GRANT vs RacF-Profil

Die interne Berechtigungsverwaltung von DB2 for z/OS rückt immer weiter in den Hintergrund. Früher oder später wird sie vollständig verschwinden und die Berechtigungen werden ausschließlich durch externe Systeme wie RacF verwaltet.
Damit nicht alle Berechtigungen mit einem "big bang" umgestellt werden müssen, ist derzeit ein Mischbetrieb aus DB2-internen Berechtigungen und RacF-Profilen möglich. Dabei gibt es allerdings die eine oder andere Fußangel. Existiert für das Objekt ( z.B. Table oder View ) eine RacF-Ressource, so werden ausschließlich im RacF hinterlegte Berechtigungen geprüft. Sogar eine SYSADM-Berechtigung, die mittels GRANT SYSADM TO user; vergeben wurde, findet dann keine Berücksichtigung.
Bei Views ist zu beachten, dass lediglich das Profil in der MDSNTB-Klasse geprüft wird und ein *.SYSADM-Recht in der DSNADM-Klasse, eine *.*.DBADM -Berechtigung ist jedoch nicht ausreichend.
Bei updateable Views haben sich die zugrunde liegenden Profile von V9 nach V10 ( bzw. bei V9 mit dem PTF-Stand ) geändert.
Weiterhin ist zu beachten, dass ein gültiges Statement im dynamic sql cache weiterhin gültig und damit ausführbar bleibt, selbst wenn sich relevante RacF-Profile geändert haben (und dadurch z.B. das Leserecht genommen wurde). Hier muss das Statement im cache zusätzlich invalidiert werden. Dieses Verhalten ändert sich allerdings mit Version 11. Dann erfolgt bei Änderungen eine Rückmeldung von RacF an DB2.

Ist die RacF Option MLS nicht aktiv, dann genügt es, wenn der User ein Leserecht ( READ ) auf das geprüfte RacF-Profil besitzt, im anderen Fall bnenötigt er je nach Aktion READ oder UPDATE Berechtigung.

Nachfolgend eine Auflistung der möglichen DB2 Berechtigungen und die dazu korrespondierenden RacF-Profile.

bufferpool

privilege	RacF-profile	RacF-class
USE	db2subsystem.bufferpool.USE	MDSNBP oder GDSNBP

collection

privilege	RacF-profile	RacF-class
PACKADM	db2subsystem.collection.PACKADM	DSNADM
CREATE IN	db2subsystem.collection.CREATEIN	MDSNCL oder GDSNCL

database

privilege	RacF-profile	RacF-class
CREATETAB	db2subsystem.database.CREATETAB	MDSNDB oder GDSNDB
CREATETS	db2subsystem.database.CREATETS	MDSNDB oder GDSNDB
DBADM	db2subsystem.database.DBADM	DSNADM
DBCTRL	db2subsystem.database.DBCTRL	DSNADM
DBMAINT	db2subsystem.database.DBMAINT	DSNADM
DISPLAYDB	db2subsystem.database.DISPLAYDB	MDSNDB oder GDSNDB
DROP	db2subsystem.database.DROP	MDSNDB oder GDSNDB
IMAGCOPY	db2subsystem.database.IMAGCOPY	MDSNDB oder GDSNDB
LOAD	db2subsystem.database.LOAD	MDSNDB oder GDSNDB
RECOVERDB	db2subsystem.database.RECOVERDB	MDSNDB oder GDSNDB
REORG	db2subsystem.database.REORG	MDSNDB oder GDSNDB
REPAIR	db2subsystem.database.REPAIR	MDSNDB oder GDSNDB
STARTDB	db2subsystem.database.STARTDB	MDSNDB oder GDSNDB
STATS	db2subsystem.database.STATS	MDSNDB oder GDSNDB
STOPDB	db2subsystem.database.STOPDB	MDSNDB oder GDSNDB

global variable

privilege	RacF-profile	RacF-class
READ	db2subsystem.schema.variablename.READ	MDSNGV oder GDSNGV
WRITE	db2subsystem.schema.variablename.WRITE	MDSNGV oder GDSNGV

JAR

privilege	RacF-profile	RacF-class
USAGE ON	db2subsystem.schema.jarname.USAGE	MDSNJR oder GDSNJR

package

privilege	RacF-profile	RacF-class
BIND	db2subsystem.collection.packagename.BIND	MDSNPK oder GDSNPK
COPY	db2subsystem.collection.packagename.COPY	MDSNPK oder GDSNPK
EXECUTE / RUN	db2subsystem.collection.packagename.EXECUTE	MDSNPK oder GDSNPK

plan

privilege	RacF-profile	RacF-class
BIND	db2subsystem.planname.BIND	MDSNPN oder GDSNPN
EXECUTE	db2subsystem.planname.EXECUTE	MDSNPN oder GDSNPN

schema

privilege	RacF-profile	RacF-class
ALTERIN	db2subsystem.schema.objectname.ALTERIN	MDSNSC oder GDSNSC
CREATEIN	db2subsystem.schema.CREATEIN	MDSNSC oder GDSNSC
DROPIN	db2subsystem.schema.objectname.DROPIN	MDSNSC oder GDSNSC

sequence

privilege	RacF-profile	RacF-class
ALTER	db2subsystem.schema.objectname.ALTERIN oder db2subsystem.schema.sequencename.ALTER	MDSNSC oder GDSNSC MDSNSQ oder GDSNSQ
SELECT / USAGE	db2subsystem.schema.sequencename.USAGE	MDSNSQ oder GDSNSQ

storagegroup

privilege	RacF-profile	RacF-class
USE	db2subsystem.storagegroup.USE	MDSNSG oder GDSNSG

