使用 Tivoli Access Manager for Operating Systems 保护 DB2 资源

核心提示： 下面的例子演示如何使用 TAMOS 访问控制来防范欺骗行为:拥有 UNIX 或 Linux 机器上所有权限的根用户试图切换身份到 DB2 实例用户（例如，db2ins95）并篡改某些DB2进程，使用 Tivoli Access Manager for Operating Systems 保护 D

下面的例子演示如何使用 TAMOS 访问控制来防范欺骗行为:

拥有 UNIX 或 Linux 机器上所有权限的根用户试图切换身份到 DB2 实例用户（例如，db2ins95）并篡改某些DB2进程。这样 TAMOS 将进行保护。TAMOS 通过提供代理资源提供保护代理操作的方法。首先创建一个对象。

以下是创建对象的语法：

Object create /OSSEAL/<Server name>/Resource "Description" <object type> ispolicyattachable yes|no

因此，在上例中，可以使用清单 2 中的命令为代理资源创建对象。

清单 2. 创建对象命令示例

pdadmin　sec_master>　object　create　/OSSEAL/Server.in.ibm.com/Surrogate/User/db2ins95　\　
　"SurrogateUser"　0　ispolicyattachable　yes　

然后可以使用清单 3 中的命令来创建一个策略，禁止根用户将用户身份切换到 db2ins95。

清单 3. 创建 ACL 的命令示例

pdadmin　sec_master>　acl　show　surr-acl　
　　ACL　Name:　surr-acl　
　　Description:　
　　Entries:　
　　　　User　sec_master　TcmdbsvaBRl　
　　　　User　root　T　

以上 ACL 显示根用户未被赋予代理权限位 “G”。现在可使用清单 4 中的命令将策略应用到对象上以便执行。

清单 4. 将策略应用到对象上以便执行的命令示例

pdadmin　sec_master>　acl　attach　/OSSEAL/Server.in.ibm.com/Surrogate/User/db2ins95　surr-acl　

现在，如果根用户试图将身份更改为 DB2 实例用户，将不被允许，如清单 5 所示。

清单 5. 不允许将身份更改为 DB2 实例用户