Los privilegios determinan lo que alguien está autorizado a hacer con los datos y la base de datos. Debe asignar los privilegios según el tipo de trabajo que realiza la persona dentro de la organización. ¿Participa esta persona en la administración de la geodatabase? ¿Necesita editar o crear datos? ¿O solo necesitaría consultar los datos?
Los privilegios se establecen en diferentes niveles. En las tablas de este tema se enumeran los privilegios mínimos que necesitan los tipos comunes de usuarios de geodatabases: visores, editores y creadores de datos, así como el administrador de la geodatabase.
Los privilegios de los usuarios de geodatabases en DB2 en Linux, UNIX y Windows son diferentes de los que se necesitan para las geodatabases en DB2 en el sistema operativo z (z/OS) de IBM. Por lo tanto, existen dos tablas diferentes para los privilegios de usuario.
Puede utilizar las herramientas de DB2 o instrucciones de SQL para administrar privilegios de base de datos.
Los privilegios sobre los datasets debe otorgarlos o revocarlos el propietario del dataset utilizando ArcGIS. Consulte Otorgar y revocar privilegios sobre datasets para obtener instrucciones.
DB2 en Linux, UNIX y Windows
De manera predeterminada, DB2 otorga autoridad de base de datos CREATETAB, BINDADD, CONNECT e IMPLICITSCHEMA más el privilegio USE en el espacio de tabla USERSPACE1 y el privilegio SELECT en las vistas de catálogo del sistema al grupo PUBLIC. Para eliminar cualquiera de estas autoridades de la base de datos, el administrador de la base de datos debe revocar de PUBLIC dichas autoridades explícitamente.
Si quita cualquiera de estos privilegios de PUBLIC, debe otorgárselos a usuarios individuales o a grupos de la base de datos. Por ejemplo, si revoca CONNECT de PUBLIC, debe otorgárselo a alguien que necesite conectarse a la base de datos. Del mismo modo, si SELECT en las tablas o las vistas de catálogo del sistema se revoca desde PUBLIC, se debe conceder a los usuarios o los grupos individuales el privilegio SELECT en las siguientes ubicaciones o de lo contrario no podrán conectarse a la geodatabase:
- SYSIBM.SYSDUMMY1 (vista de catálogo)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
Privilegios mínimos DB2
Tipo de usuario | Privilegios de base de datos | Privilegios de dataset | Notas |
---|---|---|---|
Visor de datos |
| SELECT en objetos de base de datos, SELECT en SYSIBM.SYSDUMMY1, SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH | Si la base de datos está configurada para utilizar tablas de archivos de registro compartidos (la opción predeterminada), es posible que se necesiten privilegios adicionales.
La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION. |
Editor de datos |
|
| Los propietarios de la tabla y clase de entidad utilizan el cuadro de diálogo Privilegios o la herramienta de geoprocesamiento Cambiar privilegios de ArcGIS para conceder privilegios de edición en sus datos a otros usuarios. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION. |
Creador de datos |
| CONTROL en objetos de base de datos, SELECT en SYSIBM.SYSDUMMY1 SELECT en SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH | La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION. |
Administrador de geodatabase (usuario sde) |
| La autoridad DBADM otorga al usuario sde todos los privilegios contra todos los objetos de la base de datos y le permite otorgar estos privilegios a otros. Esto se requiere para crear o actualizar una geodatabase. También necesita autoridad DBADM para quitar conexiones cliente de la base de datos. Además, el usuario sde debe tener autoridad SYSCTRL o SYSADM para eliminar las conexiones del cliente de la base de datos. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario sde tiene que poder ejecutar MON_GET_CONNECTION. |
DB2 for z/OS
La seguridad en z/OS es mayor que en otras plataformas. La mayoría de los privilegios no se otorgan automáticamente a PUBLIC de forma predeterminada, sino que debe otorgar privilegios a Id. de usuarios individuales o a grupos.
Privilegios mínimos DB2 z/OS
Tipo de usuario | Privilegios de base de datos | Privilegios de dataset | Notas |
---|---|---|---|
Visor de datos | SELECT en objetos de base de datos definidos por el usuario y en las siguientes tablas del sistema:
| ||
Editor de datos | Igual que para los visores de datos más CONTROL, ALTER, DELETE, INSERT, SELECT y UPDATE REFERENCES en objetos de base de datos. | ||
Creador de datos | CREATETAB y CREATETS | Igual que para los visores de datos más CONTROL en objetos de base de datos. | |
Administrador de geodatabase (usuario sde) |
| Igual que para los visores de datos |