Referencia de comprobación de autorización RACF

Puede utilizar el módulo de control de acceso RACF para realizar la comprobación de autorización de RACF para varios objetos de Db2.

Este tema incluye información sobre la comprobación de autorizaciones de RACF a través del módulo de control de acceso RACF para los siguientes objetos de Db2 :
B
Agrupaciones de almacenamientos intermedios
C
Recopilaciones
D
Bases de datos
E
Tipos diferenciados definidos por el usuario
F
Funciones definidas por el usuario
Inicio del cambioGfin del cambio
Inicio del cambioDesencadenantesfin del cambio
H
Variables globales
J
Archivos Java™ (JAR)
K
Paquetes
L
Funciones
M
Esquemas
N
Contextos fiables
O
Procedimientos almacenados
P
planes de aplicaciones
Q
Secuencias
R
Espacios de tablas
S
Grupos de almacenamiento
T
Tablas
U
Sistemas
V
Vistas

Las secciones que siguen describen la serie de comprobaciones de autorización que se producen en el módulo de control de acceso de RACF para determinar si el usuario solicitante está autorizado a utilizar un privilegio de Db2 en particular contra un tipo de objeto de Db2 concreto. Si alguna de las comprobaciones de autorización de la serie tiene éxito, se concede el privilegio. Para ver ejemplos de procesamiento de autorizaciones en el módulo de control de acceso de RACF, consulte Ejemplos de procesamiento de autorizaciones.

Para realizar comprobaciones de autorización, el módulo de control de acceso de RACF utiliza los valores pasados con los siguientes parámetros para determinar los tipos de objetos y privilegios de Db2 :
XAPLTYPE
Db2 tipo de objeto
XAPLPRIV
Db2 privilegio

Restricción : Las secciones siguientes muestran solo el nombre de cada privilegio de Db2 e pasado con el parámetro XAPLPRIV. El módulo de control de acceso de RACF utiliza un valor numérico XAPLPRIV. Consulte la macro DSNXAPRV de Db2 en prefix.SDSNMACS para encontrar el valor numérico asociado a cada nombre de privilegio de Db2 .

Los formatos de nombre de perfil que se muestran en esta información son aplicables si utiliza un ámbito de subsistema múltiple (&CLASSOPT 2). Si utiliza un ámbito de subsistema único (&CLASSOPT 1), el nombre del recurso no incluye el nombre del subsistema Db2 . Si utiliza el intercambio de datos de Db2 , sustituya Db2-subsistema por Db2-nombre-del-grupo-del-archivo adjunto en los formatos de nombre de perfil que se muestran en este apéndice.

Nota : Tener un privilegio de base de datos en la base de datos DSNDB04 equivale a tener el privilegio en cualquier base de datos implícita. Después de conceder un privilegio, la información de autorización se almacena en caché para volver a comprobarla más rápidamente. Si se especifica el parámetro de sistema AUTHEXIT_CACHEREFRESH y se emiten comandos RACF con el carácter genérico ** o * en los nombres de recursos, es posible que se actualice toda la caché de autorización de la clase correspondiente que se está revocando. En este caso, el rendimiento de la comprobación de autorización podría verse afectado hasta que la caché se reconstruya correctamente.

Inicio del cambioCuando se revoca un privilegio requerido por un paquete en RACF, el paquete no se invalida automáticamente en Db2. Si desea invalidar el paquete o inhabilitarlo, puede utilizar la instrucción SQL GRANT para conceder el privilegio revocado y, a continuación, utilizar la instrucción REVOKE para revocarlo. O bien, puede establecer el parámetro de sistema AUTHEXIT_CACHEREFRESH en ALL. Consulte Paquetes no válidos e inoperativos y AUTH EXIT CACHE REFR (parámetro del subsistema AUTHEXIT_CACHEREFRESH ) para obtener más información.fin del cambio