|
|
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Подскажите пожалуйста как настроить доменную авторизацию в DB2? Сервер DB2 9.7 на Windows 2008 Server. Сервер - участник домена AD В идеале хотел добавлять доменных пользователей в локальную группу на сервере, а группам давать права на базы. Как это можно реализовать, я попробовал но не работает. Определяет только локальных пользователей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 10:24 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, db2set DB2_GRP_LOOKUP=local db2stop db2start Сервис DB2 должен быть запущен от доменного пользователя. Проверить в какие группы входит пользователь можно запросом: Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 11:20 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, спасибо за ответ. DB2 запускается от доменного пользователя. Выполнил все действия, при выполнении запроса пишет следующее: приложил картинку. Авторизация не заработала. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 11:37 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Наверное, у вас в CURRENT PATH нет схемы SYSPROC. Тогда так: Код: plaintext Naming conventions The following conventions apply when naming user IDs and authentication IDs Character strings that represent names of database manager objects can contain any of the following: a-z, A-Z, 0-9, @, #, and $. User IDs and groups may also contain any of the following additional characters when supported by the security plug-in: _, !, %, (, ), {, }, -, ., ‸. User IDs and groups containing any of the following characters must be delimited with quotations when entered through the command line processor: !, %, (, ), {, }, -, ., ‸, The first character in the string must be an alphabetic character, @, #, or $; it cannot be a number or the letter sequences SYS, DBM, or IBM. Authentication IDs cannot exceed 128 bytes in length. Group IDs cannot exceed 128 bytes in length. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 12:01 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, К сожалению, результат тот же. имя пользователя несовместимых символов не содержит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 12:10 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosК сожалению, результат тот же.Если вы про то, что нет такой функции, то это не нормально. Такие вещи бывают, если вы играетесь с системным временем. Что выдаёт: db2 "select versionnumber, version_timestamp, current timestamp from sysibm.sysversions" vitabiosимя пользователя несовместимых символов не содержит. Имя пользователя начинается не на "alphabetic character, @, #, or $". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 12:25 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Возможно забыли сделать db2updv97? Но вообще, уж коли хотите взять на себя этот гемо... эту заботу, за пользователями следить, используйте лучше роли. Так оно будет как минимум переносимей. Роль, в свою очередь, выдавайте хоть группам (доменным), хоть пользователям. В противном случае как только у вас добавится HADR, кластеризация, да просто cold standby (да даже без готового standby, просто восстановление системы после умершей машины, если это не резервируемая виртуалка), у вас возникнет проблема синхронизации/восстановления созданных групп. Второй вариант развития событий - смените платформу на ту, где уже не будете локальными админом, опять таки придётся бегать к кому-то с просьбами создать/изменить группу (чего вы, видимо, хотите избежать, перейдя на использование локальных групп). Но самое правильное - заставить бегать к AD админам _пользователей_. Вводите административным образом правило - права раздаются _только_ на доменные группы (люди увольняются, приходят, в AD это кто-то штатным образом менеджит; права, выданные на доменную группу, перерасспределяются автоматически) и специализированные сервисные аккаунты для приложений. Всё, работа с пользователями не ваша забота. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:01 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, имя пользователя начинается с цифры. Результат прикладываю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:01 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Надо: AUTH_LIST_GROUPS_FOR_AUTHID а не: AUTH_LIST_GROUPS_FOR_AUHTID ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:29 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Извините, опечатался по невнимательности. Написало что 0 записей выбрано. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:48 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosНаписало что 0 записей выбрано. Это значит, что несмотря на указание проверять вхождение пользователя в локальные группы (db2set DB2_GRP_LOOKUP=local), DB2 считает, что этот пользователь 08-100-0812 не входит ни в одну из них. 1. Вы этим пользователем с указанием его пароля можете войти в базу? 2. Нет ли локального пользователя с таким же именем? 3. Вы можете взять какого-нибудь другого доменного пользователя с нормальным именем и проверить запросом его группы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:56 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, 1. не могу. Т.е. на уделенном компе через ODBC источник данных не могу. пишет неверный пароль. А если на сервер с этим пользователем зайти и запустить ЦУ - таблицы показывает, а выбрать ничего не дает. Группе в которой состоит пользователь дал "Полномочия администратора баз данных" 2. проверил только что - нет 3. они у меня все такие. Нормально авторизуется только пользователь буквенный, от которого запущена DB2 (он доменный) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:22 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
