Права определяют, что пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Будет ли пользователь только формировать запросы к данным?
Права доступа пользователей устанавливаются на разных уровнях. В таблицах этого раздела перечислены минимальные необходимые права доступа к базе данных и набору данных, предоставляемые основным типам пользователей: пользователи, просматривающие данные, редактирующие данные, создающие данные, а также администратор базы геоданных.
Права для пользователей в базах геоданных в DB2 под управлением Linux, UNIX и Windows отличаются от прав, требуемых для баз геоданных в DB2 под управлением операционной системы IBM z (z/OS). Поэтому существует две разные таблицы прав пользователей.
DB2 под управлением Linux, UNIX и Windows
DB2 предоставляет по умолчанию пользователям полные права. (Другими словами, группе PUBLIC предоставляются права на базу данных CREATETAB, BINDADD, CONNECT и IMPLICITSCHEMA, а также право USE на таблицу USERSPACE1 и право SELECT на системный каталог представлений.) Для удаления прав к базе данных администратор базы данных должен явно отозвать права к базе данных у группы PUBLIC.
Если какое-либо из этих прав удаляется из группы PUBLIC, их необходимо предоставить отдельным пользователям или группам. Например, если у группы PUBLIC отзывается право CONNECT, его необходимо предоставить пользователям, чтобы они могли подключаться к базе данных. Также, если право SELECT на представления или таблицы системного каталога отзывается у группы PUBLIC, отдельные пользователи или группы должны получить право SELECT, в противном случае они не смогут подключаться к базе геоданных:
- SYSIBM.SYSDUMMY1 (представление каталога)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
| Тип пользователя | Привилегии в базе данных | Привилегии для наборов данных | Примечания |
|---|---|---|---|
Пользователь, имеющий право просматривать данные |
| SELECT для объектов базы данных, SELECT для SYSIBM.SYSDUMMY1, SYSCAT.ROLEAUTH, SYSCAT.DBAUTH и SYSCAT.TABAUTH | Если база данных настроена на использование таблиц файла журнала с общим доступом (по умолчанию), то могут потребоваться дополнительные права. Дополнительную информацию см. в разделе Настройки конфигурации таблицы файла журнала. Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений, пользователь должен быть в состоянии выполнить MON_GET_CONNECTION. |
Редактирование данных |
| CONTROL, ALTER, DELETE, INSERT, SELECT, UPDATE REFERENCES, SELECT на уровне SYSIBM.SYSDUMMY1 SELECT для SYSCAT.ROLEAUTH, SYSCAT.DBAUTH и SYSCAT.TABAUTH | Если пользователь редактирует версионные данные через версионное представление, ему должны быть выданы права SELECT (Выборка), INSERT (Вставка), ALTER (Изменение) и DELETE (Удаление) в версионном представлении. При использовании диалогового окна Права доступа (Privileges) в ArcGIS для выдачи прав для версионных классов объектов, соответствующие права также автоматически выдаются в соответствующем версионном представлении. Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений, пользователь должен быть в состоянии выполнить MON_GET_CONNECTION. |
Пользователь, имеющий право на создание данных |
| CONTROL на уровне объектов базы данных, SELECT на уровне SYSIBM.SYSDUMMY1 SELECT для SYSCAT.ROLEAUTH, SYSCAT.DBAUTH и SYSCAT.TABAUTH | Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений, пользователь должен быть в состоянии выполнить MON_GET_CONNECTION. |
Администратор базы геоданных (пользователь sde) |
| Уровень доступа DBADM предоставляет пользователю sde все права на все объекты в базе данных и позволяет ему предоставлять эти права другим пользователям. Это требуется для создания или обновления базы геоданных. Права DBADM также необходимы для удаления из базы данных клиентских подключений. Дополнительно, пользователь sde должен иметь либо права SYSCTRL, либо права SYSADM для удаления клиентских подключений из базы данных. Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений, пользователь sde должен быть в состоянии выполнить MON_GET_CONNECTION. |
DB2 для z/OS
Безопасность в операционной системе z/OS выше, чем на других платформах. Большинство прав для группы PUBLIC не предоставляются автоматически по умолчанию. Требуется предоставлять права к отдельным пользовательским ID или группам.
| Тип пользователя | Привилегии в базе данных | Привилегии для наборов данных | Примечания |
|---|---|---|---|
Пользователь, имеющий право просматривать данные | SELECT на уровне пользовательских объектов в базе данных и на уровне следующих системных таблиц:
| ||
Редактирование данных | Такие же права, как и для пользователей, имеющих право на просмотр данных, а также права CONTROL, ALTER, DELETE, INSERT, SELECT и UPDATE REFERENCES на уровне объектов базы данных | ||
Пользователь, имеющий право на создание данных | CREATETAB и CREATETS | Такие же права, как и для пользователей с правом просмотра данных, а также право CONTROL на уровне объектов в базе данных | |
Администратор базы геоданных (пользователь sde) |
| Такие же права, как у пользователей с правом просмотра данных |
Для администрирования прав доступа к базе данных можно использовать инструменты DB2 или выражения SQL.
Права доступа к наборам данных должны быть предоставлены или отозваны владельцем набора данных с помощью диалогового окна Права доступа (Privileges) или инструмента геообработки Изменить права доступа (Change Privileges), который доступен в ArcGIS for Desktop. Инструкции см. в разделе Предоставление и отзыв прав доступа к наборам данных.