SAF (Security Access Facility) e autorizzazione Db2
DB2® supporta due approcci all'autorizzazione di sicurezza:
- Istruzioni SQL GRANT e REVOKE, l'implementazione originale del controllo accessi in DB2
- DB2 Access Control Module (ACM), un metodo più recente per centralizzare il controllo degli accessi alle risorse DB2 all'interno di una struttura comune RACF®, ACF2, TopSecret, ecc.).
Ogni spazio di indirizzo che esegue programmi su un sistema z/OS® deve farlo sotto il controllo di un identificativo di sicurezza. Il processo di installazione richiede che tale identificativo di sicurezza sia assegnato per essere utilizzato dallo spazio di indirizzo CDC Replication Engine for Db2® for z/OS . È sotto questo identificativo di sicurezza che si verificherà l'accesso alle risorse Db2 da parte di CDC Replication . All'identificativo di sicurezza dello spazio di indirizzo CDC Replication Engine per Db2 for z/OS viene concessa l'autorizzazione SYSCTRL durante l'installazione. Questa concessione fornisce allo spazio di indirizzo del motore la possibilità di accedere alle tabelle del catalogo Db2 .
Per stabilire una connessione di amministrazione con un motore di replica CDC Replication Engine per Db2 for z/OS , è necessario specificare parametri di accesso che includano un identificativo utente valido. Per motivi di sicurezza, l'identificativo utente deve essere creato dall'amministratore di sistema tramite un prodotto di gestione della sicurezza conforme a SAF. Quando un utente della Management Console si collega a un motore di CDC Replication, l'identificativo dell'utente e la password vengono convalidati mediante una chiamata SAF (che interroga RACF, TopSecret, e così via). Quando l'utente supera la convalida, l'identificativo primario dell'utente (identificativo di sicurezza) e gli identificatori secondari (gruppi connessi) vengono utilizzati per stabilire se l'utente può accedere a una risorsa Db2 al livello richiesto per eseguire un'azione specifica. Questo identificativo utente viene utilizzato per controllare l'accesso alle tabelle dell'applicazione che vengono create come oggetti di replica dalle azioni di gestione. Questo identificativo utente è l'identificativo di sicurezza del motore di replica CDC Replication .
A seconda dell'approccio all'autorizzazione di sicurezza scelto per DB2, CDC Replication Engine for Db2 for z/OS utilizzerà lo stesso approccio per convalidare l'accesso di CDC Replication alle risorse DB2 a cui sta tentando di accedere. Se GRANT o REVOKE viene utilizzato da DB2, CDC Replication Engine for Db2 for z/OS interroga le tabelle di autorizzazioni DB2 per verificare se CDC Replication dispone dell'accesso al livello appropriato alle risorse DB2 . Se è installato DB2 ACM, CDC Replication Engine for Db2 for z/OS richiamerà l'ACM installato per la convalida dell'autorizzazione invece di interrogare le tabelle di autorizzazione DB2 .
Una volta che l'accesso alle risorse DB2 al livello richiesto è stato convalidato per l'identificativo di sicurezza del motore di replica CDC Replication , l'accesso effettivo avviene sotto l'autorità dello spazio di indirizzo CDC Replication Engine for Db2 for z/OS . Ciò significa che sarà necessario autorizzare l'accesso alle risorse DB2 al livello appropriato per l'identificativo di sicurezza CDC Replication Engine for Db2 for z/OS per quelle risorse a cui il motore di replica CDC Replication Engine for Db2 for z/OS accederà. Generalmente, ciò viene effettuato autorizzando l'autorizzazione DBADM sui database contenenti le risorse coinvolte nell'identificativo di sicurezza CDC Replication Engine for Db2 for z/OS .
Per questo motivo, all'identificativo utente utilizzato per accedere a Replica CDC devono essere assegnati i privilegi e le autorizzazioni del database appropriati per eseguire le operazioni di sottoscrizione e tabella comuni in Console di gestione. La seguente tabella identifica le operazioni di sottoscrizione e di tabella comuni della Console di gestione che possono essere eseguite con diversi livelli di autorizzazione e privilegi.
| Funzione | SYSADM | SYSCTRL | DBADM | CREA AUTENTICAZIONE | SELECT | INSERISCI, AGGIORNA, ELIMINA |
|---|---|---|---|---|---|---|
| Aggiunta di tabelle | ✓ | X | ✓ | X | ✓ | X |
| Visualizzazione delle sottoscrizioni | ✓ | X | ✓ | X | ✓ | ✓ |
| Assegnazione di tabelle | ✓ | X | ✓ | X | X | ✓ |
| Creazione di tabelle di sottoscrizione | ✓ | ✓ | ✓ | ✓ | X | X |
- L'autorità SYSADM concede i privilegi database completi all'identificativo utente z/OS . Consente all'identificativo di utilizzare tutte le sottoscrizioni e le tabelle accessibili tramite il motore di replica.
- L'autorizzazione DBADM si applica solo a un singolo database. Se una sottoscrizione contiene una o più tabelle che risiedono in un database differente e l'identificativo utente di z/OS non dispone dell'autorità per gestire le tabelle, la sottoscrizione non verrà presentata tramite Console di gestione.
- I privilegi INSERT, UPDATE e DELETE devono essere tutti concessi all'identificativo utente di z/OS per eseguire le operazioni Console di gestione supportate indicate per i privilegi nella tabella precedente.
Se non è possibile eseguire le operazioni necessarie con l'identificativo utente z/OS specificato come parametro di accesso, consultare l'amministratore di sistema per determinare l'autorizzazione del database o i privilegi attualmente concessi all'identificativo utente.