了解用户和组帐户与DB2 UDB的交互

　　fenced 用户帐户：

　　fenced 用户帐户用于在 DB2 UDB 引擎使用的地址空间(内存)之外运行用户定义函数(UDF)和存储过程。有时候，如果一个过程或函数不稳定或者在测试中，那么应该将其定义为 FENCED，这样就可以在自己的进程地址空间中运行。这样，如果该函数或过程崩溃或者异常终止，也不会对其他实例进程产生任何影响。为 fenced 用户创建的默认用户帐户是 db2fenc1，默认的组是 db2fadm1。由于安全的原因，我们建议不要使用实例所有者帐户作为 fenced 用户帐户。如果不需要这个层次的安全，比方说是在测试环境中运行，或者不准备使用 fenced UDF 或存储过程，可以直接使用实例所有者帐户而不必创建其他用户帐户。在创建新的实例时，必须在实例创建命令中指定 fenced 用户帐户(db2icrt ... -u )。

　　为其他 Linux 和 UNIX 用户建立 DB2 UDB 环境:

　　Linux 和 UNIX 环境在用户级上强制实施高安全策略，与一个用户帐户关联的文件和进程不能被其他用户直接访问。默认情况下，创建新的 DB2 UDB 实例时，一个特殊的 DB2 UDB 环境脚本 db2profile 也被添加到实例所有者的系统配置文件中，每次实例所有者登录到系统时都要使用该文件。这些脚本设置对数据库环境的访问，允许实例所有者执行 DB2 UDB 命令。为了让系统上的其他用户访问实例和 DB2 UDB 环境，他们也必须运行同样的脚本。一种办法是 “提供” DB2 UDB 实例所有者的 .profile 文件(或者该 .profile 文件引用的 db2profile 文件)。如果使用 Bourne 或 Korn shell ，那么可以编辑目标用户帐户的 .profile 文件，使该用户登录到系统时自动运行 db2profile 脚本。对于 C shell 用户，可以编辑 .login 文件让它运行 db2shrc 脚本文件。为了选择要使用的实例，请在 .profile 或 .login 脚本文件中添加下面的语句，或者在用户需要访问 DB2 UDB 的终端窗口中发出该语句(注意需要句点(.)和空格)：

　　Bourne 或 Korn shell： . INSTHOME/sqllib/db2profile

　　C shell： source INSTHOME/sqllib/db2cshrc 其中 INSTHOME 是要使用的实例的主目录。

　　对于主目录中有自定义脚本版本的用户：

　　Bourne 或 Korn shell： . USERHOME/db2profile

　　C shell： source USERHOME/db2cshrc，其中 USERHOME 是用户的主目录。

　　如果需要同时使用多个实例，那么对使用的每个实例在单独的 终端窗口中运行该脚本。

　　调度程序用户帐户

　　如果要启用 DB2 UDB 中的调度设施，需要一个调度程序用户帐户。如果工具目录数据库位于远程服务器上，DB2 UDB 调度程序将使用该帐户连接。工具目录数据库包含在 DB2 UDB 服务器上调度运行的所有任务的元数据(比如计划在每个周日早上一点钟运行的备份任务)。调度设施的设计不要求存放工具目录数据库和计划运行任务的 DB2 UDB 服务器是同一个服务器。在这种情况下，DB2 UDB 服务器上的调度程序需要连接到工具目录数据库，以便检索运行任务需要的信息。

　　调度程序帐户由 DAS 配置参数 SCHED_USERID 控制。只有当工具目录数据库和 DB2 管理服务器不在同一台机器上时该参数才有用。可以使用 db2 get admin cfg 命令查看该参数的值。

　　要修改该参数的值，可使用 db2admin setschedid 命令，其中 和 是调度程序用于连接到远程工具目录数据库的用户 ID 和口令。

　　清单 7 显示了将调度程序 ID 设为 xtradba 的情况。

　　清单 7. 可配置 DAS 参数及其值的清单

　　结束语

　　本文考察了 DB2 UDB 和用户/组帐户的基本交互。总结了 DB2 UDB 如何执行用户身份验证和用户/组授权，以及如何为 DB2 UDB 实例定义超级用户。还介绍了 DB2 UDB 安装需要和/或创建的默认用户和组帐户，以及如何配置它们。更好地理解用户/组帐户与 DB2 UDB 的交互，可以为您的环境计划和实现最优化的用户/组帐户设置