un quesito sulle autorizzazioni

Barnabè Roberta

un quesito sulle autorizzazioni
Salve a tutti, sono Roberta Barnabè di UNIPOL Assicurazioni;

vi scrivo perché stiamo cercando di implementare una gestione dei database negli ambienti di sviluppo, ma abbiamo delle difficoltà con le autorizzazioni.

Mi piacerebbe sapere come altri CED gestiscono una situazione di questo tipo.



Il nostro obiettivo è quello di creare degli assistenti del DBA (che deve rimanere unico) che possano essere autonomi nella gestione dei database negli ambienti di sviluppo.

Premesso che, in tutti gli ambienti di sviluppo, il creator delle tabelle è un creator unico 'DB2TSO' senza autorizzazioni, vi faccio un esempio:

l'UTENTE1 è il Database Administrator del database DBHWCOPY.

Su questo database vuole che il suo collega UTENTE2 possa fare le seguenti operazioni su tutte le tabelle (senza però dargli la GRANT di DBA sul database):

CREATE TABLE (su tablespace assegnati), ALTER TABLE, DROP TABLE, CREATE INDEX, CREATE SYNONYM, COMMENT ON, GRANT ON TABLE.



Ho effettuato diverse prove; per ottenere quanto richiesto devo dare all' UTENTE2 le seguenti autorizzazioni:

1) GRANT DBCTRL on DATABASE DBHWCOPY

2) GRANT USE OF TABLESPACE ...... (su tutti i tablespace del database)

3) GRANT ALL ON TABLE.....WITH GRANT OPTIONS (su tutte le tabelle del database)

ma per operazioni di DROP su tabelle e indici, bisogna comunque utilizzare lo user del DBA (il DBCTRL riesce invece a fare la DROP dal database!!!)



Oltre ad essere impegnativo stare dietro a tutte queste autorizzazioni vista la movimentazione degli ambienti di test, non vorremmo dare un'autorizzazione così potente (chi detiene DBCTRL può fare utility di REORG, DIAGNOSE, RECOVER, COPY, etc..) con leggerezza.

Quale alternativa abbiamo per risolvere questo problema?

grazie





Roberta Barnabè

Gestione Software Applicativi

UNIPOL Assicurazioni

Sede Centrale

via Stalingrado, 45 Bologna

Tel. 051/5076172

Fax 051/5076625

e-mail: [login to unmask email] <mailto:[login to unmask email]>





*** Questo messaggio di posta elettronica contiene informazioni rivolte esclusivamente al destinatario sopra indicato. E' vietato l'uso, la diffusione, distribuzione o riproduzione da parte di ogni altra persona, salvo autorizzazione del mittente.Nel caso aveste ricevuto questo messaggio di posta elettronica per errore, siete pregati di segnalarlo immediatamente al mittente e distruggere quanto ricevuto (compresi i file allegati) senza farne copia. Qualsivoglia utilizzo non autorizzato del contenuto di questo messaggio costituisce violazione del divieto di prendere cognizione della corrispondenza tra altri soggetti, salvo più grave illecito, ed espone il responsabile alle relative conseguenze.

*** This e-mail contains information that are intended solely for the above mentioned addressee. Any use, disclosure, dissemination or copying of the information in this e-mail by any other party is strictly forbidden, unless authorised by the sender. If you have received this e-mail in error, please notify the sender immediately and destroy it (including any attachments), without copying it. Whatsoever unauthorised use of the content of this e-mail is an infringement of the prohibition to take cognizance of the correspondence among other entities, unless a more serious violation of the law occurred, and exposes the responsible to the consequences thereof.

---------------------------------------------------------------------------------
Benvenuti alla lista DB2 User Group Italia.Per annullare l ' iscrizione collegarsi a : http://www.idugdb2-l.org/archives/DB2-UG-Italy.html. Selezionare "Join or Leave the list". Per consultare le IDUG Listserv FAQ collegarsi a :http://www.idugdb2-l.org. L'amministratore della lista DB2 User Group - Italy può essere raggiunto al seguente indirizzo: [login to unmask email] Per sapere le ultime novità sulle conferenze IDUG potete consultare : http://conferences.idug.org/index.cfm

Massimo Biancucci

R: un quesito sulle autorizzazioni
(in response to Barnabè Roberta)
Non ho provato di persona ma credo che la migliore soluzione per ritagliare tali autorizzazioni passa attraverso l'implementazione di RACF !

Noi abbiamo provato qualche anno fa ma poi il cliente non ha ritenuto opportuno andare avanti ed in ogni caso sono sempre rimasto stupito della risposta tipo circa le performance; alla domanda è meglio o peggio mi sono sempre sentito rispondere: "E' diverso".

Mi spiace di non potere essere più utile.

Ciao.


________________________________

Da: DB2 User Group - Italy List [mailto:[login to unmask email] Per conto di Barnabè Roberta
Inviato: lunedì 20 marzo 2006 11.51
A: [login to unmask email]
Oggetto: un quesito sulle autorizzazioni



Salve a tutti, sono Roberta Barnabè di UNIPOL Assicurazioni;

vi scrivo perché stiamo cercando di implementare una gestione dei database negli ambienti di sviluppo, ma abbiamo delle difficoltà con le autorizzazioni.

Mi piacerebbe sapere come altri CED gestiscono una situazione di questo tipo.



