Доступ в DB2

Содержание

Слайд 2

Понятие сервера и клиента

Сервер базы данных управляет одной или большим числом баз

Понятие сервера и клиента Сервер базы данных управляет одной или большим числом
данных и обслуживает запросы клиентов, которые хотят получить доступ к этим базам данных.
Определяется версией установленного продукта DB2 UDB.

Слайд 3

Понятие сервера и клиента

DB2-клиент встроен в каждый программный продукт DB2 UDB.
Клиент

Понятие сервера и клиента DB2-клиент встроен в каждый программный продукт DB2 UDB.
предоставляет способность выполнять доступ к базам данных DB2 и осуществлять администрирование этих баз данных.

Слайд 4

Понятие сервера и клиента

Локальное приложение – выполняется
на сервере, на котором размещена

Понятие сервера и клиента Локальное приложение – выполняется на сервере, на котором
база данных.
Удаленное приложение – выполняется на сервере, но обращается к базе данных, расположенной на другой машине.
Если вы работаете на клиентской машине, вы можете запускать только удаленные приложения, так как на клиентской машине не может быть баз данных..

Слайд 5

Доступ

Доступом к данным и функциям системы DB2 UDB управляют три уровня безопасности:
Аутентификация
Авторизация
Права

Доступ Доступом к данным и функциям системы DB2 UDB управляют три уровня
(полномочия и привилегии)

Слайд 6

Аутентификация

Проверка допустимости доступа к базе данных или экземпляру в первую очередь производится

Аутентификация Проверка допустимости доступа к базе данных или экземпляру в первую очередь
вне системы.
Аутентификация – верификация пользователя путем проверки его идентификатора пользователя или пароля.
Этот процесс гарантирует, что пользователь является именно тем, за кого себя выдает.

Слайд 7

Типы аутентификации

Определяет, каким образом и где происходит проверка пользователя.
Тип аутентификации сохраняется

Типы аутентификации Определяет, каким образом и где происходит проверка пользователя. Тип аутентификации
в файле конфигурации менеджера баз данных на сервере.
Первоначально он задается при создании экземпляра.
Тип аутентификации распространяется на весь экземпляр, определяя доступ к серверу баз данных и всем базам данных, которыми он управляет.

Слайд 8

Тип SERVER

Задается по умолчанию.
Аутентификация происходит на сервере при помощи средств защиты локальной

Тип SERVER Задается по умолчанию. Аутентификация происходит на сервере при помощи средств
операционной системы.
При попытке установления связи задаются имя пользователя и пароль, производится их сравнение со всеми комбинациями имени пользователя и пароля, действительными на этом сервере.

Слайд 9

Тип SERVER

Примечание:
Программа сервера определяет, является соединение локальным или удаленным.
При локальных

Тип SERVER Примечание: Программа сервера определяет, является соединение локальным или удаленным. При
соединениях для успешной аутентификации типа SERVER не требуется ID пользователя и пароля.

Слайд 10

Тип SERVER_ENCRYPT

Аналогично типу SERVER.
Но! перед отправкой на сервер пароли шифруются системой

Тип SERVER_ENCRYPT Аналогично типу SERVER. Но! перед отправкой на сервер пароли шифруются
DB2 на стороне клиента.

Слайд 11

Тип CLIENT

Предполагается, что пользователь прошел проверку на клиенте, на котором размещено приложение.
Дополнительная

Тип CLIENT Предполагается, что пользователь прошел проверку на клиенте, на котором размещено
аутентификация на сервере не требуется.

Слайд 12

Тип Kerberos

Клиент, и сервер DB2 UDB должны работать в операционных системах, где

Тип Kerberos Клиент, и сервер DB2 UDB должны работать в операционных системах,
поддерживается протокол защиты Kerberos.
Используется обычное шифрование для создания общего секретного ключа.
Этот ключ становится паролем пользователя и используется для проверки личности пользователя во всех случаях, когда требуются локальные или сетевые службы.

Слайд 13

Тип Kerberos

Пароль не передается, вводится во все сервера сети и его можно

Тип Kerberos Пароль не передается, вводится во все сервера сети и его
не проверять (single-sign-on). Взлом одного сервера не грозит провалу всей системы, так как при отправке ключа он не распознается.
Kerberos Domain Controller
Key Distribution Center

Слайд 14

Аутентификация

ЗАДАНИЕ: Настройка уровня аутентификации.
1. Находясь в Центре Управления, щелкните правой кнопкой мыши

Аутентификация ЗАДАНИЕ: Настройка уровня аутентификации. 1. Находясь в Центре Управления, щелкните правой
по экземпляру DB2 и выберите в контекстном меню пункт Конфигурировать параметры.
2. Найдите параметр AUTHENTICATION и выберите его.
3. Найдите параметр TRUST_ALLCLNT (Доверять всем клиентам).
4. Попробуйте изменить эти параметры, поэкспериментируйте с ними.
Примечание:
Для того, чтобы настройки вступили в силу, необходимо перезапустить экземпляр.
Для этого правой кнопкой мыши щелкните по экземпляру и выберите команду Стоп, а затем Старт.

