Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Здравствуйте всем! DB2 UDB 8.2 Люди добрые, просветите пожалуйста. Есть сервер 1 c базой DBASE1 и сервер 2 с базой DBASE2. На сервере 2 создана учетка DBASE2User, которой в базе DBASE2 дана привелегия select на несколько таблиц. В базе DBASE1 создал сервер объединия с базой DBASE2, а также псевдонимы таблиц и отображения пользователей через пользователя DBASE2User. При выборке записей из псевдонима (таблицы базы DBASE2) СУБД ругается, что пользователь DBASE1User, под которым я работаю с DBASE1 не имеет привилегии select над псевдонимом. Если я включаю DBASE1User в группу DB2ADMNS, то все работает. Неужели пользователи сервера объединения должны иметь привилегии администратора? Если да, то можно ли как-то это обойти? С уважением, Семен Попов ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 15:58 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Добрый день. Сделайте, как оно просит. В DBASE1: Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 16:11 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Ой :-) Как это я до этого додумался. Аж самому смешно. Болшое спасибо. Т.е. получается двойная система привилегий. Тогда в таком случае следующий вопрос. Можно ли создать отображения пользователей, используя учетку с админскими правами на DBASE2, но в базе DBASE1 на псевдонимы эти привилегии урезать? Например, DBASE2User с правами администратора в DBASE2, а пользователю DBASE1User урезать привилегии на псевдоним до select. Безопасность сервера 1 сработает? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 17:08 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Semen Popov, Можно, конечно. В DBASE1 проверяются полномочия DBASE1User на никнейм, как если бы это была обычная таблица. Потом сервер 1 идёт пользователем DBASE2User в DBASE2. Пользователь DBASE2User - никто в DBASE1, с этим пользователем сервер 1 идёт в DBASE2 как обычное приложение и делает то, что ему (этому пользователю) разрешено в DBASE2. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 17:49 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Semen Popov, сомневаюсь, я в прошлом месяце чуть с ума не сошла, ища пичину, почему таблицы из удалённого алиаса БД ч/з ЦУ открывются, а те же таблицы на том же аппарате, но ввиде псевдонимов уже в др. базе нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 22:01 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, Anka_S, большое спасибо. Безопасность сервера 1 срабатывает. Проверил. Но не всем пользователям операция grant помогает. В моем случае реализовано так. На сервере 1 создана группа DB1Users, в которую добавлен пользователь домена DBASE1User. В базе DBASE1 этой группе даны привилегии select на все таблицы DBASE1 и на псевдоним сервера объединения. И в этом случае под пользователем DBASE1User я могу выполнять выборки из таблиц DBASE1, но на select из псевдонима ругается, что нет привилегии. Если на сервере 1 создать локального пользователя и включить его в группу DB1Users, то его операция select из псевдонима выполняется. Что не так? Чем не нравится доменный пользователь? Что-то мне думается, что в сервере объединения я должен сделать отображение группы на удаленного пользователя, но как? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 15:35 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Semen PopovВ моем случае реализовано так. На сервере 1 создана группа DB1Users, в которую добавлен пользователь домена DBASE1User. В базе DBASE1 этой группе даны привилегии select на все таблицы DBASE1 и на псевдоним сервера объединения. И в этом случае под пользователем DBASE1User я могу выполнять выборки из таблиц DBASE1, но на select из псевдонима ругается, что нет привилегии. Если на сервере 1 создать локального пользователя и включить его в группу DB1Users, то его операция select из псевдонима выполняется. Что не так? Чем не нравится доменный пользователь?Вы в локальную группу добавили доменного пользователя? А что у вас выдаёт db2set DB2_GRP_LOOKUP ? Под каким пользователем (локальным или доменным) запущен сервис db2? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 17:38 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Mark BarinsteinВы в локальную группу добавили доменного пользователя? А что у вас выдаёт db2set DB2_GRP_LOOKUP ? Под каким пользователем (локальным или доменным) запущен сервис db2? 1. Доменный пользователь добавлен в локальную группу, которой в базе DBASE1 даны привилегии: select, insert, update, delete на таблицы базы и select на псевдонимы сервера объединения. 2. DB2_GRP_LOOKUP=LOCAL 3. Сервис db2 запущен под пользователем .\db2admin (локальный). Еще наблюдения. Если привилегию select на псевдоним дать не через локальную группу, а напрямую этому доменному пользователю, то все отрабатывает. Через группу не хочет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2010, 09:55 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Semen Popov1. Доменный пользователь добавлен в локальную группу, которой в базе DBASE1 даны привилегии: select, insert, update, delete на таблицы базы и select на псевдонимы сервера объединения. 2. DB2_GRP_LOOKUP=LOCAL 3. Сервис db2 запущен под пользователем .\db2admin (локальный). Еще наблюдения. Если привилегию select на псевдоним дать не через локальную группу, а напрямую этому доменному пользователю, то все отрабатывает. Через группу не хочет.Похоже, что db2 не может определить, что этот пользователь входит в локальную группу. У вас там случайно нет локального пользователя с таким же именем, как глобальный? Если нет, то попытайтесь запустить сервис db2 из-под доменного пользователя. Т.е. поместите доменного пользователя в те же локальные группы, дайте ему такие же права в Local Security Settings -> User Right Assignment, как и у db2admin. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2010, 12:35 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Mark BarinsteinПохоже, что db2 не может определить, что этот пользователь входит в локальную группу. У вас там случайно нет локального пользователя с таким же именем, как глобальный? Если нет, то попытайтесь запустить сервис db2 из-под доменного пользователя. Т.е. поместите доменного пользователя в те же локальные группы, дайте ему такие же права в Local Security Settings -> User Right Assignment, как и у db2admin. Mark Barinstein, огромное Вам спасибо! Перезапустили сервис DB2 под доменным пользователем - все замечательно работает. Только вот не пойму, почему для DB2 это является проблемой? Ну да ладно. Еще раз спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2010, 16:26 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Semen PopovПерезапустили сервис DB2 под доменным пользователем - все замечательно работает. Только вот не пойму, почему для DB2 это является проблемой?Это не проблема DB2. Это проблема windows, оно возвращает разный результат от ф-ции win api NetUserGetLocalGroups для доменного пользователя (список локальных групп его), в завистимости от того, из-под локального или глобального пользователя её выполнить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2010, 17:20 |
|
||
|
Пользователи сервера объединения
|
|||
|---|---|---|---|
|
#18+
Mark Barinstein, на самом деле вопрос очень часто встречается в продуктах IBM DB2, WSAS, MQ. Например, была ситуация, когда месяца три назад MQ Server отказался ставиться с опцией видения домена или что то в этом роде. Другой случай был недавно на Linux системе, после глобального апдейта системы и обновления приложения забыли перетащить вместе с учётными записями группы после чего были проблемы в смежном приложении. Длугая проблема возникла при попытке подружить Windows 2003 Server, на котром стоял WSAS+DB2+MQ Server, и связку промежуточный сервер Windows XP c MQ Client'ом и Novell сервер на котором крутились ещё дополнительные БД написанные под DOS-задачи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.08.2010, 19:57 |
|
||
|
|
start [/forum/topic.php?fid=43&gotonew=1&tid=1602625]: |
0ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
82ms |
get topic data: |
10ms |
get first new msg: |
7ms |
get forum data: |
3ms |
get page messages: |
52ms |
get tp. blocked users: |
1ms |
| others: | 296ms |
| total: | 480ms |
| 0 / 0 |
