DB2 基本安全概念 - 身份验证 [转载]

最新推荐文章于 2021-09-13 08:49:57 发布
最新推荐文章于 2021-09-13 08:49:57 发布
阅读量303 收藏
点赞数
文章标签: 数据库 python 操作系统
原文链接:https://my.oschina.net/goopand/blog/343705
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

DB2 中有三种主要的安全机制,可以帮助 DBA 实现数据库安全计划:

身份验证(authentication)、授权(authorization) 和特权(privilege)。


5 种不同的权限级别:SYSADM、SYSCTRL、SYSMAINT、DBADM 和 LOAD

DB2 9 中新增的一个概念是基于标签的访问控制(LBAC),允许控制谁有权访问单独的行和/或列。

安装SAMPLE DB
db2cmd
db2sample
  Creating database "SAMPLE"...
  Connecting to database "SAMPLE"...
  Creating tables and data in schema "MYNAME"...
  'db2sampl' processing complete.

attach 命令用来连接 DB2 实例,
connect 命令用来连接 DB2 实例中的数据库。

db2 attach to db2
   Instance Attachment Information
 Instance server        = DB2/NT 9.5.0
 Authorization ID       = MYNAME
 Local instance alias   = DB2
 
db2 connect to sample user test1 using "123"
   Database Connection Information
 Database server        = DB2/NT 9.5.0
 SQL authorization ID   = TEST1
 Local database alias   = SAMPLE
 
db2 connect to sample user test1 using "123" new "456" confirm "456"   --修改密码
   Database Connection Information
 Database server        = DB2/NT 9.5.0
 SQL authorization ID   = TEST1
 Local database alias   = SAMPLE

关于密码,搞了半天,通常DB2是和OS Account绑定的, 就是说不同应用连接DB2的话,要一堆OS帐号。
这点同ORACLE,SQL SERVER都不太一样。不然要用Kerberos 身份验证。反正是个麻烦事。

DB2 身份验证类型
db2 get dbm cfg
 Server Connection Authentication          (SRVCON_AUTH) = NOT_SPECIFIED
 Database manager authentication        (AUTHENTICATION) = SERVER
主要是这两个参数,影响类型,具体看下面的:

类型描述
SERVER身份验证在服务器上进行。
SERVER_ENCRYPT身份验证在服务器上进行。密码在客户机上进行加密,然后再发送到服务器。
CLIENT身份验证在客户机上进行(例外情况见 处理不可信的客户机)。
*KERBEROS由 Kerberos 安全软件执行身份验证。
*KRB_SERVER_ENCRYPT如果客户机设置是 KERBEROS,那么由 Kerberos 安全软件执行身份验证。否则使用 SERVER_ENCRYPT。
DATA_ENCRYPT身份验证在服务器上进行。服务器接受加密的用户 ID 和密码,并对数据进行加密。这个选项的操作方式与 SERVER_ENCRYPT 相同,但是数据也要加密。
DATA_ENCRYPT_CMP身份验证方式与 DATA_ENCRYPT 相同,但是允许不支持 DATA_ENCRYPT 的老式客户机使用 SERVER_ENCRYPT 身份验证进行连接。在这种情况下,数据不进行加密。如果进行连接的客户机支持 DATA_ENCRYPT,就会进行数据加密,而不能降级到 SERVER_ENCRYPT 身份验证。这个身份验证类型只在服务器的数据库管理程序配置文件中是有效的,而且在客户机或网关实例上使用 CATALOG DATABASE 时是无效的。
GSSPLUGIN身份验证方式由一个外部 GSS-API 插件决定。
GSS_SERVER_ENCRYPT身份验证方式由一个外部 GSS-API 插件决定。在客户机不支持服务器的 GSS-API 插件之一的情况下,使用 SERVER_ENCRYPT 身份验证。

*这些设置只对 Windows 2000、AIX、Solaris 和 Linux® 操作系统有效。

db2 update dbm cfg using authentication server_encrypt   ---更新验证方式,需要restart DB

DB20000I  The UPDATE DATABASE MANAGER CONFIGURATION command completed
successfully.
SQL1362W  One or more of the parameters submitted for immediate modification
were not changed dynamically. Client changes will not be effective until the
next time the application is started or the TERMINATE command has been issued.
Server changes will not be effective until the next DB2START command.