CawaSPb, спасибо за совет, но административно уже все решили без меня и от меня это не зависит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:23 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Заметил что если доменному пользователю дать полномочия в базе - работает. А вот идентифицировать пользователя, который в группе, а группе предоставлены права к базе - так не хочет! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:46 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosЗаметил что если доменному пользователю дать полномочия в базе - работает. А вот идентифицировать пользователя, который в группе, а группе предоставлены права к базе - так не хочет!У вас проблема, похоже, в том, что имя пользователя не удовлетворяет требованиям - начинается с цифры. Поэтому оно не хочет пускать такого пользователя при явном указании его имени и пароля, а пускает только, если пользователь зашел локально в ОС под этим пользователем (оно тогда не проверяет имя и пароль). Запрос показывает локальные группы пользователя DB2ADMIN? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:56 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Если вы о том который вначале выполнял - возвращает 0 записей выбрано ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 15:15 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosЕсли вы о том который вначале выполнял - возвращает 0 записей выбраноА он (DB2ADMIN) при этом входит в какую-то локальную группу? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 15:58 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, DB2DAS00 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 16:28 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
DB2ADMIN недопустимо в контексте, где оно используется ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 16:48 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Если: - сервис DB2 запускается от доменного пользователя DB2ADMIN - доменный пользователь DB2ADMIN входит в локальные админы и в какую-то локальную группу, имеет возможность проверять пароль доменных пользователей и их принадлежность к группам - сделано: db2set DB2_GRP_LOOKUP=local db2stop db2start и при этом запрос на проверку групп доменного пользователя DB2ADMIN: Код: plaintext У меня есть тестовая система, но я не могу воспроизвести такую ситуацию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 17:02 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, у меня доменный не db2admin а по другому называется. admin_backup ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 17:44 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
доменный пользователь админ в домене, нужно его добавить в локальную группу администраторы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 17:46 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosу меня доменный не db2admin а по другому называется. admin_backupНе важно, как он называется. Надо, чтобы у этого пользователя были права: Required user accounts for installation of DB2 server products (Windows) где указано, что "DB2 instance user account" должен входить в локальные админы (+ дополнительные права). Проверьте, есть ли у этого вашего доменного пользователя такие права на локальном сервере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 18:39 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, да, есть C:\Users\db2admin>db2level DB21085I Этот экземпляр или установка (имя экземпляра, если есть: "DB2") используют "64"-битную версию и выпуск кода DB2 "SQL09077" с идентификатором уровня "08080107". Информационные элементы суть "DB2 v9.7.700.552", "s121002", "IP23369", а также пакет FixPack "7". Продукт установлен в "C:\PROGRA~1\IBM\SQLLIB", имя копии DB2 - "DB2COPY1". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 18:53 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosMark Barinstein, Заметил что если доменному пользователю дать полномочия в базе - работает. А вот идентифицировать пользователя, который в группе, а группе предоставлены права к базе - так не хочет! Натолкнулся на то же. Сервер ввели в домен. DB2 запускается от локального админа db2admin. Имена пользователей в домене начинаются с цифр. Завожу на сервере локальную группу даю ей необходимые права , ввожу доменного пользователя - даже не даёт коннекта к базе сделать, нет прав. Если даю права доменному пользователю GRANT CONNECT ON DATABASE TO USER "1111111-111" ; то всё нормально. Не хотелось бы терять возможность групповой авторизации. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 12:23 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
mahaon2000, Если вы хотите, чтобы DB2 проверяла вхождение доменных пользователей в локальные группы, то вы должны были сделать: db2set DB2_GRP_LOOKUP=local db2stop db2start Вы это сделали? Что возвращает запрос ниже? SELECT GROUP FROM TABLE(AUTH_LIST_GROUPS_FOR_AUTHID('1111111-111')) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 13:19 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark BarinsteinЕсли вы хотите, чтобы DB2 проверяла вхождение доменных пользователей в локальные группы, то вы должны были сделать: db2set DB2_GRP_LOOKUP=local db2stop db2start Вы это сделали? Нет. Полагал что по умолчанию берутся локальные группы. Спасибо. Что возвращает запрос ниже? SELECT GROUP FROM TABLE(AUTH_LIST_GROUPS_FOR_AUTHID('1111111-111')) Ничего конечно. Сейчас DB2_GRP_LOOKUP выставлю и посмотрю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 13:41 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Увы не помогло. Запрос всё так же возвращает пустоту. db2 v 9.7 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 13:49 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
