Bổ sung các khả năng an toàn mới trong DB2 9.5, Phần 1: Hiểu rõ các vai trò trong DB2 9.5 pdf

Bổ sung các khả năng an toàn mới trong DB2 9.5, Phần 1: Hiểu rõ các vai trò

trong DB2 9.5

Bảo đảm an toàn cho cơ sở dữ liệu của bạn

Paul Read, Giám đốc giới thiệu sản phẩm của IBM, EMC

Tóm tắt:

IBM® DB2® 9.5 cung cấp các tùy chọn mới để bảo đảm an toàn chặt chẽ hơn và

cho phép các mức độ chi tiết và linh hoạt hơn trong việc quản trị cơ sở dữ liệu.

Hướng dẫn này là phần đầu tiên trong hai hướng dẫn nói về các vai trò (role) và

các bối cảnh tin cậy. Hãy làm theo các bài tập trong hướng dẫn này, và tìm hiểu

cách tận dụng các đặc tính mới là các vai trò trong DB2 trong việc phối hợp với

các công nghệ e-business cốt yếu khác như các dịch vụ Web, máy chủ ứng dụng

Web và máy chủ cơ sở dữ liệu DB2.

Trước khi bạn bắt đầu

Về hướng dẫn này

Hướng dẫn này sẽ dẫn dắt bạn qua một loạt các bài tập để làm quen với các vai

trò, một đặc tính mới trong DB2 9.5. Hướng dẫn này dành cho các chuyên gia kỹ

thuật DB2, các quản trị viên cơ sở dữ liệu, và các lập trình viên. Bạn phải có hiểu

biết tốt về DB2 trên Linux, UNIX, và Windows (sau đây gọi là DB2 LUW). Bạn

cũng cần phải quen thuộc với cửa sổ lệnh DB2 và việc chạy các kịch bản lệnh

DB2. Sử dụng Data Studio IBM mới, bạn có thể tạo và quản lý các vai trò. Tuy

nhiên, chúng không được hỗ trợ trong trung tâm điều khiển DB2.

Các mục tiêu

Hướng dẫn này sẽ giúp bạn làm quen với các khái niệm và các đặc tính của các vai

trò trong DB2 9.5. Trong các bài tập này, bạn sẽ tìm hiểu về:

 Các khái niệm cơ bản về vai trò

 Cách tạo và quản lý các vai trò

 Cách sử dụng các truy vấn SQL và các công cụ khác nhau để phân tích

cách dùng các vai trò

Các yêu cầu về hệ thống

Để chạy các ví dụ trong hướng dẫn này, bạn cần bạn cần có:

 DB2 9.5 Express-C

 Microsoft Windows 2003, XP hay Linux (Môi trường đã hợp lệ)

 Phiên bản Java® Runtime Environment 1.4.2 hoặc mới hơn

Ngoài ra bạn phải bảo đảm phần cứng của mình đáp ứng được các yêu cầu chạy

DB2 9.5. Xem trang Các yêu cầu hệ thống của DB2 9.5.)

Tải về DB2 9.5 Express-C đã có sẵn trong đường liên kết ở trên. DB2 9.5 là một

bản cài đặt đầy đủ, không phải là bản vá lỗi nâng cấp. Theo mặc định, DB2 sẽ tự

động khởi động sau khi cài đặt trừ khi bạn cài đặt nó không khởi động tự động..

Sử dụng các kịch bản lệnh và dữ liệu mẫu có trong tệp tin nén kèm theo (xem

phần Tải về) để giải thích các khái niệm trong hướng dẫn này. Giải nén tệp tin,

chứa các nội dung vào trong một thư mục con có tên là DB2Roles (C:\DB2Roles

hay home/userid/DB2Roles). Thư mục này sẽ được nói đến với tên đơn giản là

DB2Roles, xuyên suốt toàn bộ hướng dẫn này. Hướng dẫn này cũng giả thiết rằng

bạn sử dụng các thư mục mặc định trong khi cài đặt DB2 và yêu cầu bạn tạo ra

một số userid (tên nhận dạng người dùng) và tất cả các bài tập sẽ sử dụng các

userid được tạo ra này.

Định nghĩa một vai trò

Một vai trò là một đối tượng cơ sở dữ liệu và có thể cấp hay hủy bỏ một hoặc

nhiều quyền ưu tiên (privileges), quyền hành động (authorities) hoặc các vai trò

DB2 khác đối với nó. Một vai trò không có chủ sở hữu và chỉ có người quản trị an

toàn (SECADM) có thể tạo ra hay hủy bỏ nó.

Bằng cách gắn kết một vai trò với một người sử dụng, người sử dụng này sẽ thừa

hưởng tất cả các quyền ưu tiên do vai trò đó nắm giữ, ngoài các quyền anh ta đã

có.

