DB2 9 基础（730 考试）认证指南，第 2 部分: 安全性

DB2 安全

数据库安全涉及的问题

数据库安全是当今最重要的问题。您的数据库可能允许顾客通过互联网购买产品，它也可能包含用来预测业务趋势的历史数据；无论是哪种情况，公司都需要可靠的数据库安全计划。

数据库安全计划应该定义：

允许谁访问实例和/或数据库

在哪里以及如何检验用户的密码

用户被授予的权限级别

允许用户运行的命令

允许用户读取和/或修改的数据

允许用户创建、修改和/或删除的数据库对象

DB2 安全机制

DB2 中有三种主要的安全机制，可以帮助 DBA 实现数据库安全计划：身份验证（authentication）、授权（authorization） 和特权（privilege）。

身份验证是用户在尝试访问 DB2 实例或数据库时遇到的第一种安全特性。DB2 身份验证与底层操作系统的安全特性紧密协作来检验用户 ID 和密码。DB2 还可以利用 Kerberos 这样的安全协议对用户进行身份验证。

授权决定用户和/或用户组可以执行的操作以及他们可以访问的数据对象。用户执行高级数据库和实例管理操作的能力由指派给他们的权限决定。在 DB2 中有 5 种不同的权限级别：SYSADM、SYSCTRL、SYSMAINT、DBADM 和 LOAD。

特权的粒度比授权要细，可以分配给用户和/或用户组。特权定义用户可以创建或删除的对象。它们还定义用户可以用来访问对象（比如表、视图、索引和包）的命令。DB2 9 中新增的一个概念是基于标签的访问控制（LBAC），它允许以更细的粒度控制谁有权访问单独的行和/或列。

要为本教程的下一节做好准备，需要在 DB2 实例中创建一个数据库。确保 %DB2INSTANCE% 变量仍然设置为 DB2，然后使用命令 db2sampl drive 创建示例数据库，这里的 drive 是希望创建示例数据库的驱动器的名称。对于本教程中的示例，将在 D: 驱动器上创建示例数据库：

D:SQLLIBBIN> db2sampl d:

客户机、服务器、网关和主机

在考虑整个数据库环境的安全性时，理解术语客户机、服务器、网关 和主机 是相当重要的。数据库环境常常由几台不同的机器组成；必须在所有潜在的数据访问点上保护数据库。在处理 DB2 身份验证时客户机、服务器、网关和主机的概念尤其重要。

下图说明了基本的客户机 - 服务器 - 主机配置。

数据库服务器 是数据库实际所在的机器（在分区的数据库系统上可能是多台机器）。DB2 数据库客户机 是对服务器上的数据库执行查询的机器。这些客户机可以是本地的（驻留在与数据库服务器相同的物理机器上），也可以是远程的（驻留在单独的机器上）。

如果数据库驻留在运行 AS/400（iSeries）或 OS/390（zSeries）的大型机上，它就称为主机 或主机服务器。网关 是一台运行 DB2 Connect 产品的机器。DB2 客户机可以通过网关连接驻留在主机上的 DB2 数据库。网关也称为 DB2 Connect 服务器。安装了 Enterprise Server Edition 产品的系统也内置了 DB2 Connect 功能。

DB2 身份验证

什么时候进行 DB2 身份验证

DB2 身份验证控制数据库安全计划的以下方面：

谁有权访问实例和/或数据库

在哪里以及如何检验用户的密码

在发出 attach 或 connect 命令时，它在底层操作系统安全特性的帮助下完成这个任务。attach 命令用来连接 DB2 实例，connect 命令用来连接 DB2 实例中的数据库。下面的示例展示了 DB2 对发出这些命令的用户进行身份验证的不同方式。这些示例在数据库管理程序配置文件中使用默认的身份验证类型 SERVER。下面的例 3 说明了如何使用 DB2 修改服务器操作系统上的密码。