mahaon2000, Пользователь, от которого запускается сервис экземпляра db2 - доменный? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 14:09 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
локальный ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 14:12 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
mahaon2000, Переделайте на доменного - у локального может не быть необходимых прав. Поместите доменного в те же локальные группы, что и локальный, и выполните db2iupdt с ним: http://www.ibm.com/support/knowledgecenter/SSEPGG_9.7.0/com.ibm.db2.luw.admin.cmd.doc/doc/r0002060.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 20:27 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Ясно, спасибо, но по некоторым соображениям хотелось бы оставить локального. Тут другое дело, я в непонятках. Читаем: Windows Имена могут быть в верхнем, нижнем или смешанном регистре. Если не указано иное, все имена могут включать следующие символы: Буквы от A до Z. В большинстве имен символы от A до Z преобразуются из строчных в прописные. Цифры от 0 до 9. ! % ( ) { } . - ^ ~ _ (подчеркивание) @, #, $ и пробел. \ (обратная дробная черта). У нас же пользователи имеют формат XXXXXX-XXXX где X - цифра. То есть, начинаются с цифры - раз, имеют неразрешенный символ дефис - два. И всё равно система работает! Это как? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.01.2017, 21:11 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
mahaon2000, А что, для любого другого доменного пользователя с именем, начинающимся на букву, эта функция показывает список групп? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 10:30 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinsteinmahaon2000, А что, для любого другого доменного пользователя с именем, начинающимся на букву, эта функция показывает список групп? Нет. Сегодня специально завёл такого доменного буквенного пользователя, ввел в локальную группу, запрос вернул пустоту, и коннект к базе не прошел. (хотя у группы есть.) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 12:11 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, А, скажите, если работает такой селект SELECT GROUP FROM TABLE(AUTH_LIST_GROUPS_FOR_AUTHID('1111111-111')) то нет ли способа в этот грубо говоря AUTH_LIST_GROUPS ввести нужного пользователя? Процедурой или инсертом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 12:14 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
mahaon2000, Проблема, скорее всего, в следующем. Локальный пользователь (из-под которого стартует сервис DB2) может проверять пароль доменного, но не может проверять вхождение его в группы. Поэтому у вас выданные напрямую права доменному работают, а через группу - нет. Поэтому, надо бы попробовать запустить сервис из-под доменного с правами проверки вхождения в группы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 12:52 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinsteinmahaon2000, Поэтому, надо бы попробовать запустить сервис из-под доменного с правами проверки вхождения в группы. Это, скорее всего, сработает. Даже вроде как кто-то в какой-то теме эту проблему именно так после Вашего совета решил. Видимо так и сделаю. Но почему работают пользователи с двойным нарушением правила наименования?! База даже нигде не ругается, как так и надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 13:05 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
mahaon2000Но почему работают пользователи с двойным нарушением правила наименования?! База даже нигде не ругается, как так и надо. General naming rules User, user ID and group naming rules Про символ '-' на windows не сказано, что он запрещен. Кроме того, он есть в General naming rules. Есть, правда, предостережение: Restrictions Do not begin names with a number or with the underscore character. но на Windows оно не должно, по-моему, препятствовать для имен пользователей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 14:49 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
[quot Mark Barinstein]mahaon2000Про символ '-' на windows не сказано, что он запрещен. Restrictions Do not begin names with a number or with the underscore character. но на Windows оно не должно, по-моему, препятствовать для имен пользователей. Да, символ "-" разрешен, я ошибся. Но с цифр и подчеркивания вроде как нельзя нельзя, а работает. http://www.ibm.com/support/knowledgecenter/ru/SSEPGG_9.1.0/com.ibm.db2.udb.admin.doc/doc/c0007245.htm ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.01.2017, 15:08 |
|
||
|
|
start [/forum/moderation_log.php?user_name=fandjru2]: |
0ms |
get settings: |
10ms |
get forum list: |
12ms |
get settings: |
9ms |
get forum list: |
10ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
49ms |
get topic data: |
7ms |
get forum data: |
2ms |
get page messages: |
54ms |
get tp. blocked users: |
1ms |
| others: | 438ms |
| total: | 598ms |
| 0 / 0 |
