Los privilegios determinan qué es lo que el usuario está autorizado a hacer con los datos y la base de datos. Debe asignar los privilegios según el tipo de trabajo que realiza la persona dentro de la organización. ¿El usuario participa de la administración de la geodatabase? ¿El usuario necesita editar o crear datos? ¿El usuario solo debe consultar los datos?
Los privilegios de usuario se establecen en diferentes niveles. En las tablas de este tema se enumeran los privilegios mínimos que necesitan los tipos comunes de usuarios sobre las bases de datos y datasets: visores, editores y creadores de datos, así como el administrador de la geodatabase.
Los privilegios de los usuarios de geodatabases en DB2 en Linux, UNIX y Windows son diferentes de los que se necesitan para las geodatabases en DB2 en el sistema operativo z (z/OS) de IBM. Por lo tanto, existen dos tablas diferentes para los privilegios de usuario.
DB2 en Linux, UNIX y Windows
DB2 otorga a los usuarios privilegios completos de forma predeterminada. (En otras palabras, al grupo PUBLIC se le otorga autoridad de base de datos CREATETAB, BINDADD, CONNECT e IMPLICITSCHEMA más el privilegio USE en el espacio de tabla USERSPACE1 y el privilegio SELECT en las vistas de catálogo de sistema). Para quitar una autoridad de la base de datos, un administrador de base de datos debe revocar explícitamente la autoridad de la base de datos desde PUBLIC.
Si quita cualquiera de estos privilegios de PUBLIC, debe otorgárselos a usuarios individuales o a grupos. Por ejemplo, si revoca CONNECT de PUBLIC, debe otorgárselo a los usuarios para que puedan conectarse a la base de datos. Del mismo modo, si SELECT en las tablas o las vistas de catálogo del sistema se revoca desde PUBLIC, se debe conceder a los usuarios o los grupos individuales el privilegio SELECT en las siguientes ubicaciones o de lo contrario no podrán conectarse a la geodatabase:
- SYSIBM.SYSDUMMY1 (vista de catálogo)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
| Tipo de usuario | Privilegios de base de datos | Privilegios de dataset | Notas |
|---|---|---|---|
Visor de datos |
| SELECT en objetos de base de datos, SELECT en SYSIBM.SYSDUMMY1, SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH | Si la base de datos se configura para utilizar tablas de archivos de registro compartidos (las predeterminadas), es posible que se necesiten privilegios adicionales. Para obtener más información, consulte Opciones de configuración de tablas de archivos de registro. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION. |
Editor de datos |
| CONTROL, ALTER, DELETE, INSERT, SELECT, UPDATE REFERENCES, SELECT en SYSIBM.SYSDUMMY1 SELECT en SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH | Si el usuario va a editar datos versionados a través de una vista versionada, debe tener asignados los privilegios SELECT, INSERT, ALTER y DELETE en la vista versionada. Cuando se usa el cuadro de diálogo Privilegios en ArcGIS para asignar los privilegios en una clase de entidad versionada, los privilegios correspondientes también se otorgan en la vista versionada asociada. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION. |
Creador de datos |
| CONTROL en objetos de base de datos, SELECT en SYSIBM.SYSDUMMY1 SELECT en SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH | La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION. |
Administrador de geodatabase (usuario sde) |
| La autoridad DBADM otorga al usuario sde todos los privilegios contra todos los objetos de la base de datos y le permite otorgar estos privilegios a otros. Esto se requiere para crear o actualizar una geodatabase. También necesita autoridad DBADM para quitar conexiones cliente de la base de datos. Además, el usuario sde debe tener autoridad SYSCTRL o SYSADM para eliminar las conexiones del cliente de la base de datos. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario sde tiene que poder ejecutar MON_GET_CONNECTION. |
DB2 for z/OS
La seguridad en z/OS es mayor que en otras plataformas. La mayoría de los privilegios no se otorgan automáticamente a PUBLIC de forma predeterminada, sino que debe otorgar privilegios a Id. de usuarios individuales o a grupos.
| Tipo de usuario | Privilegios de base de datos | Privilegios de dataset | Notas |
|---|---|---|---|
Visor de datos | SELECT en objetos de base de datos definidos por el usuario y en las siguientes tablas del sistema:
| ||
Editor de datos | Igual que para los visores de datos más CONTROL, ALTER, DELETE, INSERT, SELECT y UPDATE REFERENCES en objetos de base de datos. | ||
Creador de datos | CREATETAB y CREATETS | Igual que para los visores de datos más CONTROL en objetos de base de datos. | |
Administrador de geodatabase (usuario sde) |
| Igual que para los visores de datos |
Puede utilizar las herramientas de DB2 o instrucciones de SQL para administrar privilegios de base de datos.
El propietario del dataset debe otorgar o revocar los privilegios sobre el dataset en el cuadro de diálogo Privilegios o con la herramienta de geoprocesamiento Cambiar privilegios de ArcGIS for Desktop. Consulte las instrucciones en Otorgar y revocar privilegios sobre datasets.