Sicherheitsaspekte spielen für den DB2-Administrator von dem Moment an eine wichtige Rolle, wo das Produkt installiert ist. Das jeweils plattformspezifische Handbuch Einstieg bietet alle Informationen, die zum Planen, Installieren und Konfigurieren von DB2 erforderlich sind.
Für die Schritte zur Ausführung der Installation von DB2 ist ein Benutzername, ein Gruppenname und ein Kennwort erforderlich. Während der Installation hat der Administrator Standardwerte für diese Anforderungen. Nachdem die Standardwerte während der Installation von DB2 verwendet wurden, sollte der Administrator vor der Erstellung von Exemplaren, in denen die Datenbanken angelegt werden, unbedingt neue Benutzernamen, Gruppennamen und Kennwörter erstellen. Die Verwendung neuer Benutzernamen, Gruppennamen und Kennwörter minimiert das Risiko, daß ein anderer Benutzer außer dem Administrator von den Standardwerten erfährt und diese in unzuträglicher Weise in Exemplaren und Datenbanken verwendet.
Eine weitere Empfehlung zur Sicherheit nach der Installation von DB2 ist die Änderung der Standardzugriffsrechte, die Benutzern erteilt sind. Während des Installationsprozesses werden SYSADM-Zugriffsrechte (System Administration) standardmäßig den folgenden Benutzern auf jedem Betriebssystem erteilt:
SYSADM-Zugriffsrechte bilden die umfassendste Gruppe von Zugriffsrechten, die innerhalb von DB2 zur Verfügung steht. (Zugriffsrechte werden später in diesem Kapitel behandelt.) Es ist daher vielleicht nicht sinnvoll, daß alle diese Benutzer über SYSADM-Zugriffsrechte verfügen. DB2 stattet den Administrator mit der Möglichkeit aus, Gruppen und einzelnen Benutzer-IDs Zugriffsrechte zu erteilen und zu entziehen.
Die plattformspezifischen Informationen zur Erstellung und Zuordnung von Gruppen und Benutzer-IDs finden Sie in den verschiedenen Handbüchern Einstieg. Durch Aktualisieren des Parameters SYSADM_GROUP in der Datenbankmanagerkonfiguration kann der Administrator steuern, welche Gruppe als Systemadministratorgruppe mit Systemadministratorberechtigungen definiert ist. Sie müssen die im folgenden dargestellten Richtlinien befolgen, um die Sicherheitsanforderungen für die DB2-Installation und die nachfolgende Erstellung von Exemplaren und Datenbanken zu erfüllen.
Jede Gruppe, die (durch Aktualisieren von SYSADM_GROUP) als Systemadministratorgruppe definiert ist, muß vorhanden sein. Der Name dieser Gruppe sollte eine leichte Erkennung als die Gruppe ermöglichen, die für Exemplareigner erstellt wurde. Die Benutzer-IDs und Gruppen, die dieser Gruppe angehören, verfügen über die Systemadministratorberechtigung für ihre jeweiligen Exemplare.
Es wird empfohlen, eine Benutzer-ID für den Exemplareigner zu erstellen, die als zu einem bestimmten Exemplar gehörig erkannt werden kann. Diese Benutzer-ID sollte als eine ihrer Gruppen den Namen der oben erstellten SYSADM-Gruppe enthalten. Eine weitere Empfehlung ist, daß diese Benutzer-ID des Exemplareigners nur als Mitglied der Exemplareignergruppe und in keiner anderen Gruppe verwendet wird. Dadurch wird die Zunahme der Benutzer-IDs und Gruppen gesteuert, die die Exemplarumgebung ändern können.
Der erstellten Benutzer-ID sollte immer ein Kennwort zugewiesen werden, um eine Authentifizierung vor dem Zugriff auf die Daten und Datenbanken des Exemplars zu ermöglichen. Es wird empfohlen, bei der Erstellung des Kennworts die Kennwortrichtlinien des Unternehmens einzuhalten.
