27_SH43-0144-00 (1038594), страница 51
Текст из файла (страница 51)
Поскольку DB2 всегда производит авторизацию на томкомпьютере, где была определена учетная запись, добавление пользователядомена в локальную группу администраторов на сервере не дает этой группеправ SYSADM пользователя домена.|||||||Чтобы избежать добавления пользователя домена в группу администраторов вPDC, нужно создать глобальную группу и добавить туда пользователей (идомена, и локальных), которым вы хотите предоставить права SYSADM. Дляэтого нужно ввести следующие команды:DB2STOPDB2 UPDATE DBM CFG USING SYSADM_GROUP global_groupDB2STARTГлава 5.
Управление доступом к базам данных229Особенности платформы UNIX|На платформах на основе UNIX нужно создать группу для изолированныхпользовательских функций и хранимых процедур, и все ID пользователей,использующие изолированные пользовательские функции или хранимыепроцедуры, должны быть членами этой группы. Как и у группы SYSADM, угруппы изолированных пользовательских функций и хранимых процедурдолжно быть содержательное имя.
ID пользователей, вошедшие в группуизолированных пользовательских функций и хранимых процедур, получат поумолчанию все связанные с ней права и полномочия.Из соображений безопасности не рекомендуется в качестве ID изолированныхфункций использовать имя экземпляра. Однако если использоватьизолированные пользовательские функции и хранимые процедуры непредполагается, можно не создавать новый ID пользователя и задать в качествеID изолированных функций имя экземпляра.В общем случае рекомендуется создать ID пользователя, ясно связанный сгруппой.
Пользователь изолированных пользовательских функций и хранимыхпроцедур задается как параметр сценария создания экземпляра (db2icrt ...-u<FencedID>). Этот параметр не требуется при установке клиентов DB2 икомплекта разработчика программ DB2.Общие правила|Есть правила для именования всех объектов и пользователей. Некоторые из этихправил зависят от платформы, на которой вы работаете. Например,определенные правила регулируют использование в имени букв верхнего инижнего регистров.v На платформах UNIX имена должны быть в нижнем регистре.v На платформах OS/2 имена должны быть в верхнем регистре.v На платформах Windows имена могут быть в верхнем регистре, в нижнемрегистре и смешанные.Другие правила именования смотрите в разделе “Приложение A. Правилаименования” на стр.
407.Команда db2icrt создает главный каталог библиотек SQL (sqllib) в начальномкаталоге владельца экземпляра.Выбор метода аутентификации для сервераЧтобы получить доступ к экземпляру или базе данных, пользователь сначаладолжен пройти аутентификацию. Тип аутентификации экземпляра определяет,каким образом и где происходит проверка пользователя. Тип аутентификациисохраняется в файле конфигурации менеджера баз данных на сервере.Первоначально он задается при создании экземпляра. Дополнительную230Руководство администратора: Реализацияинформацию об этом параметре конфигурации менеджера баз данных смотритев разделе “Настройка DB2” в книге Руководство администратора:Производительность.
Тип аутентификации распространяется на весь экземпляр,определяя доступ к серверу баз данных и всем базам данных, которыми онуправляет.Если предполагается доступ к источникам данных из базы данных объединения,нужно предусмотреть проведение аутентификации для источников данных иопределение типов для аутентификации объединения. Дополнительнуюинформацию смотрите в разделе “Обработка аутентификации базы данныхобъединения” на стр. 243.Поддерживаются следующие типы аутентификации:SERVERЗадает, что аутентификация происходит на сервере при помощи средствзащиты локальной операционной системы. Если ID пользователя ипароль задаются при попытке соединения или подключения, прежде чемразрешить этому пользователю доступ к экземпляру, они сравниваютсяс допустимыми сочетаниями ID пользователя и пароля на сервере.
Этотмеханизм защиты принимается по умолчанию.Примечание: Программа сервера определяет, является соединениелокальным или удаленным. При локальных соединенияхдля успешной аутентификации типа SERVER не требуетсяID пользователя и пароля.Если тип SERVER имеет аутентификация на удаленном экземпляре,требуется, чтобы ID пользователя и пароль были предоставленыпользователем или получены DB2 и переданы для проверки серверу,даже если пользователь уже зарегистрировался на локальномкомпьютере или домене.SERVER_ENCRYPTЗадает, что сервер принимает зашифрованные схемы аутентификациитипа SERVER.
Если не задана аутентификация клиента, клиент проходитаутентификацию по методу, выбранному на сервере.Если аутентификация клиента - DCS или SERVER, клиент проходитаутентификацию, передавая серверу ID пользователя и пароль. Еслиаутентификация клиента - DCS_ENCRYPT или SERVER_ENCRYPT,клиент проходит аутентификацию, передавая ID пользователя изашифрованный пароль.Если у клиента задано SERVER_ENCRYPT, а на сервере - SERVER,будет возвращена ошибка из-за несоответствия уровнейаутентификации.Глава 5.
