Come vengono confrontate le etichette di sicurezza LBAC

Quando tenti di accedere ai dati protetti da LBAC (label - based access control), le credenziali LBAC vengono confrontate con una o più etichette di sicurezza per vedere se l'accesso è bloccato. Le tue credenziali LBAC sono tutte le etichette di sicurezza che hai in mano e tutte le esenzioni che hai in mano.

Ci sono solo due tipi di confronto che possono essere effettuati. Le credenziali LBAC possono essere confrontate con una singola etichetta di sicurezza per l'accesso in lettura o le credenziali LBAC rispetto a una singola etichetta di sicurezza per l'accesso in scrittura. L'aggiornamento e l'eliminazione vengono considerati come una lettura seguita da una scrittura. Quando un'operazione richiede più confronti, ognuno di essi viene eseguito separatamente.

Quale delle tue etichette di sicurezza viene utilizzata

Anche se è possibile conservare più etichette di sicurezza, solo una viene confrontata con l'etichetta di sicurezza di protezione. L'etichetta utilizzata è quella che soddisfa questi criteri:
  • Fa parte della politica di sicurezza che protegge la tabella a cui si accede.
  • È stato concesso per il tipo di accesso (lettura o scrittura).

Se non si dispone di un'etichetta di protezione che soddisfi questi criteri, si presume che un'etichetta di sicurezza predefinita abbia valori vuoti per tutti i componenti.

Come viene effettuato il confronto

Le etichette di sicurezza vengono confrontate componente per componente. Se un'etichetta di sicurezza non ha un valore per uno dei componenti, viene assunto un valore vuoto. Quando ogni componente viene esaminato, le regole appropriate della serie di regole LBAC vengono utilizzate per decidere se gli elementi nel valore per tale componente devono essere bloccati dagli elementi nel valore per lo stesso componente nell'etichetta di protezione. Se uno qualsiasi dei valori è bloccato, le credenziali LBAC vengono bloccate dall'etichetta di sicurezza di protezione.

La serie di regole LBAC utilizzata nel confronto è designata nella politica di sicurezza. Per scoprire quali sono le regole e quando ciascuna viene utilizzata, consultare la descrizione di tale serie di regole.

In che modo le esenzioni influenzano i confronti

Se si dispone di un'esenzione per la regola utilizzata per confrontare due valori, tale confronto non viene eseguito e si presuppone che il valore di protezione non blocchi il valore nell'etichetta di protezione.

Esempio: la serie di regole LBAC è DB2LBACRULES e la politica di sicurezza ha due componenti. Un componente è di tipo ARRAY e l'altro di tipo TREE. All'utente è stata concessa un'esenzione per la regola DB2LBACREADTREE, che è la regola utilizzata per l'accesso in lettura durante il confronto dei valori dei componenti di tipo TREE. Se l'utente tenta di leggere i dati protetti, qualsiasi valore l'utente abbia per il componente TREE, anche se è un valore vuoto, non bloccherà l'accesso perché tale regola non viene utilizzata. Se l'utente può leggere i dati dipende interamente dai valori del componente ARRAY delle etichette.