Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist diese Person zuständig für die Verwaltung der Geodatabase? Muss er oder sie auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss diese Person nur auf die Daten zugreifen können?
Berechtigungen werden auf verschiedenen Ebenen festgelegt. In den Tabellen dieses Themas sind die mindestens erforderlichen Datenbank- und Dataset-Berechtigungen für die gängigen Geodatabase-Benutzertypen aufgeführt: Daten lesen, Daten bearbeiten, Daten erstellen und Geodatabase-Administrator.
Berechtigungen für Benutzer in Geodatabases zu DB2 unter Linux, UNIX und Windows sind anders als jene erforderlichen für Geodatabases auf DB2 unter dem IBM-Z-Betriebssystem (z/OS). Daher gibt es zwei verschiedene Tabellen von Benutzerberechtigungen.
Verwenden Sie DB2-Werkzeuge oder SQL-Anweisungen für die Verwaltung der Datenbankberechtigungen.
Berechtigungen für Datasets sollten vom Dataset-Besitzer mit ArcGIS erteilt oder widerrufen werden. Anweisungen finden Sie unter Gewähren und Widerrufen von Dataset-Berechtigungen.
DB2 unter Linux, UNIX und Windows
Der Gruppe "PUBLIC" werden standardmäßig die Berechtigungen "CREATETAB", "BINDADD", "CONNECT" und "IMPLICITSCHEMA" für die Datenbank sowie die Berechtigungen "USE" für den USERSPACE1-Tablespace und "SELECT" für die Systemkatalogsichten gewährt. Um eine oder mehrere dieser Datenbankberechtigungen zu entfernen, muss ein Datenbankadministrator sie explizit für die Gruppe "PUBLIC" widerrufen.
Aus der Gruppe "PUBLIC" entfernte Berechtigungen müssen u. U. einzelnen Datenbankbenutzern oder Gruppen gewährt werden. Wenn z. B. die Berechtigung "CONNECT" für die Gruppe "PUBLIC" widerrufen wird, muss diese Berechtigung jedem Benutzer gewährt werden, der eine Verbindung zur Datenbank herstellen muss. Wenn die Berechtigung "SELECT" für die Systemkatalogsichten oder Tabellen für die Gruppe "PUBLIC" widerrufen wird, muss diese Berechtigung einzelnen Benutzern oder Gruppen mindestens für folgende Elemente gewährt werden. Andernfalls können diese Benutzer keine Verbindung mit der Geodatabase herstellen:
- SYSIBM.SYSDUMMY1 (Katalogansicht)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
Mindestberechtigungen für DB2
Benutzertyp | Datenbankberechtigungen | Dataset-Berechtigungen | Hinweise |
---|---|---|---|
Daten lesen |
| "SELECT" zum Auswählen von Datenbankobjekten, "SELECT" für "SYSIBM.SYSDUMMY1", SYSCAT.ROLEAUTH, SYSCAT.DBAUTH und SYSCAT.TABAUTH | Wenn Ihre Datenbank für das Verwenden von gemeinsamen Protokolldateitabellen (Standardeinstellung) konfiguriert ist, sind die folgenden zusätzlichen Berechtigungen erforderlich:
Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können. |
Daten bearbeiten |
|
| Tabellen- und Feature-Class-Besitzer können das Dialogfeld Berechtigungen oder das Geoverarbeitungswerkzeug "Berechtigungen ändern" in ArcGIS verwenden, um anderen Benutzern Bearbeitungsberechtigungen für ihre Daten zu gewähren. Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können. |
Daten erstellen |
| "CONTROL" für Datenbankobjekte, "SELECT" für "SYSIBM.SYSDUMMY1" SELECT für SYSCAT.ROLEAUTH, SYSCAT.DBAUTH und SYSCAT.TABAUTH | Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können. |
Geodatabase-Administrator (der SDE-Benutzer) |
| Durch die DBADM-Berechtigung erhält der SDE-Benutzer alle Berechtigungen für alle Objekte in der Datenbank sowie die Möglichkeit, anderen Benutzern Berechtigungen zuzuweisen. Sie ist zum Erstellen oder Aktualisieren einer Geodatabase erforderlich. Die DBADM-Berechtigung ist auch notwendig, um Client-Verbindungen aus der Datenbank zu entfernen. Außerdem muss der SDE-Benutzer entweder über die Berechtigung "SYSCTRL" oder "SYSADM" verfügen, um Client-Verbindungen aus der Datenbank zu entfernen. Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der SDE-Benutzer MON_GET_CONNECTION ausführen können. |
DB2 for z/OS
z/OS-Plattformen weisen eine höhere Sicherheit auf als andere Plattformen. Die meisten Berechtigungen werden der Gruppe "PUBLIC" nicht standardmäßig zugewiesen. Sie müssen einzelnen Benutzer-IDs oder Gruppen Berechtigungen zuweisen.
Mindestberechtigungen für DB2 z/OS
Benutzertyp | Datenbankberechtigungen | Dataset-Berechtigungen | Hinweise |
---|---|---|---|
Daten lesen | "SELECT" für benutzerdefinierte Datenbankobjekte und für die folgenden Systemtabellen:
| ||
Daten bearbeiten | Wie "Daten lesen" plus "CONTROL", "ALTER", "DELETE", "INSERT", "SELECT" und "UPDATE REFERENCES" für Datenbankobjekte | ||
Daten erstellen | "CREATETAB" und "CREATETS" | Wie "Daten lesen" plus "CONTROL" zum Steuern von Datenbankobjekten | |
Geodatabase-Administrator (der SDE-Benutzer) |
| Wie "Daten lesen" |