|
|
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Подскажите пожалуйста как настроить доменную авторизацию в DB2? Сервер DB2 9.7 на Windows 2008 Server. Сервер - участник домена AD В идеале хотел добавлять доменных пользователей в локальную группу на сервере, а группам давать права на базы. Как это можно реализовать, я попробовал но не работает. Определяет только локальных пользователей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 10:24 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, db2set DB2_GRP_LOOKUP=local db2stop db2start Сервис DB2 должен быть запущен от доменного пользователя. Проверить в какие группы входит пользователь можно запросом: Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 11:20 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, спасибо за ответ. DB2 запускается от доменного пользователя. Выполнил все действия, при выполнении запроса пишет следующее: приложил картинку. Авторизация не заработала. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 11:37 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Наверное, у вас в CURRENT PATH нет схемы SYSPROC. Тогда так: Код: plaintext Naming conventions The following conventions apply when naming user IDs and authentication IDs Character strings that represent names of database manager objects can contain any of the following: a-z, A-Z, 0-9, @, #, and $. User IDs and groups may also contain any of the following additional characters when supported by the security plug-in: _, !, %, (, ), {, }, -, ., ‸. User IDs and groups containing any of the following characters must be delimited with quotations when entered through the command line processor: !, %, (, ), {, }, -, ., ‸, The first character in the string must be an alphabetic character, @, #, or $; it cannot be a number or the letter sequences SYS, DBM, or IBM. Authentication IDs cannot exceed 128 bytes in length. Group IDs cannot exceed 128 bytes in length. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 12:01 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, К сожалению, результат тот же. имя пользователя несовместимых символов не содержит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 12:10 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosК сожалению, результат тот же.Если вы про то, что нет такой функции, то это не нормально. Такие вещи бывают, если вы играетесь с системным временем. Что выдаёт: db2 "select versionnumber, version_timestamp, current timestamp from sysibm.sysversions" vitabiosимя пользователя несовместимых символов не содержит. Имя пользователя начинается не на "alphabetic character, @, #, or $". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 12:25 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Возможно забыли сделать db2updv97? Но вообще, уж коли хотите взять на себя этот гемо... эту заботу, за пользователями следить, используйте лучше роли. Так оно будет как минимум переносимей. Роль, в свою очередь, выдавайте хоть группам (доменным), хоть пользователям. В противном случае как только у вас добавится HADR, кластеризация, да просто cold standby (да даже без готового standby, просто восстановление системы после умершей машины, если это не резервируемая виртуалка), у вас возникнет проблема синхронизации/восстановления созданных групп. Второй вариант развития событий - смените платформу на ту, где уже не будете локальными админом, опять таки придётся бегать к кому-то с просьбами создать/изменить группу (чего вы, видимо, хотите избежать, перейдя на использование локальных групп). Но самое правильное - заставить бегать к AD админам _пользователей_. Вводите административным образом правило - права раздаются _только_ на доменные группы (люди увольняются, приходят, в AD это кто-то штатным образом менеджит; права, выданные на доменную группу, перерасспределяются автоматически) и специализированные сервисные аккаунты для приложений. Всё, работа с пользователями не ваша забота. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:01 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, имя пользователя начинается с цифры. Результат прикладываю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:01 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Надо: AUTH_LIST_GROUPS_FOR_AUTHID а не: AUTH_LIST_GROUPS_FOR_AUHTID ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:29 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Извините, опечатался по невнимательности. Написало что 0 записей выбрано. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:48 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosНаписало что 0 записей выбрано. Это значит, что несмотря на указание проверять вхождение пользователя в локальные группы (db2set DB2_GRP_LOOKUP=local), DB2 считает, что этот пользователь 08-100-0812 не входит ни в одну из них. 1. Вы этим пользователем с указанием его пароля можете войти в базу? 2. Нет ли локального пользователя с таким же именем? 3. Вы можете взять какого-нибудь другого доменного пользователя с нормальным именем и проверить запросом его группы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 13:56 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, 1. не могу. Т.е. на уделенном компе через ODBC источник данных не могу. пишет неверный пароль. А если на сервер с этим пользователем зайти и запустить ЦУ - таблицы показывает, а выбрать ничего не дает. Группе в которой состоит пользователь дал "Полномочия администратора баз данных" 2. проверил только что - нет 3. они у меня все такие. Нормально авторизуется только пользователь буквенный, от которого запущена DB2 (он доменный) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:22 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
