以这种方式定义授权就可以区分 DB2 UDB 管理员和系统/网络管理员。比如,DBA 可能要求拥有 DB2 UDB 实例的全部管理授权,但不需要本地机器或网络的管理授权。在这种情况下,可以将该 DBA 的用户帐户添加到对系统/网络没有完全访问权限、但是对 DB2 UDB 实例有完全访问权限的组,只要在 SYSADM_GRP 实例参数中指定该组名即可。
在 Windows 上的 DB2 UDB 默认安装中,这些实例级超级用户授权参数(SYSADM_GRP、SYSCTRL_GRP、SYSMAIN_GRP、SYSMON_GRP))的值默认设为 NULL。这意味着超级用户权限被授予属于本地 Administrators 组的所有合法帐户。我们强烈建议明确将这些参数值改为合法的组名,以便防止未授权的访问。在 Linux 和 UNIX 安装中,这不是一个大问题,因为 NULL 值默认为实例所有者的基本组,而基本组在安装后只包含实例所有者的用户 ID。
还可以为用户分配一组数据库级的授权。数据库授权使用标准的 SQL GRANT 和 REVOKE 语句。关于这些数据库授权级别的更多信息,请参阅 DB2 UDB 文档(参见 参考资料)。
DB2 UDB 系统命令,如 db2、db2ilist、db2start、db2stop、db2iupdt 等,都是操作系统可执行文件。因此,运行这些命令的安全机制以文件的操作系统权限为基础。这些文件的权限在 DB2 UDB 安装时设置。
DB2 UDB 用户和组帐户命名规则
在 DB2 UDB 中,用户和组帐户必须遵守表 1 和 2 中所述的命名规则。这些限制是在定义帐户的外部设施中起作用的限制之外增加的。
表 1. 平台约束和限制 限制 Windows Linux/UNIX
(1) Windows NT、Windows 2000、Windows XP 和 Windows Server 2003 现在实际上限制为 20 个字符。
(2) 如果不使用 Client 身份验证,对于连接到 Windows NT、Windows 2000、Windows XP 和 Windows Server 2003 的非 Windows 32 位客户机,在明确指定用户名和口令时支持使用超过 8 个字符的用户名。
表 2 显示了对所有平台的命名限制。
(3) DB2 UDB 内部使用名为 PUBLIC 的伪组,可以为其授权或者收回特权。PUBLIC 不是外部安全设施中定义的真正的组。它是把特权授予通过身份验证的任何用户的一种方式。
(4) 还有其他一些特殊字符也能使用,这取决于操作系统和在哪里使用 DB2 UDB。但是为了避免不一致性和潜在的问题,在数据库中命名对象时不要使用其他特殊字符。
用默认用户 ID(如 db2admin)安装 DB2 UDB 并使用弱口令(或者根本没有)可能将系统置于风险中。很多计算机病毒、蠕虫和特洛伊木马的设计都利用了弱口令。比方说,很多这类程序都尝试使用常见口令如 “password”、“123456”、“111111”、“db2admin” 等获得对系统的访问。因此不要使用简单的口令很重要。
在验证用户时口令也很重要。比如,在 Linux 和 UNIX 操作系统上,未定义口令被作为 NULL 处理。没有定义口令的任何用户都被视作使用 NULL 口令。从操作系统的角度来看,这是一种匹配,用户经过验证后就能连接到数据库。
DB2 UDB 安装需要和创建的用户/组帐户
DB2 UDB 需要一个具有管理权的用户帐户来执行安装。该用户所需要的具体权限依赖于安装 DB2 UDB 的平台。默认情况下,DB2 UDB 在安装过程中要创建多个用户和组帐户。这些帐户用于 “拥有” 和启动在服务器上运行的各种 DB2 UDB 服务和进程。
这一节介绍在 Windows、Linux 和 UNIX 环境中安装 DB2 UDB 所需要的用户特权。还说明在 DB2 UDB 默认安装过程中创建的各种用户和组。
Microsoft Windows 操作系统上需要的用户和组帐户:
如果在 Windows 操作系统上安装 DB2 UDB,将需要下列用户帐户:
1、Installation 用户帐户。
2、DB2 Administration Server(DAS)用户帐户 。
3、DB2 UDB 实例所有者用户帐户。
Installation 用户帐户:
