27_SH43-0144-00 (1038594), страница 59
Текст из файла (страница 59)
Чтобы отозватьпривилегии для объектов баз данных, нужно иметь полномочия DBADM,полномочия SYSADM или привилегию CONTROL для этих объектов. Обратитевнимание на то, что обладание привилегией с опцией WITH GRANT OPTION недает права отозвать эту привилегию. Чтобы отозвать привилегию CONTROL уГлава 5. Управление доступом к базам данных265другого пользователя, нужно иметь полномочия SYSADM или DBADM. Чтобыотозвать полномочия DBADM, нужно иметь полномочия SYSADM.
Привилегииможно отзывать только для существующих объектов.Примечание: Пользователь без полномочий DBADM и привилегии CONTROLдля таблицы или производной таблицы не может отозватьпривилегию, которую предоставил посредством опции WITHGRANT OPTION. Кроме того, отзыв привилегии не вызываеткаскада отзыва этой привилегии у тех, кто получил ее отлишенного теперь этой привилегии пользователя.Дополнительную информацию о полномочиях, требуемых дляотзыва привилегий, смотрите в руководстве SQL Reference.Если привилегия была предоставлена пользователю и группе с одним и тем жеименем, при ее отзыве нужно использовать ключевое слово GROUP или USER.
Вследующем примере отзывается привилегия SELECT для таблицы EMPLOYEE упользователя HERON:REVOKE SELECTON EMPLOYEE FROM USER HERONВ следующем примере отзывается привилегия SELECT для таблицы EMPLOYEEу группы HERON:REVOKE SELECTON EMPLOYEE FROM GROUP HERONОбратите внимание на то, что отзыв привилегии у группы не обязательнолишает этой привилегии всех членов группы. Если привилегия быланепосредственно предоставлена отдельному пользователю, он сохранит ее, покане произойдет непосредственного отзыва.Если у пользователя отзывается привилегия таблицы, отзываются такжепривилегии для всех зависимых от нее производных таблиц, созданных этимпользователем. Однако отзываются только привилегии, неявнопредоставленные системой. Если привилегия для производной таблицы быланепосредственно предоставлена другим пользователем, эта привилегиясохранится.Если у пользователя с полномочиями DBADM отзывается предоставленнаяявным образом привилегия таблицы (или производной таблицы), привилегиидля производных таблиц, определенных на данной таблице, не отзываются.
Этосвязано с тем, что привилегии производных таблиц доступны в рамкахполномочий DBADM и не зависят от явных привилегий для базовых таблиц.266Руководство администратора: РеализацияЕсли вы определили производную таблицу на базе одной или нескольких таблицили производных таблиц, а затем утратили привилегию SELECT для одной илинескольких из этих таблиц, вы не сможете использовать эту производнуютаблицу.Примечание: Когда у пользователя отзывается привилегия CONTROL длятаблицы или производной таблицы, у него сохраняется правопередавать привилегии другим. Получая привилегию CONTROL,пользователь также получает все остальные привилегии с опциейWITH GRANT OPTION. Когда CONTROL отзывается, всеостальные привилегии сохраняются с опцией WITH GRANTOPTION, пока они не будут отозваны явным образом.Все пакеты, зависящие от отозванных полномочий, помечаются какзапрещенные; их можно сделать разрешенными повторным связыванием,выполненным пользователем с соответствующими полномочиями.
Кроме того,пакеты можно восстановить, если вернуть привилегии связывателю прикладнойпрограммы; при выполнении прикладной программы произойдет успешноенеявное повторное связывание. Если привилегии отзываются у группы PUBLIC,окажутся запрещены все пакеты, связанные пользователями, права которых насвязывание базировались на привилегиях группы PUBLIC. Если у пользователяотзываются полномочия DBADM, запрещаются все пакеты, связанные этимпользователем, включая пакеты, относящиеся к утилитам баз данных.
Когдапредпринимается попытка использовать пакет, помеченный как запрещенный,система пытается повторно связать этот пакет. Если повторное связывание непроходит, возникает ошибка (SQLCODE -727). В таком случае требуется явноеповторное связывание пакетов пользователем с:v Полномочиями повторно связывать пакетыv Соответствующими полномочиями для объектов, используемых в пакетахЭти пакеты следует повторно связать при отзыве привилегий. Дополнительнуюинформацию об операторах REVOKE и REBIND PACKAGE смотрите всправочнике SQL Reference.Если вы определили триггер на базе одной или нескольких привилегий, а затемутратили одну или несколько из этих привилегий, вы не сможете использоватьэтот триггер.Управление неявными авторизациями при создании и отбрасыванииобъектов|||||||Менеджер баз данных неявно предоставляет определенные привилегиипользователю, выдающему операторы CREATE SCHEMA, CREATETABLESPACE, CREATE TABLE, CREATE VIEW и CREATE INDEX илисоздающему новый пакет командой PREP или BIND.
