числа ID пользователей игрупп, способных изменять среду экземпляра.Создаваемый ID пользователя необходимо связать с паролем, чтобы проводитьаутентификацию перед каждым входом в данные и базы данных в пределахэкземпляра. При создании пароля рекомендуется следовать указаниям позаданию паролей, принятым в вашей организации.|||||Особенности платформы Windows NTПри работе в Enterprise – Extended Edition для Windows NT полномочияуправления системой (SYSADM) предоставляются всякой учетной записипользователя, принадлежащей локальной группе администраторов на томкомпьютере, где определена учетная запись.||||||||||Например, если пользователь входит в систему по учетной записи домена ипытается обратиться к базе данных DB2, DB2 обратится к контроллеру домена,чтобы получить списки групп (включая группу администратора).
Это поведениеDB2 можно изменить следующими двумя способами:1. Задать переменную реестра DB2_GRP_LOOKUP=local и добавить учетныезаписи домена (или глобальные группы) в локальную группуадминистраторов.2. Добавить в файл конфигурации менеджера баз данных новую группу. Есливы хотите, чтобы список этой группы был на локальном компьютере,необходимо также задать переменную реестра DB2_GRP_LOOKUP.|||||||По умолчанию в среде домена Windows NT права SYSADM на какой-либоэкземпляр имеются только у тех пользователей домена, которые принадлежатгруппе администраторов на первичном контроллере домена (Primary DomainController, PDC).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
