DB2中特权/权限

最新推荐文章于 2024-06-20 10:48:46 发布
最新推荐文章于 2024-06-20 10:48:46 发布
阅读量3.5k 收藏 6
点赞数
分类专栏: DB2 文章标签: db2 特权 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingsong3333/article/details/69817536
版权

本文粗略讲述了DB2中的权限管理,包括特权/权限的分类、如何查看某个用户/组拥有的特权/权限,以及如何赋予特权/权限。


1. 特权/权限的分类


权限分类:

 系统级别的权限(System-level authorization):
系统管理员(SYSADM)、系统控制(SYSCTRL)、系统维护(SYSMAINT)和系统监视(SYSMON)

 数据库级别权限(Database-level authorization)
ACCESSCTRL, BINDADD, CONNECT, CREATETAB, CREATE_EXTERNAL_ROUTINE, CREATE_NOT_FENCED_ROUTINE, CREATE_SECURE_OBJECT, DATAACCESS, DBADM, EXPLAIN, IMPLICIT_SCHEMA, LOAD, QUIESCE_CONNECT, SECADM, SQLADM, WLMADM
 
 特权(Privileges)
特权是对象级别的,比如某个表的增删改查权限

注意:系统级别和数据库级别的权限叫做authority,而对象级别的权限,叫做priviledge,为了区分,下文只使用英文描述。本文不解释每个特权和权限的作用和含义,有兴趣的,可以参考下面的链接 
https://www.ibm.com/support/knowledgecenter/zh/SSEPGG_10.5.0/com.ibm.db2.luw.admin.sec.doc/doc/c0005524.html 
https://www.ibm.com/support/knowledgecenter/zh/SSEPGG_10.5.0/com.ibm.db2.luw.admin.sec.doc/doc/c0005478.html
https://www.ibm.com/developerworks/cn/data/library/techarticle/dm-0601wasserman/

2. 查看系统或者数据库级别的authority

查看某个组、某个用户或者某个角色的authority,可以使用AUTH_LIST_AUTHORITIES_FOR_AUTHID表函数,它有两个参数,第一个是是名子,第二个是类型,G 表示Group,R 表示Role, U表示User

>>-AUTH_LIST_AUTHORITIES_FOR_AUTHID--(--authid--,--authidtype--)-><

例如,要查看用户 'MIAOQINGSONG'的所有authority,可以使用下面的命令: 

$ db2 "SELECT substr(AUTHORITY,1,30) as AUTHORITY, D_USER, D_GROUP, D_PUBLIC, ROLE_USER, ROLE_GROUP, ROLE_PUBLIC, D_ROLE  FROM TABLE (SYSPROC.AUTH_LIST_AUTHORITIES_FOR_AUTHID ('MIAOQINGSONG', 'U') ) AS T ORDER BY AUTHORITY"

AUTHORITY                      D_USER D_GROUP D_PUBLIC ROLE_USER ROLE_GROUP ROLE_PUBLIC D_ROLE
------------------------------ ------ ------- -------- --------- ---------- ----------- ------
ACCESSCTRL                     Y      N       N        N         N          N           *
BINDADD                        N      N       Y        N         N          N           *
CONNECT                        N      N       Y        N         N          N           *
CREATETAB                      N      N       Y        N         N          N           *
CREATE_EXTERNAL_ROUTINE        N      N       N        N         N          N           *
CREATE_NOT_FENCED_ROUTINE      N      N       N        N         N          N           *
CREATE_SECURE_OBJECT           N      N       N        N         N          N           *
DATAACCESS                     Y      N       N        N         N          N           *
DBADM                          Y      N       N        N         N          N           *
EXPLAIN                        N      N       N        N         N          N           *
IMPLICIT_SCHEMA                N      N       Y        N         N          N           *
LOAD                           N      N       N        N         N          N           *
QUIESCE_CONNECT                N      N       N        N         N          N           *
SECADM                         Y      N       N        N         N          N           *
SQLADM                         N      N       N        N         N          N           *
SYSADM                         *      Y       *        *         *          *           *
SYSCTRL                        *      N       *        *         *          *           *
SYSMAINT                       *      N       *        *         *          *           *
SYSMON                         *      N       *        *         *          *           *
WLMADM                         N      N       N        N         N          N           *

  20 record(s) selected.

