Vor dem Zugriff auf Informationen im LDAP-Verzeichnis wird eine Anwendung oder ein Benutzer vom LDAP-Server authentifiziert. Die Authentifizierung wird Binden an den LDAP-Server genannt.
Für die im LDAP-Verzeichnis gespeicherten Informationen muß Zugriffssteuerung angewendet werden, um zu verhindern, daß anonyme Benutzer die Informationen löschen, ändern oder Informationen hinzufügen.
Die Zugriffssteuerung wird standardmäßig übernommen und kann auf Behälterebene angewendet werden. Wenn ein neues Objekt erstellt wird, übernimmt es dasselbe Sicherheitsattribut wie das Elternobjekt. Ein für den LDAP-Server verfügbares Verwaltungs-Tool kann zum Definieren der Zugriffssteuerung für das Behälterobjekt verwendet werden.
Standardmäßig wird die Zugriffssteuerung wie folgt definiert:
Anmerkung: | Die Berechtigungsprüfung wird immer vom LDAP-Server und nicht von DB2 durchgeführt. Die LDAP-Berechtigungsprüfung ist unabhängig von der DB2-Berechtigung. Ein Konto oder eine Berechtigungs-ID mit der Berechtigung SYSADM hat möglicherweise keinen Zugriff auf das LDAP-Verzeichnis. |
Wird bei der Ausführung der LDAP-Befehle oder -APIs kein registrierter Bindenamen (bindDN) und kein Kennwort angegeben, führt DB2 eine Bindeoperation mit dem LDAP-Server durch und verwendet hierbei die Standardidentitätsnachweise, denen möglicherweise nicht die ausreichenden Berechtigungen zur Ausführung der angeforderten Befehle zugeordnet wurden. In diesem Fall wird ein Fehler zurückgegeben.
Sie können den registrierten Bindenamen (bindDN) und das Kennwort eines Benutzers mit den Klauseln USER und PASSWORD der DB2-Befehle und -APIs explizit angeben. Weitere Informationen zu DB2-Befehlen finden Sie im Handbuch Command Reference, weitere Informationen zu DB2-APIs enthält das Handbuch Administrative API Reference.
Die DB2-Datenbank- und -Knotenobjekte werden unter dem Computerobjekt der Maschine erstellt, auf der der DB2-Server im Windows 2000 Active Directory installiert ist. Zum Registrieren eines Datenbank-Servers oder Katalogisieren im Windows 2000 Active Directory müssen Sie über ausreichende Zugriffsberechtigungen zum Erstellen und/oder Aktualisieren der Objekte verfügen, die unter dem Computerobjekt gespeichert sind.
Standardmäßig können die unter einem Computerobjekt gespeicherten Objekte von allen authentifizierten Benutzern gelesen und von den zugehörigen Administratoren (d. h. Benutzern, die zur Administrator-, Domänenadministrator- und Unternehmensadministratorgruppe gehören) aktualisiert werden. Um einem bestimmten Benutzer bzw. einer bestimmten Gruppe Zugriffsberechtigungen zu erteilen, verwenden Sie die Microsoft Management Console (MMC) für Active Directory Users and Computer folgendermaßen:
(Start--> Program--> Administration Tools--> Active Directory Users and Computer)
Die DB2-Variablen der Profilregistrierdatenbank und CLI-Einstellungen auf Benutzerebene werden im DB2-Merkmalsobjekt unter dem Benutzerobjekt verwaltet. Um die DB2-Variablen der Profilregistrierdatenbank oder CLI-Einstellungen auf Benutzerebene zu definieren, muß ein Benutzer über ausreichende Zugriffsberechtigungen verfügen, um Objekte unter dem Benutzerobjekt zu erstellen.
Standardmäßig verfügen nur Administratoren über die Zugriffsberechtigung zum Erstellen von Objekten unter dem Benutzerobjekt. Um einem Benutzer die Zugriffsberechtigung zum Definieren von DB2-Variablen der Profilregistrierdatenbank oder CLI-Einstellungen auf Benutzerebene zu erteilen, können Sie die Microsoft Management Console (MMC) für Active Directory Users and Computer folgendermaßen verwenden:
(Start--> Program--> Administration Tools--> Active Directory Users and Computer)