Hệ thống IBM i Quyền trên các khung nhìn Cơ sở dữ liệu


8

Chúng tôi có một Hệ thống IBM tôi đang chạy IBM i OS v6r1. Trên hệ thống này, tôi đã tạo ra một số khung nhìn cơ sở dữ liệu. Những gì tôi muốn làm là cung cấp cho một nhóm người dùng cụ thể quyền truy cập CHỈ các chế độ xem này và không có gì khác trong thư viện chứa các chế độ xem. Điều này có thể không? Tôi đã có một nhóm người dùng chỉ đọc quyền đối với tất cả các bảng và chế độ xem trong thư viện nơi có chế độ xem của tôi và quyền truy cập hoạt động khi người dùng ở dưới nhóm người dùng này. Tôi đã thử sao chép nhóm người dùng và sau đó gán quyền chỉ bao gồm các chế độ xem tôi đã tạo và quyền truy cập bị từ chối. Người dùng hoặc nhóm người dùng cũng phải có quyền trên bảng mà chế độ xem bắt nguồn để truy cập vào chế độ xem?


Hãy xem xét việc đăng bài này trên dba.stackexchange.com
WarrenT

@WarrenT tin hay không đây thực sự là một câu hỏi quản trị hệ thống vì đây là câu hỏi DB cho iSeries / midrange - cơ sở dữ liệu DB2 được tích hợp chặt chẽ vào OS / 400 và từ câu hỏi có vẻ như đó là quyền OS / 400 trên thư viện đang vấp ngã mọi thứ. (Thật không may là đã quá lâu kể từ khi tôi đăng nhập vào một hộp tầm trung. Tôi không chắc chắn 100% cách giải quyết vấn đề!)
voretaq7

@ voretaq7 Có. Cơ sở dữ liệu không chỉ được dệt vào bản chất của hệ điều hành, nó được thiết kế vào chính máy (giao diện máy, MI). Đã hơn một thập kỷ kể từ khi tôi là QSECOFR, vì vậy tôi sẽ phải tìm kiếm câu trả lời. Nhưng vì chưa có ai ở đây trả lời, và đó là trò chơi công bằng cho cả hai trang web, tôi đã nghĩ rằng có thể có ai đó ở dba có thể biết điều đó trên đỉnh đầu của họ.
WarrenT

Câu trả lời:


4

Đúng. Nó không đủ để cấp thẩm quyền để sử dụng một quan điểm. Người dùng cũng phải có quyền đối với bảng bên dưới.

Một cách để cho phép truy cập vào một người dùng bị hạn chế là cơ quan có thẩm quyền. Vì lợi ích của ví dụ, hãy giả sử như sau:

Người dùng RESTRICTED không có quyền truy cập vào bất kỳ bảng nào. Tất cả các thư viện đều là AUT (* EXCLUDE) -hoặc người dùng RESTRICTED có quyền * EXCLUDE cho tất cả các thư viện. NGƯỜI DÙNG ĐƯỢC PHÉP có thể truy cập (hoặc sở hữu) các bảng và thư viện. Thư viện DATA có các bảng. CHƯƠNG TRÌNH thư viện có các chương trình và thủ tục lưu trữ.

Đã PERMITTED tạo một thủ tục lưu trữ RPG trong CHƯƠNG TRÌNH thư viện. Đảm bảo chương trình có USRPRF (* OWNER) được chỉ định. Điều này có nghĩa là khi chương trình chạy, nó sẽ sử dụng quyền của chủ sở hữu (PERMITTED) chứ không phải là thẩm quyền của hồ sơ thực thi nó (GIỚI HẠN).

Cấp quyền cho người dùng PERMITTED * SỬ DỤNG quyền đối với đối tượng chương trình RPG - hoặc GRANT thông qua SQL. Ngoài ra, cấp cho người dùng RESTRICTED * SỬ DỤNG quyền truy cập vào CHƯƠNG TRÌNH thư viện. Điều này sẽ cho phép RESTRICTED thực hiện thủ tục / chương trình được lưu trữ.

Lưu ý rằng người dùng RESTRICTED không có quyền truy cập các bảng trong DATA và bạn muốn để nó theo cách đó.

Bây giờ có người dùng RESTRICTED sử dụng SQL để GỌI thủ tục được lưu trữ. Cô ấy có thẩm quyền để thực hiện chương trình vì cô ấy có quyền * SỬ DỤNG các thư mục PROGRAM cũng như đối tượng chương trình được biên dịch. Quy trình được lưu trữ chạy dưới quyền của chủ sở hữu, PERMITTED và vì PERMITTED có toàn quyền truy cập vào thư viện DATA và các bảng trong đó, quy trình được lưu trữ có thể truy cập / cập nhật các bảng đó. Bất kỳ SQL thô nào mà RESTRICTED cố gắng sử dụng sẽ không thành công do không đủ thẩm quyền - điều duy nhất cô ấy có thể làm là gọi các thủ tục được lưu trữ được tạo cho cô ấy.

Nếu các chương trình của bạn được lưu trữ trong cùng thư viện với dữ liệu của bạn, bạn sẽ cần cấp quyền RESTRICTED * USE cho thư viện và đặc biệt hạn chế cô ấy (thông qua * EXCLUDE) trên tất cả các bảng trong thư viện đó. Có thể dễ dàng hơn để tạo một thư viện RESTRICTED chỉ giữ các thủ tục được lưu trữ và ủy quyền cho cô ấy vào thư viện đó. Điều này làm cho việc bảo trì liên tục dễ dàng hơn vì bạn sẽ không phải cố gắng nhớ để hạn chế cô ấy khỏi các bảng mới được tạo trong DATA.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.