Пользователи и группы DB2

Question

Пользователи и группы DB2

Просто хочу узнать опыт каждого и взять на себя управление пользователями / аутентификацией в многоузловом кластере db2 с группами пользователей. У меня есть 17 приложений в производстве (проектная компания, только 2 онлайн-приложения) и около 30 пользователей с 7 группами.

prodsel - группа, которая имеет право выбора для всех таблиц
produpdt - группа обновления для выборочных таблиц (как требуется приложениями)
проддел - удалить
prodins - вставить права доступа для группы

Теперь моя компания работает, когда приложение использует определенного пользователя (называемого app1user), и ему нужно выбрать и вставить привилегию в таблицу, они 1. предоставляют выбор и вставку для prodsel, prodins соответственно 2. добавляют пользователя в эти две группы. Теперь это создает отношение "один ко многим" между пользователем и привилегиями, и этот app1user также получает выбор для других таблиц, предоставленных для группы prodsel. Я знаю, что это неправильно. Прежде чем объяснить, мне нужно знать, как это делается в другом месте. Пожалуйста, поделитесь своим опытом, даже если вы используете другие базы данных, которые используют аутентификацию на уровне ОС.

0

user-management database-administration db2

Источник

Arun Srini 14 дек '09 в 14:34

2 ответа

Другие вопросы по тегам user-management database-administration db2

ddeimeke 20 июл '10 в 13:03 2010-07-20 13:03 · Answer 1 · 2010-07-20 13:03

Для меня это звучит странно - создавать группы, названные в честь прав.

Я бы создал группы, которые представляют либо приложение, либо типичный профиль роли.

Скажем, база данных называется DB, а приложение - APP, далее мы называем одну роль EDITOR, а другую READER. В этом случае я бы добавил группы

DB_APP
DB_READER
DB_EDITOR

со всеми необходимыми правами, необходимыми для выполнения задач.

Peter Schuetze 22 янв '10 в 19:16 2010-01-22 19:16 · Answer 2 · 2010-01-22 19:16

Чистым способом было бы иметь пользователей только для одного приложения. Вы можете разделить пользователя между приложениями, если оба приложения по сути являются одной системой. Например, вы можете поделиться пользователями, если все приложения являются частью системы маркетинга. Если некоторые приложения являются частью маркетингового решения, а другие - частью системы управления персоналом, то определенно не разделяйте учетные записи / группы пользователей.

Чем меньше разрешений у пользователя, тем меньше побочных эффектов и нарушений безопасности. Многие (если не большинство) нарушений безопасности происходят изнутри.