 

   网关上设置身份验证

db2 catalog database myhostdb at node nd1 authentication SERVER
db2 terminate

客户机上设置身份验证
db2 catalog database sample at node nd1 authentication SERVER


处理不可信的客户机

下表总结了如果服务器的身份验证类型设置为 CLIENT,那么在每种类型的客户机向服务器发出连接命令时将在哪里进行身份验证。

是否提供了 ID/密码?TRUST_ALLCLNTSTRUST_CLNTAUTH不可信的客户机可信的客户机主机客户机
NoYesCLIENTCLIENTCLIENTCLIENT
NoYesSERVERCLIENTCLIENTCLIENT
NoNoCLIENTSERVERCLIENTCLIENT
NoNoSERVERSERVERCLIENTCLIENT
NoDRDAONLYCLIENTSERVERSERVERCLIENT
NoDRDAONLYSERVERSERVERSERVERCLIENT
YesYesCLIENTCLIENTCLIENTCLIENT
YesYesSERVERSERVERSERVERSERVER
YesNoCLIENTSERVERCLIENTCLIENT
YesNoSERVERSERVERSERVERSERVER
YesDRDAONLYCLIENTSERVERSERVERCLIENT
YesDRDAONLYSERVERSERVERSERVERSERVER

DRDAONLY 意味着只信任主机客户机,而不管使用 DRDA 进行连接的 DB2 Version 8 客户机。

Kerberos 身份验证的条件:
   1. 客户机和服务器必须属于同一个域(用 Windows 术语来说,是可信域)。
   2. 必须设置适当的主体(Kerberos 中的用户 ID)。
   3. 必须创建服务器的 keytab 文件,实例所有者必须能够读这个文件。
   4. 所有机器必须有同步的时钟。