具体每个字段的含义,可以参考链接:
https://www.ibm.com/support/knowledgecenter/zh/SSEPGG_10.5.0/com.ibm.db2.luw.sql.rtn.doc/doc/r0052898.html


3. 查看privileges


查看组db2users所有的privileges 

$ db2 "select substr(AUTHID,1,30) as AUTHID, AUTHIDTYPE, PRIVILEGE, GRANTABLE, substr(OBJECTNAME,1,30) as OBJECTNAME, substr(OBJECTSCHEMA,1,20) as OBJECTSCHEMA, OBJECTTYPE from SYSIBMADM.PRIVILEGES where AUTHID='DB2USERS' "
AUTHID                         AUTHIDTYPE PRIVILEGE   GRANTABLE OBJECTNAME                     OBJECTSCHEMA         OBJECTTYPE
------------------------------ ---------- ----------- --------- ------------------------------ -------------------- ------------------------
DB2USERS                       G          SELECT      N         T1                             MIAOQINGSONG         TABLE
DB2USERS                       G          SELECT      N         T2                             MIAOQINGSONG         TABLE

  2 record(s) selected.


查看表T1上所有的privileges 

$ db2 "select substr(AUTHID,1,30) as AUTHID, AUTHIDTYPE, PRIVILEGE, GRANTABLE, substr(OBJECTNAME,1,30) as OBJECTNAME, substr(OBJECTSCHEMA,1,20) as OBJECTSCHEMA, OBJECTTYPE from SYSIBMADM.PRIVILEGES where OBJECTNAME='T1' "

AUTHID                         AUTHIDTYPE PRIVILEGE   GRANTABLE OBJECTNAME                     OBJECTSCHEMA         OBJECTTYPE
------------------------------ ---------- ----------- --------- ------------------------------ -------------------- ------------------------
MIAOQINGSONG                   U          UPDATE      Y         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          REFERENCE   Y         T1                             MIAOQINGSONG         TABLE
DB2USERS                       G          SELECT      N         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          SELECT      Y         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          INSERT      Y         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          INDEX       Y         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          DELETE      Y         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          ALTER       Y         T1                             MIAOQINGSONG         TABLE
MIAOQINGSONG                   U          CONTROL     N         T1                             MIAOQINGSONG         TABLE

  9 record(s) selected.

https://www.ibm.com/support/knowledgecenter/en/SSEPGG_10.5.0/com.ibm.db2.luw.sql.rtn.doc/doc/r0021978.html

注意,通过这个表查询到的,只能是explict privileges, 例如上面两条查询结果表明,DB2USERS组对表T1是有SELECT privilege的,用户DB2TEST在组DB2USERS里,所以DB2TEST也对表T1有select privilege,但直接查询DB2TEST的privilege并不能看出来:

$ db2 "select substr(AUTHID,1,30) as AUTHID, AUTHIDTYPE, PRIVILEGE, GRANTABLE, substr(OBJECTNAME,1,30) as OBJECTNAME, substr(OBJECTSCHEMA,1,20) as OBJECTSCHEMA, OBJECTTYPE from SYSIBMADM.PRIVILEGES where AUTHID='DB2TEST' "

AUTHID                         AUTHIDTYPE PRIVILEGE   GRANTABLE OBJECTNAME                     OBJECTSCHEMA         OBJECTTYPE
------------------------------ ---------- ----------- --------- ------------------------------ -------------------- ------------------------

  0 record(s) selected.
  
$ db2 "terminate"
DB20000I  The TERMINATE command completed successfully.

$ db2 "connect to sample user db2test using db2test"

   Database Connection Information

 Database server        = DB2/NT64 10.5.6
 SQL authorization ID   = DB2TEST
 Local database alias   = SAMPLE

$ db2 "select * from MIAOQINGSONG.T1"

NAME                 ID
-------------------- -----------
miao                           1
qinbg                          2
sng                            3
ddd                          110
eee                          110

  5 record(s) selected.

