DB2数据库安全性全面介绍

核心提示： DCE指明使用 DCE 安全性服务来验证用户，已经登录到 DCE 的 DB2 客户机可以得到一张加密的“票证”，DB2数据库安全性全面介绍(4)，它可以用这张票证向 DB2 服务器证明自己的身份， DCE_SERVER_ENCRYPT指明服务器将把 DCE 票证或用

DCE指明使用 DCE 安全性服务来验证用户。已经登录到 DCE 的 DB2 客户机可以得到一张加密的“票证”，它可以用这张票证向 DB2 服务器证明自己的身份。

DCE_SERVER_ENCRYPT指明服务器将把 DCE 票证或用户标识以及加密的密码当作验证证据接受，由 DB2 客户机选择。

Kerberos 验证选项。Kerberos 这一新的验证机制被作为它与 Microsoft Windows 2000 紧密集成的一部分添加到 DB2 UDB v.7.1 中，单次登录工具就可以完成 DB2 验证。一旦通过验证，用户就不会受到存在于 Kerberos 环境中的任何服务器的再次质疑。这种验证方法只能用于 DB2 客户机和 DB2 服务器都是在 Windows 2000 上运行的情况下。

DCE 和 Kerberos 使用本质上相同的底层技术。当客户机登录到 Kerberos 安全性环境的时候，DB2 客户机可以获取加密的 Kerberos 票证用来向指定的 DB2 服务器证明自己的身份。

您可以选择以下两种设置之一：

KERBEROS指明应当只用 Kerberos 安全性服务来验证用户。

KRB_SERVER_ENCRYPT指明服务器将把 Kerberos 票证或用户标识以及加密密码当作验证证据接受，由 DB2 客户机选择。

授权

通过验证的用户将参加 DB2 安全性的第二层 — 授权。授权是 DB2 借以获得有关通过验证的 DB2 用户的信息（包括用户可以执行的数据库操作和用户可以访问的数据对象）之过程。

您的驾驶执照就是授权文档的绝佳示例。虽然可以把它用于验证目的，但它还授予您驾驶某种类型的车的权力。不仅如此，就驾驶机动车行路而言，您所拥有的某种授权或多或少会给您些特权。

例如，在加拿大的安大略省，G 类驾照给您实际上在任何时间任何地点都可以开车的特权。G 类驾照在驾驶汽车授权等级结构的最上层。级别比它低的 G2 类驾照虽然允许用户在一天中的任何时间驾车，但是有一定的限制。（例如，这种授权体制下的用户在饮用任何含酒精的饮料之后绝不允许驾车。）G2 驾照的下面一级是 G1 驾照，包括许多限制（例如，驾驶员必须有一位 G 类驾照的乘客陪同，不可以在高速公路上或者在天黑以后驾车）。