Beim Arbeiten unter Enterprise - Extended Edition für Windows NT kann die Systemadministratorberechtigung (SYSADM) jedem gültigen DB2-Benutzereintrag zugeordnet werden, der zur lokalen Administratorgruppe auf der Maschine gehört, auf der der Benutzereintrag definiert wurde.
Wenn ein Benutzer sich z. B. bei einem Domänenbenutzereintrag anmeldet und versucht, auf eine DB2-Datenbank zuzugreifen, greift DB2 auf den Domänen-Controller zu, um die verfügbaren Gruppen (einschließlich der Administratorgruppe) zu spezifizieren. Sie können diese Funktionsweise auf die beiden folgenden Arten ändern:
Standardmäßig verfügen in einer Domänenumgebung unter Windows NT nur die Domänenbenutzer, die zur Administratorgruppe des PDC (Primary Domain Controller) gehören, über die Berechtigung SYSADM für ein Exemplar. Da DB2 die Vergabe von Berechtigungen immer auf der Maschine ausführt, auf der ein Benutzereintrag definiert wurde, wird einem Domänenbenutzer durch das Hinzufügen zur lokalen Administratorgruppe auf dem Server nicht die Berechtigung SYSADM für die Gruppe erteilt.
Um das Hinzufügen eines Domänenbenutzers zur Administratorgruppe auf dem PDC zu vermeiden, sollten Sie eine globale Gruppe erstellen und sowohl die Domänen- als auch die lokalen Benutzer hinzufügen, denen die Berechtigung SYSADM erteilt werden soll. Geben Sie dazu folgende Befehle ein:
DB2STOP DB2 UPDATE DBM CFG USING SYSADM_GROUP globale_gruppe DB2START
Auf UNIX-gestützten Plattformen muß eine Gruppe für abgeschirmte benutzerdefinierte Funktionen (Fenced UDFs) und für gespeicherte Prozeduren erstellt werden, und alle Benutzer-IDs, die abgeschirmte benutzerdefinierte Funktionen und gespeicherte Prozeduren verwenden, müssen Mitglieder dieser Gruppe sein. Wie auch bei der SYSADM-Gruppe sollte der Name der Gruppe für abgeschirmte benutzerdefinierte Funktionen und gespeicherte Prozeduren eine leichte Identifizierung ermöglichen. Die Benutzer-IDs, die zur Gruppe der abgeschirmten benutzerdefinierten Funktionen und gespeicherten Prozeduren gehören, haben standardmäßig alle Berechtigungen und Zugriffsrechte, die dieser Gruppe zugeordnet werden.
Aus Sicherheitsgründen wird empfohlen, den Exemplarnamen nicht als Namen der Gruppe für abgeschirmte Funktionen (Fenced ID) zu verwenden . Wenn Sie jedoch nicht beabsichtigen, abgeschirmte UDFs oder gespeicherte Prozeduren zu verwenden, können Sie die Fenced ID auf den Exemplarnamen setzen, anstatt eine weitere Benutzer-ID zu erstellen.
Es wird empfohlen, eine Benutzer-ID zu erstellen, die als dieser Gruppe zugeordnet erkannt werden kann. Der Benutzer für abgeschirmte UDFs und gespeicherte Prozeduren wird als Parameter der Prozedur zur Exemplarerstellung angegeben (db2icrt ... -u <AbgeschirmtID>). Dies ist nicht erforderlich, wenn Sie DB2-Clients Application Enabler oder DB2 Software Developer's Kit installieren.
Im folgenden werden die Regeln für die Benennung aller Objekte und Benutzer aufgelistet. Einige dieser Regeln gelten nur für die Plattform, auf der Sie arbeiten. Es gibt zum Beispiel eine Regel für die Verwendung von Groß- und Kleinbuchstaben in einem Namen.
Im Abschnitt Anhang A, Namenskonventionen werden weitere Namenskonventionen aufgeführt.
Der Befehl db2icrt erstellt das Verzeichnis für die Haupt-SQL-Bibliothek (sqllib) unter dem Benutzerverzeichnis des Exemplareigners.