Lợi thế chủ yếu của các vai trò cơ sở dữ liệu là ở chỗ chúng đơn giản hóa việc

quản trị và quản lý các quyền trong một cơ sở dữ liệu. Ví dụ:

 Những người quản trị an toàn có thể kiểm soát truy nhập vào các cơ sở dữ

liệu của họ ở một mức trừu tượng gần với cấu trúc của các tổ chức của họ.

Ví dụ, nếu công ty có 12 chi nhánh và mọi người trong từng chi nhánh có

một tập hợp của các quyền giống nhau, thì SECADM sẽ thiết lập 12 vai trò

và sau đó cấp phát tư cách thành viên cho những người sử dụng dựa vào vị

trí của họ.

 Những người sử dụng được cấp phát tư cách thành viên trong các vai trò

dựa vào các trách nhiệm công việc của họ. Khi các trách nhiệm công việc

của người sử dụng thay đổi, việc này thường hay xảy ra trong các tổ chức

lớn, tư cách thành viên của anh ta có thể dễ dàng được cấp phát và hủy bỏ.

Ví dụ, nếu một người sử dụng chuyển từ chi nhánh New York đến chi

nhánh Boston, thì SECADM chỉ cần đơn giản hủy bỏ quyền truy nhập của

anh ta tới vai trò với New York và cấp phép truy nhập tới vai trò với chi

nhánh Boston.

 Việc phân định các quyền cũng được đơn giản hóa. Thay vì cấp phát tập

hợp các quyền giống nhau cho từng người dùng riêng lẻ trong một chức

năng công việc cụ thể, thì người quản trị có thể cấp phát tập hợp các quyền

này cho một vai trò đại diện cho chức năng công việc đó và sau đó cấp phát

vai trò này cho những người sử dụng có chức năng công việc đó. Ví dụ, các

công việc riêng lẻ có thể thường yêu cầu nhiều quyền khác nhau cho một

người sử dụng. Tuy nhiên, nếu cấp phát các quyền cho một vai trò thì sẽ

đơn giản hơn khi cấp phát hay hủy bỏ các quyền đó và không phải duy trì

các kịch bản lệnh lớn cho từng công việc. Nếu SECADM cần thay đổi các

quyền cho một vai trò , anh ta có thể thay đổi nó ở một nơi thôi, không phải

lặp lại tiến trình này với mọi người sử dụng.

 Các vai trò có thể được cập nhật mà không cần cập nhật các quyền cho mỗi

người sử dụng một cách riêng lẻ. Ví dụ, nếu SECADM cần thay đổi các

quyền cho chi nhánh ở New York, SECADM có thể thay đổi định nghĩa

của vai trò mà không phải lặp lại tiến trình này với mọi người sử dụng.

Tất cả các quyền ưu tiên và quyền hành động của DB2 có thể cấp trong một cơ sở

dữ liệu, trừ SECADM, đều có thể được cấp phát cho một vai trò. Bằng cách cấp

phát các quyền ưu tiên và quyền hành động chỉ cho các vai trò và cho người sử

dụng làm thành viên trong các vai trò đó, việc quản trị và quản lý các quyền trong

cơ sở dữ liệu được đơn giản hóa rất nhiều.

Xây dựng môi trường

Phần này giới thiệu một số mã lệnh mẫu, có sẵn để tải xuống cùng với hướng dẫn

này, để mô tả hành vi của các vai trò . (Xem phần Tải về.) Các mẫu dựa vào các

đối tượng cơ sở dữ liệu có thể được bổ sung vào cơ sở dữ liệu SAMPLE. Dữ liệu

cần thiết để điền vào các bảng có trong một tệp tin ASCII dùng dấu phân cách

(delimited) trong thư mục con DB2Roles có tên là data.del. Tất cả các kịch bản

lệnh nằm trong thư mục con Section 2.

Để chạy các kịch bản lệnh trong một cửa sổ lệnh DB2, sử dụng lệnh:

db2 –tvf scriptname.sql

Các kịch bản bó lệnh (có đuôi .bat) có thể chạy khi gõ tên vào cửa sổ này.

Các hướng dẫn

Đầu tiên, hãy đăng nhập vào hệ thống của bạn bằng userid của người quản trị/

userid gốc, rồi tạo ra các userid sau:

 DB2SEC cho SECADM

 MARK, ALLY, và SAUL sẽ là nhóm quản lý

 ADAM, DEBS, PETE, YANG, MARY, và ANNE

 ROSE, STAN, ALAN, LORI, EVAN, và KLEM

Các userid này không cần có bất kỳ các quyền hành động đặc biệt nào do chúng sẽ

chỉ được sử dụng với cơ sở dữ liệu DB2; Tất cả các quyền ưu tiên và quyền hành

động cần thiết sẽ được phát ra bằng SQL. Bạn cũng cần một nhóm có tên là

Pension_gp. Đặt ROSE vào trong nhóm này. Không thiết lập bất kỳ các quyền hạn

nào cho nhóm. Nếu sử dụng Windows, hãy chắc rằng những người sử dụng trên

không nằm trong nhóm Administrators.