Управление доступом к базам данных231CLIENTЗадает, что аутентификация происходит на разделе базы данных привызове программы с использованием средств защиты операционнойсистемы. Прежде чем разрешить ID пользователя доступ к экземпляру,этот ID пользователя и пароль, заданные при попытке соединения илиподключения, сравниваются с допустимыми сочетаниями IDпользователя и пароля на узле клиента. Никакой дальнейшейаутентификации на сервере баз данных не производится.Если пользователь зарегистрировался локально или как клиент, онизвестен только данной рабочей станции клиента.Если на удаленном экземпляре тип аутентификации - CLIENT,окончательный тип аутентификации зависит от еще двух параметров:trust_allclnts и trust_clntauth.Уровень мер безопасности CLIENT только для ДОВЕРЕННЫХклиентов:Доверенные клиенты - это клиенты, имеющие надежные локальныесистемы мер безопасности. Доверенными считаются все клиенты, кромеработающих на операционных системах Windows 95 и Windows 98.|||Если выбран тип аутентификации CLIENT, могут быть включеныдополнительные опции, защищающие от клиентов, у которыхоперационная среда не имеет встроенных мер безопасности.Чтобы защититься от ненадежных клиентов, администратор можетвключить режим аутентификации доверенных клиентов, задав дляпараметра trust_allclnts значение NO.
Тогда все надежные платформысмогут проводить аутентификацию пользователя для сервера.Ненадежные клиенты проходят аутентификацию на сервере и должныпредоставлять ID пользователя и пароль. Параметр конфигурацииtrust_allclnts позволяет задать, доверяете ли вы клиентам. Поумолчанию значение этого параметра - YES.Примечание: Можно задать доверие всем клиентам (trust_allclnts имеетзначение YES), но при этом отметить некоторых клиентов,как не имеющих собственной надежной системы мерзащиты при аутентификации.Кроме того, вы, возможно, захотите аутентификацию даже доверенныхклиентов выполнять на сервере.
Чтобы указать, где будут проверятьсядоверенные клиенты, используйте параметр конфигурации trust_clntauth.По умолчанию значение этого параметра - CLIENT. Дополнительнуюинформацию об этом параметре смотрите в разделе “Настройка DB2” вкниге Руководство администратора: Производительность.232Руководство администратора: РеализацияПримечание: Только для доверенных клиентов, если при попыткевыполнить операторы соединения CONNECT илиподключения ATTACH не заданы явно ID пользователя ипароль, проверка пользователя производится на клиенте.Параметр trust_clntauth влияет только на место проверкиинформации в операторах с условиями USER/USING.Чтобы защититься от всех клиентов, кроме клиентов DRDA из системDB2 для MVS и OS/390, DB2 для VM и VSE и DB2 для OS/400, задайтедля параметра trust_allclnts значение DRDAONLY. Только этимклиентам будет доверяться проведение аутентификации на сторонеклиента.
Все остальные клиенты должны проходить аутентификацию насервере, предоставляя ID пользователя и пароль.Параметр trust_clntauth определяет, где должны проходитьаутентификацию перечисленные выше клиенты: если trust_clntauthимеет значение client, аутентификация производится на клиенте. Еслиtrust_clntauth имеет значение server, аутентификация производится наклиенте, если пароль не предоставлен, и на сервере, если парольпредоставлен.Таблица 4. Режимы аутентификации при использовании сочетаний параметров TRUST_ALLCLNTSи TRUST_CLNTAUTH.TRUST_ALLCLNTSTRUST_CLNTAUTHАутентиф.ненадежныхне–DRDAклиентовбез пароляАутентиф.ненадежныхне–DRDAклиентов спаролемАутентиф.доверенныхне–DRDAклиентовбез пароляАутентиф.доверенныхне–DRDAклиентов спаролемАутентиф.клиентовDRDA безпароляАутентиф.клиентовDRDA спаролемYESCLIENTCLIENTCLIENTCLIENTCLIENTCLIENTCLIENTYESSERVERCLIENTSERVERCLIENTSERVERCLIENTSERVERNOCLIENTSERVERSERVERCLIENTCLIENTCLIENTCLIENTNOSERVERSERVERSERVERCLIENTSERVERCLIENTSERVERDRDAONLYCLIENTSERVERSERVERSERVERSERVERCLIENTCLIENTDRDAONLYSERVERSERVERSERVERSERVERSERVERCLIENTSERVERDCSИспользуется в основном для занесения в каталог базы данных приобращении с помощью DB2 Connect.
(Подробности по этой темесмотрите в разделе DB2 Connect. Руководство пользователя в части,посвященной безопасности.) Если используется для задания типааутентификации экземпляра в файле конфигурации менеджера базданных, действует также, как аутентификация SERVER, кроме случаевобращения к серверу прикладных программ (AS) через архитектуруDRDA по протоколу APPC. В этом случае задание DCS указывает, чтоаутентификация будет происходить на сервере, но только на уровнеГлава 5. Управление доступом к базам данных233APPC. Дальнейшая аутентификация в коде DB2 не производится. Этозначение поддерживается только тогда, когда параметр APPC SECURITYдля соединения имеет значение SAME или PROGRAM.DCS_ENCRYPTЗадает, что DB2 Connect принимает зашифрованные схемыаутентификации типа SERVER.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