好象在WINDOWS域里,如果都是WINDOWS还是比较好实现的,但如果有LINUX或UNIX,还有得搞了。


文章地址:http://blog.csdn.net/petergepeter/article/details/2191873



转载于:https://my.oschina.net/goopand/blog/343705

weixin_33826268
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
db2jcc4-3.71.22.jar
04-19
Dbeaver连接BD2数据库驱动
[DB2 学习记录]3. DB2 基本安全概念-身份验证
祺祺小站
03-17 1986
 DB2 中有三种主要的安全机制,可以帮助 DBA 实现数据库安全计划:身份验证(authentication)、授权(authorization) 和特权(privilege)。5 种不同的权限级别:SYSADM、SYSCTRL、SYSMAINT、DBADM 和 LOADDB2 9 中新增的一个概念是基于标签的访问控制(LBAC),允许控制谁有权访问单独的行和/或列。安装SAMPLE DBdb2
db2 c语言,DB2数据库安全(二)——身份认证
weixin_33866002的博客
05-25 735
根据《循序渐进DB2》(牛新庄)第13章内容整理身份认证(authentication)1.什么时候进行身份认证DB2身份认证 控制数据库安全性策略的以下方面:谁有权访问实例或数据库在哪里以及如何校验用户的 密码在发出attach和connect命令时,它借助于底层操作系统安全特性实现对DB2用户的身份认证。attach命令用来连接实例。connect命令用来连接实例中的数据库。下面的示例展示了...
db2基础知识
liaoyuanzi的专栏
12-17 783
1.DB2启动关闭 --关闭db2 [db2inst1@xifenfei ~]$ db2stop 03/28/2012 09:23:39     0   0   SQL1064N  DB2STOP processing was successful. SQL1064N  DB2STOP processing was successf
DB2之权限
zhan19861022的专栏
06-27 8557
前言:     DB2数据库权限分为实例级权限(SYSADM、SYSCTRL、SYSMAINT、SYSMON)和DB2数据库级权限(DBAMD、LOAD)。DB2中用户所拥有的权限主要考虑三个方面:实例级、数据库级、数据库操作级别,查看命令是db2 get authorizations。       DB2授权可分为实例级权限授权和数据库级别授权,实例级别权限必须由拥有SYSA
DB2(三)——权限(authentication)
weixin_34174105的博客
04-14 879
  DB2定义了一个权限层次结构,用于将一组预先确定的管理权限授予用户账号组(group)。这些管理权限包括能够对数据库进行备份、更改配置参数、查看表数据等等。权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。  DB2授权控制数据库安全策略的以下方面: 用户被授予的权限级别 允许用户运行的命令 允许用户读取或修改的数据 允许用户创建、修改和...
DB2-V8.1-System-Administration.zip_db2
09-23
DB2是IBM开发的一款关系型数据库管理...总的来说,"DB2 V8.1 System Administration"涵盖了DB2系统管理的各个方面,通过深入学习,不仅可以提升DB2管理员的专业技能,还能帮助企业构建稳定、安全、高效的数据库环境。
db2exc-970-LNX-x86-64.tar.gz
最新发布
07-19
db2exc-970-LNX-x86-64.tar.gz
db2-11.5版-【linux安装版本】
02-02
安装使用手册、11.5版,win64\linux64不同os版,拿去拿去~
DB2权限
liujinwei2005的专栏
02-24 4763
DB2的权限(authorization) db2的权限是以层次结构的形式体现的,用于将一组预先确定的权限授予用户账户组。 DB2中包括两类权限:实例权限和数据库权限 实例权限包括:SYSADM, SYSCTRL, SYSMAINT, SYSMON等,权限范围包括实例级命令 和 针对该实例所有数据库的命令,通过DBM CFG文件分给组, 这些权限且只能分配给组。 数据库权限包括:D
db2数据联邦访问oracle安装,DB2数据库联邦创建步骤
weixin_28760171的博客
04-07 308
准备工作:本地数据库数据库:sample ; IP地址:192.168.56.101 ; 端口号:50000 ;用户名:db2inst1 ; 密码:db2inst1对方数据库数据库:payment ; IP地址:192.168.56.101 ; 端口号:50002 ;用户名:db2inst2 ; 密码:db2inst2远程数据库全局设置应该如下: 示例:添加...
SQL生成唯一ID号解决方案
Edwardliuy的博客
06-15 2410
新建存自增ID的表 CREATE TABLE [dbo].[IdentityID]( [TableName] [varchar](500) NOT NULL, [NextID] [bigint] NOT NULL, CONSTRAINT [PK_IdentityID] PRIMARY KEY CLUSTERED ( [TableName] ASC )WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF,
db2表空间管理常用命令
热门推荐
daikeda的博客
11-07 1万+
一、表空间信息查看 # 1. 查看所有的表空间 db2 list tablespaces db2 list tablespaces show detail # 2. 查看某个表空间的容器 db2 list tablespace containers for   [ show detail ] 如: db2 list tablespace containers for 3 sho
db2用户权限
jingemperor的博客
09-13 4675
db2用户权限 一、DB2权限简介 DB2数据库权限分为实例权限级别(SYSADM、SYSCTRL、SYSMAINT、SYSMON)和DB2数据库权限级别(DBAMD、LOAD)。SYSCTRL、SYSMAINT、SYSMON权限级别的用户不能访问数据,DBAMD、LOAD权限级别的用户可以访问数据。 实例级别权限(只能在用户组级别上进行分配): SYSADM ----系统管理权限(UNIX系统中,SYSADM用户组默认地设置为实例拥有者所在的主用户组,因此,该组中的任何用户都拥有SYSADM权限) SYS
mongoDB authentication
Allen_jinjie 的技术空间
07-04 6968
我们往mongoDB中加入的用户,都会存到admin.system.users里面。 但是不管我们是不是对test数据库设置用户,不管我们是否正确输入验证数据,我们都会连接到test数据库上。哪怕我们指定数据库,但是验证数据错误,我们还是会连接到test 数据库上。 第一阶段:----------------------------- 我们不设置任何验证参数: E:\MongoDB\bi
linux查看db2所有用户,db2 - 查看当前用户的权限
weixin_31022521的博客
04-28 3961
[ db2inst1@db~]$db2connecttopyuserdb2inst1using admin@123DatabaseConnectionInformationDatabaseserver=DB2/LINUXX86649.7.0SQLauthorizationID=DB2INST1Localdatabasealias=...
db2 创建用户及授权
diejian8780的博客
09-23 4868
1、创建系统用户dbuser/ehong隶属于db2users 2、C:\Program Files\IBM\SQLLIB\BIN>db2 connect to AKZXTEST数据库连接信息数据库服务器 = DB2/NT 9.7.3SQL 授权标识 = ADMINIST...本地数据库别名 = AKZXTEST 3、给用...
python3连接db2数据库详解(附百度云)
sunkanghui的博客
03-29 1890
安装**db2** 下载exe,安装教程参考 https://blog.csdn.net/Traditional_/article/details/108773056 使用**dbeaver连接数据库:** 配置数据库 添加驱动 test connection看是否成功。 DBeaver连接 下载link:https://download.csdn.net/download/sunkanghui/16131502 新建表: Schemas-->MYSCHEMA..
DB2基础知识详解 - Understanding DB2 V9.5
"Understanding DB2 –Example 基础知识,主要涵盖了DB2 V9.5的相关内容,包括数据库管理、SQLPL、安全性和高可用性等主题。此资源提供了对DB2这一IBM的重要数据库产品的深入理解,适用于初学者和希望提升DB2技能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值