用创建 DB2 实例时使用的用户 ID 登录到安装 DB2 的机器上。发出以下命令：

db2 attach to DB2

在这里，隐式地执行身份验证。使用登录机器的用户 ID，并假设这个 ID 已经经过了操作系统的检验。

db2 connect to sample user test1 using password
Database Connection Information
Database server　　　　= DB2/NT 9.1.0
SQL authorization ID　 = TEST1
Local database alias　 = SAMPLE　

在这里，显式地执行身份验证。用户 test1 和密码 password 由操作系统进行检验。用户 test1 成功地连接到示例数据库。

db2 connect to sample user test1 using password new chgpass confirm chgpass

与例 2 中一样，用户 ID test1 和密码 password 由操作系统进行检验。然后，操作系统将 test1 的密码从 password 改为 chgpass。因此，如果再次发出例 2 中的命令，它就会失败。

DB2 身份验证类型

DB2 使用身份验证类型 决定在什么地方进行身份验证。例如，在客户机 - 服务器环境中，是客户机还是服务器检验用户的 ID 和密码？在客户机 - 网关 - 主机环境中，是客户机还是主机检验用户的 ID 和密码？

DB2 9 能够根据用户是试图连接数据库，还是执行实例连接和实例级操作，指定不同的身份验证机制。在默认情况下，实例对于所有实例级和连接级请求使用一种身份验证类型。这由数据库管理程序配置参数 AUTHENTICATION 来指定。V9.1 中引入了数据库管理程序配置参数 SRVCON_AUTH。这个参数专门处理对数据库的连接。例如，如果在 DBM CFG 中进行以下设置：

DB2 GET DBM CFG
Server Connection Authentication　　　　　(SRVCON_AUTH) = KERBEROS
Database manager authentication　　　　(AUTHENTICATION) = SERVER_ENCRYPT

那么在连接实例时会使用 SERVER_ENCRYPT。但是在连接数据库时会使用 KERBEROS 身份验证。如果在服务器上没有正确地初始化 KERBEROS，但是提供了有效的用户 ID/密码，那么允许这个用户连接实例，但是不允许他连接数据库。

下表总结了可用的 DB2 身份验证类型。在客户机 - 网关 - 主机环境中，这些身份验证选项在客户机和网关上设置，而不是在主机上。本节将详细讨论如何设置这些选项。请回顾 客户机、服务器、网关和主机 小节。

*这些设置只对 Windows 2000、AIX、Solaris 和 Linux® 操作系统有效。

在服务器上设置身份验证

在数据库服务器上，在数据库管理程序配置（DBM CFG）文件中使用 AUTHENTICATION 参数设置身份验证。请记住，DBM CFG 文件是一个实例级配置文件。因此，AUTHENTICATION 参数影响这个实例中的所有数据库。以下命令演示如何修改这个参数。

要查看配置文件中的身份验证参数：db2 get dbm cfg

要将身份验证参数修改为 server_encrypt：C:PROGRA~1SQLLIBBIN> db2 update dbm cfg using authentication server_encrypt
C:PROGRA~1SQLLIBBIN> db2stop
C:PROGRA~1SQLLIBBIN> db2start

某些身份验证类型（比如 GSSPLUGIN、KERBEROS 和 CLIENT）要求设置其他数据库管理程序配置参数，比如 TRUST_ALLCLNTS、SRV_PLUGIN_MODE 和 SRVCON_PW_PLUGIN。关于这些设置的更多细节见下文。

在网关上设置身份验证

使用 catalog database 命令在网关上设置身份验证。在这里的示例中，我们将使用名为 myhostdb 的主机数据库。

要将网关身份验证类型设置为 SERVER，应该在网关机器上发出以下命令：

db2 catalog database myhostdb at node nd1 authentication SERVER
db2 terminate

注意，身份验证不会在网关本身执行。在 DB2 Version 8 中，身份验证必须在客户机或主机数据库服务器上执行。

在客户机上设置身份验证

我们来考虑两台单独的客户机上的两种情况。我们将一个客户机配置为连接服务器机器上的数据库（DB2 UDB LUW 分布式平台），另一个客户机连接主机上的数据库（例如 DB2 for zSeries）。

连接服务器数据库的客户机：在针对要连接的数据库的