Кроме того, привилегиипредоставляются создающим объекты пользователям с полномочиямиSYSADM или DBADM. Аналогичным образом при отбрасывании объектапривилегии уничтожаются.Глава 5. Управление доступом к базам данных267Если создаваемый объект - табличное пространство, таблица, индекс или пакет,пользователь получает привилегию CONTROL для объекта. Если этот объект производная таблица, привилегия CONTROL для производной таблицы неявнопредоставляется, только если пользователь располагает привилегией CONTROLдля всех таблиц и производных таблиц, которые упоминаются в определенииэтой производной таблицы.||||||Если явно создаваемый объект - схема, владелец получает привилегии ALTERIN,CREATEIN и DROPIN с опцией WITH GRANT OPTION. Для неявно созданнойсхемы привилегия CREATEIN предоставляется группе PUBLIC.Информацию о том, как определяются привилегии производной таблицы,смотрите в разделе об операторе CREATE VIEW в справочнике SQL Reference.Установление прав собственности на план или пакетКоманды BIND и PRECOMPILE создают или изменяют пакет прикладнойпрограммы.
В каждой из них можно опцией OWNER назвать владельцасоздаваемого пакета. Есть несложные правила именования владельца пакета:v Всякий пользователь может назвать владельцем себя самого. Это значениеиспользуется по умолчанию, если для опция OWNER не задана.v ID с полномочиями SYSADM или DBADM может назвать владельцем любойID авторизации с помощью опции OWNER.Не все операционные системы могут связать пакет с помощью продуктов базданных DB2, которые поддерживают опцию OWNER.Дополнительную информацию о командах BIND и PRECOMPILE смотрите вруководстве Command Reference.Предоставление косвенных привилегий посредством пакетаДоступ к данным в базе данных может быть затребован прикладнымипрограммами, а также лицами, участвующими в диалоговых сеансах рабочейстанции.
Пакет содержит операторы, позволяющие пользователям выполнятьряд действий на многих объектах баз данных. Каждое из этих действий требуетодной или нескольких привилегий.Привилегии, предоставленные группе PUBLIC и отдельным пользователям игруппам, связывающим пакет, используются для проведения авторизации присвязывании статического SQL.
Привилегии, предоставленные через группы, неиспользуются для проведения авторизации при связывании статического SQL.Пользователь с допустимым authID, связывающий пакет, либо должен до этогоявно получить все требуемые привилегии для выполнения статическихоператоров SQL в пакете, либо должен неявно получить необходимыепривилегии через группу PUBLIC, если только при связывании пакета не былозадано VALIDATE RUN. Если при запуске BIND было задано VALIDATE RUN,неудачи авторизации для каких-либо статических операторов SQL в пакете не||||||||||268Руководство администратора: Реализация||||сорвут выполнение BIND, эти операторы SQL будут повторно разрешены вовремя запуска. Все привилегии пользователя, группы и группы PUBLICиспользуются при проверке прав пользователя (привилегии BIND илиBINDADD) связать пакет.Пакеты могут включать как статические, так и динамические операторы SQL.Чтобы обработать пакет со статическими операторами SQL, пользователюдостаточно иметь привилегию EXECUTE для этого пакета.
Этот пользовательможет затем косвенно получить привилегии связывателя пакета для всехстатических операторов SQL в пакете, но только в пределах ограничений,налагаемых пакетом.Чтобы обработать пакет какими-либо динамическими операторами SQL,пользователю необходимо иметь привилегию EXECUTE для этого пакета.Пользователю нужна привилегия EXECUTE для пакета плюс все привилегии,требуемые для выполнения динамических операторов SQL в пакете.Полномочия и привилегии связывателя используются для всех статическихоператоров SQL в пакете.Предоставление косвенных привилегий посредством пакета,содержащего псевдонимыКогда пакет содержит ссылки на псевдонимы, процесс авторизации длясоздателей пакета и пользователей пакета несколько усложняется.
Когдасоздатель пакета успешно свяжет пакеты, содержащие псевдонимы, создательпакета не должен проходить аутентификацию и проверку привилегий дляобозначенных псевдонимами таблиц и производных таблиц на источникахданных. Однако исполнитель пакета должен пройти аутентификацию и проверкуполномочий на источниках данных.Например, допустим, что файл .SQC создателя пакета содержит несколькооператоров SQL.
Один оператор, статический, содержит ссылку на локальнуютаблицу. Другой оператор, динамический, ссылается на псевдоним. Присвязывании пакета authid создателя пакета используется для проверкипривилегий для локальной таблицы, но проверки для объектов источниковданных, обозначенных псевдонимами, не проводятся. Когда другойпользователь захочет выполнить пакет, имея для пакета привилегию EXECUTE,этот пользователь не должен проходить дополнительных проверок привилегий всвязи с оператором со ссылкой на таблицу. Однако, поскольку есть оператор соссылкой на псевдоним, пользователь, выполняющий пакет, должен пройтиаутентификацию и проверку привилегий на источнике данных.Когда файл .SQC состоит только из динамических операторов SQL и смесиссылок на таблицы и псевдонимы, процедуры проверки авторизации DB2 длялокальных объектов и псевдонимов аналогичны.
Пользователи пакетов должныпроходить проверку привилегий для всех локальных объектов (таблиц,производных таблиц) в операторах, а также для объектов псевдонимовГлава 5. Управление доступом к базам данных269(пользователи пакетов должны проходить аутентификацию и проверкупривилегий на том источнике данных, который содержит объекты,обозначенные псевдонимами). В обоих случаях пользователи пакета должныиметь привилегию EXECUTE.ID и пароль исполнителя пакета используется при всех аутентификациях ипроверках привилегий на источниках данных. Эта информация может бытьизменена путем создания отображения пользователей.Примечание: В статических SQL нельзя использовать псевдонимы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
