访问策略和通信安全性

文本搜索服务器的文件访问注意事项

文本服务器进程的进程所有者要求对配置数据和所有收集数据（包括位于定制集合目录中的集合）具有读写访问权。

对于集成式文本服务器，进程所有者是实例所有者，对于独立文本服务器，进程所有者是使用 startup 命令启动文本服务器的用户。

集合可能包括在直接打开文件时可部分读取的机密数据。 为防止未经授权的访问，请检查并更新对配置和集合目录的访问许可权，以确保只有文本服务器的进程所有者才能访问这些文件。

登台表访问策略

要标识需要应用于文本索引的更改，系统会将已修改的行的主键（插入、更新和删除）插入到登台表中。

主键可能基于包含机密数据的基本表的数据列。 默认情况下，具有 SYSTS_ADM 和 SYSTS_MGR 角色的用户以及具有 SYSTS_USR 角色（存在一些限制）的用户需至少具有对登台表内容的读访问权。 对于登台表，不会继承基本表的访问和审计策略。 如果需要对特定登台表的访问权进行进一步限制，安全管理员需要撤销角色对特定表的读特权，并将其授予将要管理特定文本索引的用户或定制角色。

独立设置

Db2®例使用TCP/IP与独立 Db2进行通信。 SSL 或 IBM Global Security Kit (GSKit) 支持不可用，但是可以通过 stunnel 程序或 SSH 隧道使用加密通道。 根据自身的安全要求来限制对文档存储库和文本搜索索引文件的访问。 独立文本搜索服务器必须安装在具有安全网络连接的计算机上的防火墙后面，以防止对文本搜索索引的未经授权的访问。 对独立文本搜索服务器设置 TCP/IP 访问限制可确保只能由安装了数据库服务器的主机访问。