只是想了解大家在具有用户组的多节点 db2 集群上管理用户/身份验证的经验和看法。我有 17 个应用程序在生产中(基于项目的公司,只有 2 个在线应用程序),以及 7 个组的大约 30 个用户。
- prodsel – 对所有表具有选择权限的组
- produpdt-更新选择性表上的组(根据应用程序的要求)
- proddel-删除
- prodins-插入组的权限
现在,我公司的做法是,当某个应用程序使用某个用户(称为 app1user)并需要在表上选择和插入权限时,他们 1. 分别授予 prodsel、prodins 选择和插入权限 2. 将用户添加到这两个组下...现在,这会在用户和权限之间创建一对多关系,并且此 app1user 还会获得授予 prodsel 组的其他表上的选择权限。我知道这是错的。在我解释之前,我需要知道其他地方是如何做到这一点的。请分享您的经验,即使您使用其他使用操作系统级别身份验证的数据库。
答案1
干净的方法是每个应用程序只拥有用户。如果两个应用程序本质上是一个系统,则可以在应用程序之间共享用户。例如,如果所有应用程序都是营销系统的一部分,则可以共享用户。如果某些应用程序是营销解决方案的一部分,而其他应用程序是人力资源系统的一部分,那么绝对不要共享用户帐户/组。
用户权限越少,副作用和安全漏洞的可能性就越小。许多(如果不是大多数)安全漏洞都源自内部。
答案2
对我来说,创建以权利命名的团体听起来很奇怪。
我将创建代表应用程序或典型角色配置文件的组。
假设数据库称为 DB,应用程序称为 APP,我们将一个角色称为 EDITOR,另一个角色称为 READER。在这种情况下,我将添加组
- 数据库应用程序
- 数据库读取器
- 数据库编辑器
拥有完成任务所需的所有必要权利。