stored procedure

privilege	RacF-profile	RacF-class
DISPLAY	db2subsystem.schema.procedurename.DISPLAY	MDSNSP oder GDSNSP
EXECUTE	db2subsystem.schema.procedurename.EXECUTE	MDSNSP oder GDSNSP

systemprivilegien

privilege	RacF-profile	RacF-class
ACCESSCTRL	db2subsystem.ACCESSCTRL	DSNADM
ARCHIVE	db2subsystem.ARCHIVE	MDSNSM oder GDSNSM
BINDADD	db2subsystem.BINDADD	MDSNSM oder GDSNSM
BINDAGENT	db2subsystem.owner.BINDAGENT	MDSNSM oder GDSNSM
BSDS (RECOVER BSDS)	db2subsystem.BSDS	MDSNSM oder GDSNSM
CREATEALIAS	db2subsystem.CREATEALIAS	MDSNSM oder GDSNSM
CREATEDBA	db2subsystem.CREATEDBA	MDSNSM oder GDSNSM
CREATESG	db2subsystem.CREATESG	MDSNSM oder GDSNSM
CREATETMTAB	db2subsystem.CREATETMTAB	MDSNSM oder GDSNSM
CREATE SECURE OBJECT	db2subsystem.CREATESECUREOBJECT	MDSNSM oder GDSNSM
DATAACCESS	db2subsystem.DATAACCESS	DSNADM
DEBUG SESSION	db2subsystem.DEBUGSESSION	MDSNSM oder GDSNSM
DISPLAY	db2subsystem.DISPLAY	MDSNSM oder GDSNSM
EXPLAIN	db2subsystem.EXPLAIN	MDSNSM oder GDSNSM
MONITOR1	db2subsystem.MONITOR1	MDSNSM oder GDSNSM
MONITOR2	db2subsystem.MONITOR2	MDSNSM oder GDSNSM
RECOVER (RECOVER INDOUBT)	db2subsystem.RECOVER	MDSNSM oder GDSNSM
SECADM	db2subsystem.SECADM	DSNADM
SQLADM	db2subsystem.SQLADM	MDSNSM oder GDSNSM
STOPALL	db2subsystem.STOPALL	MDSNSM oder GDSNSM
STOSPACE	db2subsystem.STOSPACE	MDSNSM oder GDSNSM
SYSADM	db2subsystem.SYSADM	DSNADM
SYSCTRL	db2subsystem.SYSCTRL	DSNADM
SYSDBADM	db2subsystem.SYSDBADM	MDSNSM oder GDSNSM
SYSOPR	db2subsystem.SYSOPR	DSNADM
TRACE	db2subsystem.TRACE	MDSNSM oder GDSNSM

table

privilege	RacF-profile	RacF-class
ALTER	db2subsystem.tablequalifier.tablename.ALTER	MDSNTB oder GDSNTB
DELETE	db2subsystem.tablequalifier.tablename.DELETE	MDSNTB oder GDSNTB
INDEX	db2subsystem.tablequalifier.tablename.INDEX	MDSNTB oder GDSNTB
INSERT	db2subsystem.tablequalifier.tablename.INSERT	MDSNTB oder GDSNTB
REFERENCES	db2subsystem.tablequalifier.tablename.REFERENCES db2subsystem.tablequalifier.tablename.columnname.REFERENCES	MDSNTB oder GDSNTB
SELECT	db2subsystem.tablequalifier.tablename.SELECT	MDSNTB oder GDSNTB
TRIGGER	db2subsystem.tablequalifier.tablename.TRIGGER	MDSNTB oder GDSNTB
UNLOAD	db2subsystem.tablequalifier.tablename.UNLOAD	MDSNTB oder GDSNTB
UPDATE	db2subsystem.tablequalifier.tablename.UPDATE db2subsystem.tablequalifier.tablename.columnname.UPDATE	MDSNTB oder GDSNTB

tablespace

privilege	RacF-profile	RacF-class
USE	db2subsystem.database.tablespace.USE	MDSNTS oder GDSNTS

user defined data types

privilege	RacF-profile	RacF-class
USAGE	db2subsystem.schema.typename.USAGE	MDSNUT oder GDSNUT

user defined functions

privilege	RacF-profile	RacF-class
DISPLAY	db2subsystem.schema.functionname.DISPLAY	MDSNUF oder GDSNUF
EXECUTE	db2subsystem.schema.functionname.EXECUTE	MDSNUF oder GDSNUF

updateable views

privilege	RacF-profile	RacF-class
DELETE	db2subsystem.tablequalifier.tablename.viewqualifier.viewname.DELETE	MDSNTB oder GDSNTB
INSERT	db2subsystem.tablequalifier.tablename.viewqualifier.viewname.INSERT	MDSNTB oder GDSNTB
SELECT	db2subsystem.viewqualifier.viewname.SELECT	MDSNTB oder GDSNTB
UPDATE	db2subsystem.tablequalifier.tablename.viewqualifier.viewname.UPDATE db2subsystem.tablequalifier.tablename.columnname.viewqualifier.viewname.UPDATE	MDSNTB oder GDSNTB

read-only views

privilege	RacF-profile	RacF-class
DELETE	db2subsystem.viewqualifier.viewname.DELETE	MDSNTB oder GDSNTB
INSERT	db2subsystem.viewqualifier.viewname.INSERT	MDSNTB oder GDSNTB
SELECT	db2subsystem.viewqualifier.viewname.SELECT	MDSNTB oder GDSNTB
UPDATE	db2subsystem.viewqualifier.viewname.UPDATE db2subsystem.viewqualifier.viewname.columnname.UPDATE	MDSNTB oder GDSNTB

Zurück zu DB2

Home

Impressum / Datenschutz