DB2 9 数据库管理（731 考试）认证指南，第 1 部分: 服务器管理（4）-sdccf-ChinaUnix博客

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38025) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38024) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38023) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38022) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38021) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38020) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38019) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38018) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38017) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38016) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38015) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38014) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38013) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38012) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38011) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38010) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38009) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38008) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38007) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38006) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38005) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38004) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38003) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38002) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38001) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(38000) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37999) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37998) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37997) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37996) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37995) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37994) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37993) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37992) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37991) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37990) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37989) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37988) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

DB2 安全性

身份验证类型确定在何处验证用户 ID/口令对。所支持的身份验证类型有：

SERVER（默认）
SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
CLIENT

身份验证类型是在服务器和客户机处同时设置的。

服务器

 db2 update database manager configuration  authentication  auth_type

客户机

在客户机处编目的各数据库拥有自己的身份验证类型，使用 catalog database 命令指定。

 
db2 catalog database db_name at node node_name
                            authentication auth_type

使用 SERVER 选项时，用户 ID 和口令将发送到服务器进行校验。考虑以下示例。

Authentication = Server

用户使用用户名 peter 和口令 peterpwd 登录到工作站。
peter 随后使用用户 ID db2user 和口令 db2pwd 连接到 SAMPLE 数据库，这是在远程 DB2 服务器上定义的。
db2user 和 db2pwd 通过网络发送到服务器。
db2user 和 db2pwd 在 DB2 服务器上校验。

若您想保护用户 ID 和口令免于被窃听，可使用身份验证类型 SERVER_ENCRYPT，这样用户 ID 和口令就都会被加密。

Authentication = Kerberos

Kerberos 身份验证类型摘要

这一选项允许在客户机上进行身份验证。用户成功登录到客户机后，即可轻松连接到数据库，而无需再次提供口令。

Authentication = Client

TRUST_ALLCLNTS
TRUST_CLNTAUTH

这两个参数仅在身份验证设置为 CLIENT 时被评估。

TRUST_ALLCLNTS 确定信任哪种类型的客户机。参数有以下可能值：

YES —— 信任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外，我们将在介绍 TRUST_CLNTAUTH 时更详细地予以讨论。
NO —— 仅信任具备可靠的安全性设施的客户机（受信任的客户机）。若不受信任的客户机连接，则必须提供用户 ID 和口令，以便在服务器进行身份验证。
DRDAONLY —— 仅信任在 iSeries 或 zSeries 平台上运行的客户机（例如，DRDA 客户机）。其他任何客户机都必须提供用户 ID 和口令。

CLIENT —— 身份验证在客户机处执行，不需要用户 ID 和口令。
SERVER —— 身份验证在服务器处完成，需要提供用户 ID 和口令。

让我们来看一些演示参数用法的示例：

TRUST_ALLCLNTS 和 TRUST_CLNAUTH 示例

权限级别控制执行数据库管理器维护操作和管理数据库对象的能力。在 DB2 中共有 5 种权限：

DB2 权限

SYSADM: 具有管理实例的完整特权，还可访问底层数据库中的数据。
SYSCTRL 和 SYSMAINT: 拥有管理实例、其数据库和数据库对象的特定特权。这些权限不含访问数据的权限。例如，像 'SELECT * FROM mytable' 或 'DELETE FROM mytable' 这样的语句是不允许的。
DBADM: 拥有在特定数据库上执行管理任务的特权。还具有数据库的完整数据访问权限。
LOAD: 拥有对指定数据库运行加载实用工具的特权。

下表总结了各权限可执行的功能。

DB2 权限

DBADM 和 LOAD 是数据库级的权限。使用 grant 语句可授予用户或用户组这些权限，使用 revoke 语句可予以撤销权限：

connect to  sample;

grant dbadm on database to user  john;

grant load on database to group  dbagrp;

revoke load on database from group  dbagrp;

请注意，具有 LOAD 权限的用户也需要表上的 INSERT 特权，之后才能加载数据。下一节将讨论特权。

特权给予用户通过特定方式访问数据库对象的权力。如下列表给出了不同数据库对象的特权摘要。

数据库特权：

CONNECT 允许用户连接数据库。
BINDADD 允许用户在数据库中创建新包。
CREATETAB 允许用户在数据库中创建新表。
CREATE_NOT_FENCED 允许用户创建非 fenced 用户定义的函数或存储过程。
IMPLICIT_SCHEMA 允许用户在尚不存在的模式中创建对象。
QUIESCE_CONNECT 允许用户在数据库停顿时访问数据库。
CREATE_EXTERNAL_ROUTINE 允许用户创建以 C 语言、Java™ 语言、OLD 和 COBOL 编写的存储过程。

模式特权：

CREATEIN 允许用户在模式内创建对象。
ALTERIN 允许用户更改模式内的对象。
DROPIN 允许用户删除模式内的对象。

要显式地创建新模式，可使用 create schema 命令：

connect to sample user dbowner;
create schema dev authorization devuser;

表空间特权：

USE OF TABLESPACE 允许用户在特定表空间内创建表。这一特权无法用于 SYSCATSPACE 或任何系统临时表空间。

表与视图特权：

CONTROL 为用户提供表或视图的所有特权，以及将这些特权（除 CONTROL 以外）授予他人的能力。
ALTER 允许用户更改表或视图。
DELETE 允许用户删除表或视图中的记录。
INDEX 允许用户在表上创建索引。
INSERT 允许用户向表或视图中插入条目。
REFERENCES 允许用户创建和删除外键，将表指定为关系中的父表。
SELECT 允许用户从表或视图中检索行。
UPDATE 允许用户在表或视图中更新条目。这一特权还可将用户约束为仅更新特定列： grant update (workdept, job) on table employee to devuser;
ALL PRIVILEGES 授予用户表或视图上的上述全部特权（除 CONTROL 外）。

包特权：

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权（除 CONTROL 以外）授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权：

CONTROL 允许用户删除索引。

例程特权：

EXECUTE 允许用户执行用户定义的函数。

顺序特权：

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

 grant select, update, delete on table  employee to user  john
                         with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE（但不包括 CONTROL）特权授予他人。

 grant control on package  dev.pkg1 to group  devusers
                         with grant option

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。
当用户创建数据库时：
- DBADM 权限将被授予数据库创建者。
- CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
- USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
- 各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
- SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。
创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。
当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

阅读(37987) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们