db2cluster 命令的安全性模型

db2cluster 命令是 Db2® 集群服务的主接口,因此在为 IBM® Db2 pureScale® Feature提供的集群管理器和共享文件系统集群上都起作用。 用户可用的 db2cluster 命令选项取决于用户的权限。

db2cluster 命令的安全性模型而言,一共有 3 个用户组(按每个用户组可能执行的任务类型划分):
  • 在系统上具有用户标识的任何人

    此组中的用户可以使用 db2cluster 命令来报告有关 Db2 pureScale 实例的信息,但不能进行任何更改。

  • SYSADM、SYSCTL 或 SYSMAINT 组

    此组中的用户能够使用 db2cluster 命令来使实例保持启动并运行并在集群管理器上执行一些管理任务。 根据定义,此组中的用户是实例的用户标识、实例所有者的主组的成员或实例所有者的非主组的成员。 DB2 建议使用具有实例所有者的非主组成员资格的用户标识来执行普通日常活动

  • Db2 集群服务 管理员
    此组中的用户不需要访问数据库中的数据;这是用于以下操作的管理角色:
    • Db2Db2 集群服务 部分的安装和配置
    • 维护集群域中的集群实例及维护共享文件系统集群
    Db2 集群服务 管理员角色是有权访问操作系统的 root 用户拥有的用户标识的最终用户; 例如,操作系统管理员。 无论您是使用 Db2 pureScale Feature 还是使用具有集成 HA 的分区数据库环境, Db2 集群服务 都会影响所有集群环境。 因此,数据库上充当 DBADM、SECADM、SQLADM、WLMADM、EXPLAIN、ACCESSCTRL 和 DATAACCESS 之类的角色未提供集群管理的适当权限级别。 Db2 集群服务 管理员可以与 SYSADM , SYSCTL 或 SYSMAINT 组中具有用户标识的人员相同。
    注: 仅因为用户具有 SYSADM 特权,所以不一定表示该用户具有操作系统管理特权。

db2cluster 的集群管理器任务

  • 在系统上具有用户标识的任何人都可使用 -list-verify 选项来检索有关集群域的当前状态的信息。
  • SYSADM , SYSMAINT 或 SYSCTL 组中的用户可以使用 -list-set 选项来查询和更改首选主 集群高速缓存工具 。 此外,这些用户还可以使用 -clear -alert 选项来清除当前实例 (由 DB2INSTANCE 注册表变量定义) 中任何主机, 成员集群高速缓存工具 的警报。 此组中的用户还可创建和删除集群资源并修复集群管理器资源模型;强烈建议只有在 DB2 服务人员的建议下才执行这些任务。
  • Db2 集群服务 管理员可以在集群域中的所有主机上的所有集群实例中执行影响 Db2 集群服务 整体的管理任务。 此用户可使用 -set 选项来执行配置任务(例如,设置仲裁设备和主机故障检测时间)。 此外, Db2 集群服务 管理员还可以执行与维护相关的任务,例如,使用 -enter 选项将主机置于维护方式,或者使用 -commit 选项将更改或更新落实到集群管理器。 此用户还可在集群管理器对等域上执行高级维护操作,例如,创建、删除、启动或停止域以及添加或移除主机;但是,强烈建议只有在 DB2 服务人员建议时才执行这些任务。 某些 DB2® 集群管理命令需要设置 DB2INSTANCE 环境变量。

db2cluster 的共享文件系统任务

  • 在系统上具有用户标识的任何人都可使用 -list-verify 选项来检索有关集群域的当前状态的信息。 这些用户还可使用 db2cluster 命令选项来执行各种文件系统操作,但他们能够执行的操作受常规文件系统许可权约束。 只要运行此命令的用户标识具有要使用的设备的读写所有权,那么该用户就可创建文件系统和添加磁盘。 创建或安装文件系统后,对该文件系统的访问权仅限于创建该文件系统的用户标识以及 Db2 集群服务 管理员,因此只有这些用户才能除去,删除或重新平衡文件系统。 创建它的用户标识或 Db2 集群服务 管理员可以创建可供其他用户访问的目录,就像使用普通文件系统一样。
  • Db2 集群服务 管理员可以在集群域中的所有主机上的所有集群实例中执行影响 Db2 集群服务 整体的管理任务。 此用户可使用 -set 选项来更改仲裁设备的选项。 此外, Db2 集群服务 管理员可以执行与维护相关的任务,例如,使用 -enter 选项将主机置于维护方式,或者使用 -commit 选项将更改或更新落实到共享文件系统。 此用户还可在共享文件系统集群上执行高级维护操作,例如,创建、删除、启动或停止域以及添加或移除主机;但是,强烈建议只有在 DB2 服务人员建议时才执行这些任务。