CawaSPb, спасибо за совет, но административно уже все решили без меня и от меня это не зависит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:23 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Заметил что если доменному пользователю дать полномочия в базе - работает. А вот идентифицировать пользователя, который в группе, а группе предоставлены права к базе - так не хочет! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:46 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosЗаметил что если доменному пользователю дать полномочия в базе - работает. А вот идентифицировать пользователя, который в группе, а группе предоставлены права к базе - так не хочет!У вас проблема, похоже, в том, что имя пользователя не удовлетворяет требованиям - начинается с цифры. Поэтому оно не хочет пускать такого пользователя при явном указании его имени и пароля, а пускает только, если пользователь зашел локально в ОС под этим пользователем (оно тогда не проверяет имя и пароль). Запрос показывает локальные группы пользователя DB2ADMIN? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 14:56 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Если вы о том который вначале выполнял - возвращает 0 записей выбрано ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 15:15 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosЕсли вы о том который вначале выполнял - возвращает 0 записей выбраноА он (DB2ADMIN) при этом входит в какую-то локальную группу? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 15:58 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, DB2DAS00 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 16:28 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
DB2ADMIN недопустимо в контексте, где оно используется ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 16:48 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabios, Если: - сервис DB2 запускается от доменного пользователя DB2ADMIN - доменный пользователь DB2ADMIN входит в локальные админы и в какую-то локальную группу, имеет возможность проверять пароль доменных пользователей и их принадлежность к группам - сделано: db2set DB2_GRP_LOOKUP=local db2stop db2start и при этом запрос на проверку групп доменного пользователя DB2ADMIN: Код: plaintext У меня есть тестовая система, но я не могу воспроизвести такую ситуацию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 17:02 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, у меня доменный не db2admin а по другому называется. admin_backup ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 17:44 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
доменный пользователь админ в домене, нужно его добавить в локальную группу администраторы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 17:46 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosу меня доменный не db2admin а по другому называется. admin_backupНе важно, как он называется. Надо, чтобы у этого пользователя были права: Required user accounts for installation of DB2 server products (Windows) где указано, что "DB2 instance user account" должен входить в локальные админы (+ дополнительные права). Проверьте, есть ли у этого вашего доменного пользователя такие права на локальном сервере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 18:39 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, да, есть C:\Users\db2admin>db2level DB21085I Этот экземпляр или установка (имя экземпляра, если есть: "DB2") используют "64"-битную версию и выпуск кода DB2 "SQL09077" с идентификатором уровня "08080107". Информационные элементы суть "DB2 v9.7.700.552", "s121002", "IP23369", а также пакет FixPack "7". Продукт установлен в "C:\PROGRA~1\IBM\SQLLIB", имя копии DB2 - "DB2COPY1". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2014, 18:53 |
|
||
|
Доменная авторизация DB2
|
|||
|---|---|---|---|
|
#18+
vitabiosMark Barinstein, Заметил что если доменному пользователю дать полномочия в базе - работает. А вот идентифицировать пользователя, который в группе, а группе предоставлены права к базе - так не хочет! Натолкнулся на то же. Сервер ввели в домен. DB2 запускается от локального админа db2admin. Имена пользователей в домене начинаются с цифр. Завожу на сервере локальную группу даю ей необходимые права , ввожу доменного пользователя - даже не даёт коннекта к базе сделать, нет прав. Если даю права доменному пользователю GRANT CONNECT ON DATABASE TO USER "1111111-111" ; то всё нормально. Не хотелось бы терять возможность групповой авторизации. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2017, 12:23 |
|
||
|
|
start [/forum/topic.php?fid=43&fpage=11&tid=1600493]: |
0ms |
get settings: |
8ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
45ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
55ms |
get tp. blocked users: |
1ms |
| others: | 322ms |
| total: | 464ms |
| 0 / 0 |