Слайд 15

Доступ к DB2 UDB

Для решения задач администрирования DB2 необходимо располагать именем пользователя

Доступ к DB2 UDB Для решения задач администрирования DB2 необходимо располагать именем
Windows.
Имя пользователя должно принадлежать группе Администраторы и должно быть допустимым именем пользователя системы DB2.
В большинстве случаев DB2 создает новое имя пользователя во время инсталляции (db2admin), которое потом может использоваться для администрирования.

Слайд 16

Доступ к DB2 UDB

Примечание:
По умолчанию полномочия системного администратора (SYSADM) предоставляются любому допустимому

Доступ к DB2 UDB Примечание: По умолчанию полномочия системного администратора (SYSADM) предоставляются
имени пользователю DB2, которое принадлежит группе администраторов в среде Windows.
SYSADM_GROUP – группа пользователей, обладающая правами администратора.

Слайд 17

Доступ к DB2 UDB

ЗАДАНИЕ:
1. Находясь в Центре Управления, щелкните правой кнопкой мыши

Доступ к DB2 UDB ЗАДАНИЕ: 1. Находясь в Центре Управления, щелкните правой
по экземпляру DB2 и выберите в контекстном меню пункт Конфигурировать параметры.
2. В разделе Управление найдите параметр SYSADM_GROUP.
Можно указать группу, пользователи которой будет обладать правами SYSADM

Слайд 18

Авторизация

Следующий уровень безопасности.
Авторизация – проверка полномочий, в процессе которой пользователь должен

Авторизация Следующий уровень безопасности. Авторизация – проверка полномочий, в процессе которой пользователь
быть распознан системой DB2 через имя авторизации SQL или идентификатора авторизации (authid).
Авторизация – это определение прав доступа для конкретного пользователя.

Слайд 19

Авторизация

Доступ внутри системы управляются посредством административных полномочий и привилегий пользователей в рамках

Авторизация Доступ внутри системы управляются посредством административных полномочий и привилегий пользователей в
менеджера баз данных (экземпляра).

Слайд 20

Права

К правам относятся полномочия и привилегии.
Привилегии позволяют пользователям создавать ресурсы баз

Права К правам относятся полномочия и привилегии. Привилегии позволяют пользователям создавать ресурсы
данных и обращаться к ним.
Уровни полномочий предоставляют способ объединения привилегий и высокоуровневых операций обслуживания и утилит менеджера баз данных.

Слайд 21

Полномочия

Полномочия базы данных позволяют пользователям выполнять действия на уровне этой базы данных.

Полномочия Полномочия базы данных позволяют пользователям выполнять действия на уровне этой базы

Привилегии и полномочия баз данных могут вместе служить для управления доступом к менеджеру баз данных и его объектам баз данных.
Пользователи могут обращаться только к тем объектам, в отношении которых они обладают соответствующей авторизацией, т.е. имеют необходимые для действия полномочия или привилегии.

Слайд 22

Полномочия

Уровни полномочий в DB2:

Полномочия Уровни полномочий в DB2:

Слайд 23

Уровни полномочий

SYSADM
Системный администратор.
Наивысший уровень административных полномочий.
Обеспечивает контроль над всеми ресурсами системы.
Включает

Уровни полномочий SYSADM Системный администратор. Наивысший уровень административных полномочий. Обеспечивает контроль над
все привилегии для всех баз данных в рамках экземпляра.
Обладает правом предоставлять и отзывать полномочия и привилегии.

Слайд 24

Уровни полномочий

DBADM
Второй после SYSADM уровень.
Администратор базы данных.
Применяется ТОЛЬКО к специфической базе данных

Уровни полномочий DBADM Второй после SYSADM уровень. Администратор базы данных. Применяется ТОЛЬКО
и обладает всеми привилегиями в рамках базы данных.
Право предоставления и отзыва привилегий пользователям конкретной БД вне зависимости кто эти привилегии назначал.

Слайд 25

Уровни полномочий

SYSCTRL
Наивысший уровень полномочий управления системой.
Затрагивает ТОЛЬКО системные ресурсы.
Операции обслуживания баз данных.
НО!

Уровни полномочий SYSCTRL Наивысший уровень полномочий управления системой. Затрагивает ТОЛЬКО системные ресурсы.
Непосредственного доступа к данным базы данных не имеет.

Слайд 26

Уровни полномочий

SYSMAINT
Второй после SYSCTRL уровень.
Операции обслуживания баз данных в рамках экземпляра.
НО!

Уровни полномочий SYSMAINT Второй после SYSCTRL уровень. Операции обслуживания баз данных в
Непосредственного доступа к данным базы данных не имеет.
LOAD
Полномочие выполнений операций обслуживания баз данных на уровне базы данных.

Слайд 27

Полномочия

ЗАДАНИЕ:
1. Находясь в Центре Управления, щелкните правой кнопкой мыши по базе данных

Полномочия ЗАДАНИЕ: 1. Находясь в Центре Управления, щелкните правой кнопкой мыши по
и выберите в контекстном меню пункт Полномочия.
2. Попытайтесь создать пользователей с различными полномочиями и привилегиями.

