DB2数据库安全性全面介绍

核心提示： 您的驾照授权您驾驶机动车并限制您对某些“对象”的访问（例如，如您持有 G2 驾照就不可以在高速公路上开车），DB2数据库安全性全面介绍(5)，DB2 以非常类似的方式工作， 授权可以被分为两个不同类别：权限和特权，对通过验证的用户的授权名以及该用户所属的组与记录在案

您的驾照授权您驾驶机动车并限制您对某些“对象”的访问（例如，如您持有 G2 驾照就不可以在高速公路上开车）。DB2 以非常类似的方式工作。

授权可以被分为两个不同类别：权限和特权。

权限。权限提供一种把特权分组的方法，并对数据库管理器和实用程序进行更高级的维护和操作加以控制。数据库相关权限存储在数据库目录中；系统权限关系到组成员关系，对给定的实例，它存储在数据库管理器配置文件中。DB2 有如下四个预定义的权限级别：SYSADM、SYSCTRL、SYSMAINT 和 DBADM。图 1 说明 DB2 中使用的预定义的授权级别等级系统。SYSADM、SYSCTRL 和 SYSMAINT 在实例级别上操作，范围是整个服务器。每个级别都有自己的按组分的特权和访问规则（与 G 类执照非常相似）。这些权限都是在每个实例的数据库管理器配置文件中被定义的。DBADM 授权级别链接到服务器实例中的特定数据库，并自动把这一权限级别授予创建数据库的用户。DBADM 对数据库及其内的所有对象都拥有所有可能的按组分的特权。缺省情况下，SYSADM 对包括数据库在内的整个系统拥有所有可能的按组分的特权（SYSADM 有隐含的 DBADM 权限）。

DB2 使用不止一个纵向授权流。对于每个用户请求，依据涉及到的对象和操作，可能会需要多次授权检查。授权是使用 DB2 工具执行的。DB2 系统目录中记录了与每个授权名有关联的特权。对通过验证的用户的授权名以及该用户所属的组与记录在案的属于他们的特权进行比较。根据比较结果，DB2 决定是否允许请求的访问。

图 2. 返回给未被授权执行特定命令的用户的出错消息