授权用户访问 Db2 中的资源

有关设置 RACF 以在 Db2 地址空间中执行安全性检查的更多信息，请参阅 Db2 for z/OS 产品文档中的 "保护 Db2 "。

如果要将 RACF 用于 Db2 地址空间中的部分或全部安全性检查，请记住，登录到 Db2 的 CICS 事务必须提供授权标识。 有关更多信息，请参阅 向 Db2 for CICS 事务提供授权标识。 CICS 还必须使用 RACF (必须在 SIT 中指定 SEC=YES)。 这是因为当 RACF 用于 Db2 地址空间中的安全性检查时， CICS 需要将 RACF 访问控制环境元素 (ACEE) 传递到 Db2。 仅当 ACEE 具有 RACF 活动时， CICS 才能生成 ACEE ，并且只有使用 GROUP ， SIGN 或 USERID 选项定义的线程才能将 ACEE 传递到 Db2。

当 ACEE 传递到 Db2时，它由 Db2 exit DSNX@XAC使用，这将确定是使用 RACF还是等效的非IBM® 外部安全性管理器，还是使用 Db2 内部安全性进行安全性检查。 当其线程已登录到 Db2的事务发出 API 请求时，会驱动 DSNX@XAC 。 您可以修改 DSNX@XAC. 有关更多信息，请参阅 Db2 for z/OS 产品文档中的 "保护 Db2 "。

Db2或外部安全性管理器使用 CICS 事务在其使用的线程登录到 Db2时提供给 Db2 的授权标识来执行安全性检查。 授权标识可以与单个 CICS 用户 (例如， CICS 用户的用户标识和用户所连接的 RACF 组) 相关，也可以与事务 (例如，终端标识或事务标识) 相关，也可以与整个 CICS 区域相关。 有关更多信息，请参阅 针对 CICS 区域和 CICS 事务向 Db2 提供授权标识。

Db2或外部安全管理器将检查您是否授予了授权标识许可权以在 Db2中执行相关操作。 您可以使用 Db2中的 GRANT 语句来授予授权标识此许可权。 有关如何授予和撤销授权标识的 Db2 许可权的信息，请参阅 Db2 for z/OS 产品文档中的 "保护 Db2 "。