在 DB2 9.5 中实现新的安全功能，第 2 部分: 理解可信上下文

核心提示： 用于 SECADM 的 DB2SEC 将用于管理小组的 MARK、ALLY 和 SAULADAM、DEBS、PETE、YANG、MARY 和 ANNEROSE、STAN、ALAN、LORI、EVAN 和 KLEM这些用户 id 不需要任何特殊的权限，因为它们将只用于 DB2 数据库，在 DB2

用于 SECADM 的 DB2SEC

将用于管理小组的 MARK、ALLY 和 SAUL

ADAM、DEBS、PETE、YANG、MARY 和 ANNE

ROSE、STAN、ALAN、LORI、EVAN 和 KLEM

这些用户 id 不需要任何特殊的权限，因为它们将只用于 DB2 数据库。所有需要的特权和权限将使用 SQL 发出。另外还需要一个名为 Pension_gp 的组。将 ROSE 放进这个组。除此之外不需要设置其他的组权限。如果使用 Windows，那么应确保用户不在 Administrators 组中。

下面的图展示了练习中将用到的公司和角色的层次结构：

图 2. 角色结构

注意，有些名称出现在两个框中，这是因为有些人身兼两个部门的工作，因此需要处于不止一个角色中。KLEM 是一个新员工，因此没有被分配到任何角色。

在后面的练习中，DB2 数据库管理员为 DB2inst1，数据库为 SAMPLE 数据库。所有脚本都使用用户 id DB2inst1 和密码 “password”。如果您使用不同的数据库或数据库管理 id（DBA），那么必须编辑这些脚本，使之与您自己的系统相符。注意确认 “Sample” 或其他可使用的数据库已经存在。如果不存在，请使用 DB2SAMPL 命令创建 SAMPLE 数据库，因为本教程后面一直要用到它。

现在，为了进行这组练习，将新用户和表添加到该数据库中：

将用户添加到数据库中。

以 DBA 身份连接到数据库，并授予以下特权：

清单 1. 将特权授给数据库用户
GRANT　CONNECT　ON　DATABASE　TO　USER　MARK;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　ALLY;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　ADAM;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　DEBS;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　PETE;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　YANG;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　SAUL;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　MARY;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　ANNE;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　ROSE;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　STAN;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　ALAN;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　LORI;
　
GRANT　CONNECT　ON　DATABASE　TO　USER　EVAN;
　
GRANT　SECADM　ON　DATABASE　TO　USER　DB2SEC;
或者使用 AddUsers.sql 脚本添加这些新用户。