使用 Technology Explorer for IBM DB2 为 DB2 for Linux, UNIX, and Windows 管理用户和组身份验证

核心提示： 维持用户和组将更加轻松，因为一切都可以使用 SQL 在 DB2 中进行控制（借助插件所创建的存储过程），使用 Technology Explorer for IBM DB2 为 DB2 for Linux, UNIX, and Windows 管理用户和组身份验证(2)，预封装应用程序中所使用的

维持用户和组将更加轻松，因为一切都可以使用 SQL 在 DB2 中进行控制（借助插件所创建的存储过程）。

预封装应用程序中所使用的用户和组信息可以与应用程序数据一同分布在 DB2 数据库中。将身份验证和成员信息存储在表中更便于管理员查看它们。

db2auth 插件的工作原理

db2auth 插件将所有用户、密码和组信息都存储在数据库中。在初始设置时，它会创建一个 DB2AUTH 模式，以及三个表：USERS、GROUPS 和 GROUP_MEMBERSHIP。

TUSERS 表存储用户 ID（唯一的名称）、密码、（MD5 散列值）、密码过期日期、帐户是否已被锁定以及失败登录次数。

GROUPS 表存储组 ID（唯一的名称）。

GROUP_MEMBERSHIP 表存储组 ID 和用户 ID，它们表示用户在组中的成员。

该插件还将创建存储过程，用于添加、删除和修改用户、组以及组成员信息。

db2auth 为何不是标准的 DB2 身份验证选项

易用性与安全性总是存在某种权衡关系。解除身份验证与授权之间的隔阂的后果是安全性更低。用户帐户和密码（散列值）将直接存储在数据库中。以下信息将存储在 db2auth_key.txt 平面文件中：

存储 DB2AUTH 模式及其三个表的数据库的名称

SYSADM_GROUP 配置参数所指向的组名称

管理员的用户名

对远程数据库使用 db2auth 插件时，管理员的密码（非散列值）

db2auth 插件的文档将阐述如何隐藏和加密文件，这提供相对有限的安全性

理解 TE 对 db2auth 的支持

db2auth 插件允许使用命令行接口来控制身份验证信息。TE 支持提供了一个易于使用的图形用户界面。只需要少许单击操作，管理员便可以创建和删除用户和组、修改组成员以及更改用户密码。该模块还提供了包含用户、组和成员信息的三个表的图形表示。