4. authority和privilege的赋予与撤消

赋予系统级别的authority:
以SYSADM为例,需要配置实例配置参数 SYSADM_GROUP,指定其为一个用户组,若用户在该用户组中,则具有SYSADM authority。其他三个也类似

赋予数据库级别的authority
https://www.ibm.com/support/knowledgecenter/zh/SSEPGG_10.5.0/com.ibm.db2.luw.sql.ref.doc/doc/r0000958.html

对象级别的priviledge比较多,包括表、视图、别名、索引、表空间、包、sequence等等,不一一列举,可以参考链接:
https://www.ibm.com/support/knowledgecenter/zh/search/grant?scope=SSEPGG_10.5.0

匿_名_用_户
关注
专栏目录
DB2权限.docx
09-05
权限管理是确保数据库安全的重要手段,本文主要探讨了DB2权限机制,包括身份验证、授权和特权。 首先,DB2的安全机制主要围绕三个核心部分:身份验证、授权和特权。身份验证涉及到用户在尝试访问DB2实例或...
DB2权限
liujinwei2005的专栏
02-24 4766
DB2权限(authorization) db2权限是以层次结构的形式体现的,用于将一组预先确定的权限授予用户账户组。 DB2包括两类权限:实例权限和数据库权限 实例权限包括:SYSADM, SYSCTRL, SYSMAINT, SYSMON等,权限范围包括实例级命令 和 针对该实例所有数据库的命令,通过DBM CFG文件分给组, 这些权限且只能分配给组。 数据库权限包括:D
权限”用英语该用哪个?
热门推荐
原野的角落的专栏
02-08 6万+
权限”是我们设计系统必不可少的,关于“权限”的英语单词也很多,该用哪个呢?我参照有关“权限”的英文软件,总结如下,不足之处,多多指正:Permission:权限,包括动作和客体,比如:添加文档,“添加”是动作,“文档”是客体。相近的也有:Access Control。Privilege:权力,在 Permission 的基础上加一个主体,比如:小张可以添加文档,多了个主体小张。相近的也有
Android 14 权限等级剖析
最新发布
虎哥LoveDroid
06-20 1986
Android 一直以来都使用权限机制来控制应用程序对系统资源和用户数据的访问。随着 Android 版本的更新,权限机制也在不断完善,以提高安全性并降低隐私风险。Android 14 引入了新的权限等级,进一步细化了对应用程序权限的控制。新的权限等级可以更好地划分不同权限的风险级别,并为开发人员提供更灵活的权限管理方案。普通权限(normal):风险最低的权限等级,应用程序在安装时自动获得。这类权限通常不会对用户隐私或安全造成重大风险,例如访问网络、读取手机状态等。危险权限(dangerous)
DB2权限
liujinwei2005的专栏
04-28 1736
本文粗略讲述了DB2权限管理,包括特权/权限的分类、如何查看某个用户/组拥有的特权/权限,以及如何赋予特权/权限。 1. 特权/权限的分类 权限分类: 系统级别的权限(System-level authorization): 系统管理员(SYSADM)、系统控制(SYSCTRL)、系统维护(SYSMAINT)和系统监视(SYSMON) 数据库级别权限(Database-level...
DB2检查数据库权限
unber的博客
03-13 140
使用以下语法检查在非限制性数据库上授予。,连接到 “XYZ” 数据库。,激活数据库 “XYZ”。
db2 c语言,DB2数据库安全(二)——身份认证
weixin_33866002的博客
05-25 751
根据《循序渐进DB2》(牛新庄)第13章内容整理身份认证(authentication)1.什么时候进行身份认证DB2身份认证 控制数据库安全性策略的以下方面:谁有权访问实例或数据库在哪里以及如何校验用户的 密码在发出attach和connect命令时,它借助于底层操作系统的安全特性实现对DB2用户的身份认证。attach命令用来连接实例。connect命令用来连接实例的数据库。下面的示例展示了...
db2用户权限详解1
08-08
本文将深入探讨DB2的用户权限设置,特别是“LOAD”权限以及如何为用户授予权限。 #### 二、创建与授权用户 首先,我们需要了解如何在DB2创建新用户并为其授予权限。例如,假设我们要创建一个名为`dbuser`的...
DB2异常汇总-
02-13