在运行 DB2 安装向导之前,需要定义一个安装用户帐户。该帐户可以是一个本地或域用户帐户。该帐户必须属于要进行安装的机器上的 Administrators 组。如果使用域帐户,安装帐户必须属于将要创建其他安装用户帐户的域的 Domain Administrators 组。也可使用内置的 LocalSystem 帐户进行 DB2 UDB Enterprise Server Edition 之外的其他所有产品的安装。
可以在安装之前定义其他用户帐户,也可以让 DB2 安装向导为您创建。所有用户帐户名必须遵守系统的命名规则和 DB2 UDB 命名规则。
DB2 Administration Server 用户帐户:
DB2 Administration Server(DAS)需要使用本地或域帐户。DAS 是一种特殊的服务,支持 GUI 工具并帮助完成管理任务。DAS 有一个分配的用户帐户,在 DB2 UDB 加载时用于启动该服务。在 DB2 安装向导中,其中有一个屏幕(如图 3 所示)提示选择用于启动 DAS 服务的用户帐户。
图 3. 在 DB2 安装向导中指定 DAS 用户帐户
可以在安装 DB2 UDB 之前创建该用户帐户,然后在这里指定,也可以让 DB2 安装向导为您创建该帐户。默认情况下,向导将创建一个名为 db2admin 的新帐户(但是可以随意命名)。DAS 用户帐户也必须属于执行安装的机器上的 Administrators 组。如果让 DB2 安装向导创建新的域用户帐户,用于执行安装的用户帐户必须有创建域用户帐户的权限。
安装向导创建该帐户时自动授予下列用户权限:
1、作为操作系统的一部分。
2、调试程序。
3、创建 token 对象。
4、增加配额。
5、锁定内存页。
6、作为服务登录。
7、代替进程级的 token。
如果创建或指定了不同的帐户,一定要保证该帐户具有上述用户权限。为了保证正确设置了这些权限,打开 Windows 控制面板(Start > Settings > Control Panel)并双击 Administrative Tools 图标。双击 Local Security Policy 图标。对于上面列出的每种策略,保证该用户包含在授权的用户和组列表中。提供的口令不正确可能造成 DB2 UDB 启动过程中不能加载某些服务,有可能禁止执行特定的操作。
在安装过程中,还要告诉 DB2 安装向导使用同一个帐户(及指定给 DAS 的帐户)拥有和启动其他所有 DB2 UDB 服务。为此,一定要选中 “Use the same user name and password for the remaining DB2 UDB services(其他 DB2 UDB 服务使用同一用户名和口令)” 复选框(参见 图 3)。如果没有选中该复选框,向导就会提示选择拥有和启动创建的默认实例的用户帐户。其他所有 DB2 UDB 服务将使用内置的 Windows LocalSystem 帐户启动。
还要保证 DAS 用户帐户对环境中每个 DB2 UDB 系统具有 SYSADM 权限,这样在需要的时候可以启动或停止其他实例。默认情况下,在 Windows 环境中安装 DB2 UDB 后,属于 Administrators 组的任何用户都具有 SYSADM 权限。DAS 服务名称为 DB2DAS - DB2DAS00。
DB2 UDB 实例所有者用户帐户:
要拥有和启动 DB2 UDB 实例,需要一个本地或域帐户。可以在安装 DB2 UDB 之前创建 DB2 UDB 实例所有者用户帐户,也可以让 DB2 安装向导来创建。如果让 DB2 安装向导创建新的域用户帐户,执行安装使用的用户帐户必须具有创建域用户帐户的权限。该用户帐户也必须是执行安装的机器上 Administrators 组的成员。DB2 安装向导创建该帐户时自动授予下列用户权限:
作为操作系统的一部分: 调试程序、创建 token 对象、增加配额、锁定内存页、作为服务登录、代替进程级的 token。
如果创建或指定了不同的帐户,一定要赋予该帐户上述用户权限。为了保证正确设置了这些权限,打开 Windows 控制面板(Start > Settings > Control Panel)并双击 Administrative Tools 图标。双击 Local Security Policy 图标。对于上面列出的每种策略,保证该用户包含在授权的用户和组列表中。提供的口令不正确会造成 DB2 UDB 启动过程中无法加载服务,有可能禁止执行特定的动作。