Права определяют, что какой-либо пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Или должен ли пользователь только формировать запросы к данным?
Права доступа задаются на разных уровнях. В таблицах этого раздела перечислены минимальные необходимые права доступа к базе данных и набору данных, предоставляемые основным типам пользователей базы геоданных: пользователи, просматривающие данные, редактирующие данные, создающие данные, а также администратор базы геоданных.
Для администрирования прав доступа к базе данных можно использовать инструменты Db2 или выражения SQL.
Права доступа к наборам данных в базах геоданных должны назначаться или отзываться с помощью клиентов ArcGIS, это может делать только владелец набора данных.
Db2
Db2 по умолчанию предоставляет группе PUBLIC права базы данных CREATETAB, BINDADD, CONNECT и IMPLICITSCHEMA, а также право USE к табличному пространству USERSPACE1 и право SELECT к представлению системного каталога. Для удаления любого из этих прав базы данных, администратор базы должен явно отозвать право у группы PUBLIC.
Если какое-либо из этих прав удаляется из группы PUBLIC, их необходимо предоставить отдельным пользователям или группам базы данных. Например, если у группы PUBLIC отзывается право CONNECT, его необходимо предоставить любому пользователю, которому необходимо подключаться к базе данных. Также, если право SELECT на представления или таблицы системного каталога отзывается у группы PUBLIC, отдельные пользователи или группы должны получить право SELECT, в противном случае они не смогут подключаться к базе геоданных:
- SYSIBM.SYSDUMMY1 (представление каталога)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
Минимальные права Db2
Тип пользователя | Права в базе данных | Права для наборов данных | Примечания |
---|---|---|---|
Пользователь, просматривающий данные |
| SELECT для объектов базы данных, SELECT для SYSIBM.SYSDUMMY1, SYSCAT.ROLEAUTH, SYSCAT.DBAUTH и SYSCAT.TABAUTH | Если база данных настроена на использование таблиц файла журнала с общим доступом (по умолчанию), могут потребоваться следующие дополнительные права:
Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений у пользователя sde должна быть возможность выполнить MON_GET_CONNECTION. |
Редактор данных |
|
| Владельцы таблиц и классов объектов используют диалоговое окно Права доступа или инструмент геообработки Изменить права доступа в ArcGIS, чтобы предоставить права на редактирование своих данных другим пользователям базы данных. Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений у пользователя sde должна быть возможность выполнить MON_GET_CONNECTION. |
Создатель данных |
| CONTROL на уровне объектов базы данных, SELECT на уровне SYSIBM.SYSDUMMY1 SELECT для SYSCAT.ROLEAUTH, SYSCAT.DBAUTH и SYSCAT.TABAUTH | Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений у пользователя sde должна быть возможность выполнить MON_GET_CONNECTION. |
Администратор базы геоданных (пользователь sde) |
| Уровень доступа DBADM предоставляет пользователю sde все права на все объекты в базе данных и позволяет ему предоставлять эти права другим пользователям. Это требуется для создания или обновления базы геоданных. Права DBADM также необходимы для удаления из базы данных клиентских подключений. Дополнительно, пользователь sde должен иметь либо права SYSCTRL, либо права SYSADM для удаления клиентских подключений из базы данных. Функция MON_GET_CONNECTION очищает несуществующие процессы в таблице PROCESS_INFORMATION при подключении пользователя. Для очистки подключений у пользователя sde должна быть возможность выполнить MON_GET_CONNECTION. |