Слайд 28

Привилегии

Привилегия – это право доступа к конкретному объекту базы данных.
Контролируются пользователями, имеющие

Привилегии Привилегия – это право доступа к конкретному объекту базы данных. Контролируются
полномочия SYSADM или DBADM.
В рамках собственной базы данных каждый пользователь имеет право предоставлять или отзывать привилегии на объекты внутри этой базы данных.

Слайд 29

Привилегии

Некоторые привилегии назначаются по умолчанию при создании объектов.
Например, привилегии
CONNECT,
CREATETAB,
BINDADD,
IMPLICIT_SCHEMA

Привилегии Некоторые привилегии назначаются по умолчанию при создании объектов. Например, привилегии CONNECT,
предоставляются всем пользователям.

Слайд 30

Привилегии

CONNECT разрешает пользователю получать доступ к базе данных.
BINDADD предоставляет пользователю возможность создавать

Привилегии CONNECT разрешает пользователю получать доступ к базе данных. BINDADD предоставляет пользователю
новые пакеты в базе данных.

Слайд 31

Привилегии

Пакет (package) – объект базы данных, который содержит информацию, необходимую для

Привилегии Пакет (package) – объект базы данных, который содержит информацию, необходимую для
наиболее эффективного доступа менеджера баз данных к хранимым данным для целей конкретной прикладной программы. В результате предоставления пользователям привилегии по выполнению того или иного пакета, отпадает необходимость явно предоставлять привилегии в отношении объектов, на которые ссылается пакет.

Слайд 32

Привилегии

CREATETAB разрешает пользователю создавать новые таблицы в базе данных.
IMPLICIT_SCHEMA дает возможность неявного

Привилегии CREATETAB разрешает пользователю создавать новые таблицы в базе данных. IMPLICIT_SCHEMA дает
создания схемы во время создания нового объекта.

Слайд 33

Схема

Схема – некоторая совокупность именованных объектов.
Обеспечивает логическую классификацию объектов в базе данных.
Схема

Схема Схема – некоторая совокупность именованных объектов. Обеспечивает логическую классификацию объектов в
– тоже объект базы данных.
Имя схемы (schema) используется в качестве составного имени объекта, состоящего из двух частей.

Слайд 34

Схема

Схема может создаваться явным и неявным способом.
Явный способ создания схемы:
С помощью оператора

Схема Схема может создаваться явным и неявным способом. Явный способ создания схемы:
CREATE SCHEMA;
При создании объекта необходимо указывать имя схемы в качестве первой части составного имени.
Владелец – текущий пользователь.

Слайд 35

Схема

Пример явного способа:
CREATE SCHEMA A;
CREATE TABLE A.TABLE1
(
NAME varchar(40) NOT NULL,

Схема Пример явного способа: CREATE SCHEMA A; CREATE TABLE A.TABLE1 ( NAME
TYPE varchar(20),
URL varchar(128)
);
INSERT INTO A.TABLE1 VALUES('A','B','C');
SELECT * FROM A.TABLE1;

Слайд 36

Схема

Примечание:
Если вы в первой части составного имени используете несуществующее имя

Схема Примечание: Если вы в первой части составного имени используете несуществующее имя
схемы, схема с таким именем будет автоматически создана.

Слайд 37

Схема

Неявный способ:
Требует наличие привилегии IMPLICIT_SCHEMA;
Если при создании объекта имя схемы не указывается,

Схема Неявный способ: Требует наличие привилегии IMPLICIT_SCHEMA; Если при создании объекта имя
схема создается по умолчанию.
По умолчанию именем схемы становится ID пользователя, который создает этот объект.
Владелец – текущий пользователь.

Слайд 38

Схема

Пример неявного способа:
CREATE TABLE TABLE1
(
NAME varchar(40) NOT NULL,
TYPE varchar(20),

Схема Пример неявного способа: CREATE TABLE TABLE1 ( NAME varchar(40) NOT NULL,
URL varchar(128)
);
INSERT INTO TABLE1 VALUES('A','B','C');
SELECT * FROM TABLE1; - это соответствует запросу SELECT * FROM ID.TABLE1;

Слайд 39

GRANT

Наделение полномочий и привилегий осуществляется оператором GRANT.
В общем виде:
GRANT ON

GRANT Наделение полномочий и привилегий осуществляется оператором GRANT. В общем виде: GRANT
DB2> TO
Пример:
GRANT DBADM ON DATABASE DBMY TO USER1;
GRANT SELECT ON A.TABLE1 TO USER1;

Слайд 40

REVOKE

Отзыв полномочий – REVOKE.
В общем виде:
REVOKE ON FROM
Пример:
REVOKEREVOKE Отзыв полномочий – REVOKE. В общем виде: REVOKE ON FROM Пример:
DBADM ON DATABASE DBMY FROM USER1;
REVOKE SELECT ON A.TABLE1 FROM USER1;
Имя файла: Доступ-в-DB2.pptx
Количество просмотров: 174
Количество скачиваний: 0