在日常操作DB2数据库的过程,经常会遇到各种各样的问题,其很多问题都与SQLCODE和SQLState有关。为了更好地理解和解决这些问题,下面将详细介绍一些常见的SQLCODE及其对应的SQLState,并解释它们的意义。 #### ...
db2 学习笔记 权限 编目等
07-20
DB2数据库管理系统权限管理和编目是两个关键的概念,对于数据库的安全性和管理至关重要。本篇学习笔记主要探讨了这两个方面。 首先,DB2权限系统提供了一套严谨的权限级别,确保了对数据库的访问和操作得到...
DB2错误信息文对照说明
11-28
4. 错误代码01561:+110 01561表示在动态SQL语句使用了分号结尾,这可能是错误的语法,因为分号在DB2通常用于分隔SQL语句。 5. 错误代码01525:+117 01525指出要插入的值的个数不等于被插入表的列数,这是常见...
db2应用服务器查数据库,如何利用 DB2 限制数据库连接-数据仓库-火龙果软件工程...
weixin_29081163的博客
07-31 385
摘要:本文将通过一个实际示例展示如何利用 IBM DB2 for Linux, UNIX, and Windows的可信上下文特性来保护数据库免受未经授权的访问,或者经授权的数据库用户的不当使用。问题说明安全管理员要求仅允许来自一组特定的 IP 地址的最终用户连接数据库。本文将展示如何利用数据库角色和可信上下文来解决这个问题。出于演示的目的,我们假设安全管理员希望保证用户Einstein 仅能通过...
DB2 V9.7的DATAACCESS权限
sw1988311的专栏
06-07 1542
最近碰到一个有意思的问题,在某个DB29.7的系统,有一个用户名曰A,A只是一个普通用户,没有SYSADM的权限,也不属于其他特殊的用户组。原本该A被赋予了对表T的DELETE特权,可以对表T进行数据删除的操作。某日管理员因故取消了A对表T的DELETE权限,却发现用A连接数据库之后,仍然可以执行DELETEFROM T的操作。于是管理员抓狂崩溃莫名。    初听这个问题,怀疑方向落在user
权限框架的搭建
Allen
12-14 2033
一. 思路 二. 具体实现      2.1 配置拦截器      2.2 具体拦截器的处理方法      2.3 注解的配置      2.4 权限的配置      2.5 注解的使用      2.6 总结 三. 提升(白名单,默认全都要有权限) 一. 思路           总体思路还是 利用 拦截器拦截每一个请求。 请求过来,拦截器拦截。取得 该请求
Privilege特权
weixin_30687051的博客
06-04 627
A privilege is the right of an account, such as a user or group account, to perform various system-related operations on the local computer, such as shutting down the system, loading device drive...
DB2(三)——权限(authentication)
weixin_34174105的博客
04-14 880
  DB2定义了一个权限层次结构,用于将一组预先确定的管理权限授予用户账号组(group)。这些管理权限包括能够对数据库进行备份、更改配置参数、查看表数据等等。权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。  DB2授权控制数据库安全策略的以下方面: 用户被授予的权限级别 允许用户运行的命令 允许用户读取或修改的数据 允许用户创建、修改和...
db2 用户及授权
荣耀之路
04-08 2万+
1.如何创建一个db2用户 首先yaomingbai
DB2 学习笔记 ——数据库管理
tanzhang78的博客
07-31 1185
一、创建数据库 可以创建实例的数据库使用“CREATE DATABASE”命令。所有数据库都使用默认的存储组“IBMSTOGROUP”,这是在创建实例时创建创建。在DB2,所有的数据库表都存储在“tablespace”,它利用各自的存储组。该权限的数据库被自动设置为PUBLIC[CREATETAB,BINDADD,CONNECT,IMPLICIT_SCHEMA,并选择],但是,如
DB2权限管理详解:身份验证、授权与特权
"DB2权限管理是数据库安全的关键组成部分,包括身份验证、授权和特权三个主要机制。本文档详细介绍了DB2权限的各个方面,旨在帮助DBA更好地理解和管理DB2的安全设置。" DB2权限管理系统是确保数据库安全的重要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值