Il nostro obiettivo è quello di creare degli assistenti del DBA (che deve rimanere unico) che possano essere autonomi nella gestione dei database negli ambienti di sviluppo.

Premesso che, in tutti gli ambienti di sviluppo, il creator delle tabelle è un creator unico 'DB2TSO' senza autorizzazioni, vi faccio un esempio:

l'UTENTE1 è il Database Administrator del database DBHWCOPY.

Su questo database vuole che il suo collega UTENTE2 possa fare le seguenti operazioni su tutte le tabelle (senza però dargli la GRANT di DBA sul database):

CREATE TABLE (su tablespace assegnati), ALTER TABLE, DROP TABLE, CREATE INDEX, CREATE SYNONYM, COMMENT ON, GRANT ON TABLE.



Ho effettuato diverse prove; per ottenere quanto richiesto devo dare all' UTENTE2 le seguenti autorizzazioni:

1) GRANT DBCTRL on DATABASE DBHWCOPY

2) GRANT USE OF TABLESPACE ...... (su tutti i tablespace del database)

3) GRANT ALL ON TABLE.....WITH GRANT OPTIONS (su tutte le tabelle del database)

ma per operazioni di DROP su tabelle e indici, bisogna comunque utilizzare lo user del DBA (il DBCTRL riesce invece a fare la DROP dal database!!!)



Oltre ad essere impegnativo stare dietro a tutte queste autorizzazioni vista la movimentazione degli ambienti di test, non vorremmo dare un'autorizzazione così potente (chi detiene DBCTRL può fare utility di REORG, DIAGNOSE, RECOVER, COPY, etc..) con leggerezza.

Quale alternativa abbiamo per risolvere questo problema?

grazie





Roberta Barnabè

Gestione Software Applicativi

UNIPOL Assicurazioni

Sede Centrale

via Stalingrado, 45 Bologna

Tel. 051/5076172

Fax 051/5076625

e-mail: [login to unmask email] <mailto:[login to unmask email]>





*** Questo messaggio di posta elettronica contiene informazioni rivolte esclusivamente al destinatario sopra indicato. E' vietato l'uso, la diffusione, distribuzione o riproduzione da parte di ogni altra persona, salvo autorizzazione del mittente.Nel caso aveste ricevuto questo messaggio di posta elettronica per errore, siete pregati di segnalarlo immediatamente al mittente e distruggere quanto ricevuto (compresi i file allegati) senza farne copia. Qualsivoglia utilizzo non autorizzato del contenuto di questo messaggio costituisce violazione del divieto di prendere cognizione della corrispondenza tra altri soggetti, salvo più grave illecito, ed espone il responsabile alle relative conseguenze.

*** This e-mail contains information that are intended solely for the above mentioned addressee. Any use, disclosure, dissemination or copying of the information in this e-mail by any other party is strictly forbidden, unless authorised by the sender. If you have received this e-mail in error, please notify the sender immediately and destroy it (including any attachments), without copying it. Whatsoever unauthorised use of the content of this e-mail is an infringement of the prohibition to take cognizance of the correspondence among other entities, unless a more serious violation of the law occurred, and exposes the responsible to the consequences thereof.
--------------------------------------------------------------------------------- Benvenuti alla lista DB2 User Group Italia.Per annullare l ' iscrizione collegarsi a : http://www.idugdb2-l.org/archives/DB2-UG-Italy.html. Selezionare "Join or Leave the list". Per consultare le IDUG Listserv FAQ collegarsi a :http://www.idugdb2-l.org. L'amministratore della lista DB2 User Group - Italy può essere raggiunto al seguente indirizzo: [login to unmask email] Per sapere le ultime novità sulle conferenze IDUG potete consultare : http://conferences.idug.org/index.cfm


---------------------------------------------------------------------------------
Benvenuti alla lista DB2 User Group Italia.Per annullare l ' iscrizione collegarsi a : http://www.idugdb2-l.org/archives/DB2-UG-Italy.html. Selezionare "Join or Leave the list". Per consultare le IDUG Listserv FAQ collegarsi a :http://www.idugdb2-l.org. L'amministratore della lista DB2 User Group - Italy può essere raggiunto al seguente indirizzo: [login to unmask email] Per sapere le ultime novità sulle conferenze IDUG potete consultare : http://conferences.idug.org/index.cfm

[login to unmask email]

Re: un quesito sulle autorizzazioni
(in response to Massimo Biancucci)
Roberta,
la politica gestionale che vuoi realizzare è molto impegnativa
soprattutto da mantenere. A questo proposito potresti copiarti/clonarti
giornalmente le tabelle del catalogo sysibm.%%auth e costruirti un job
giornaliero serale che le legge in outer Join con quelle originali
(SYSIBM..) e prepara le istruzioni di GRANT necessarie da eseguire che
sono state perse.
Oppure, consiglio vivamenti di passare a RACF. Siamo migrati l' estate
scorsa e non ho riscontrato alcun problema di Performance , e ti
garantisco, che in SEC ,il Tuning è la nostra prima priorità a parità con
la Continuità del Servizio.

Per quanto riguarda il problema che UTENTE2 non riesce a DROPPARE Tb o IX,
nell' SQL Reference al paragrafo del DROP 5.50 viene riportato che l'
utente deve essere l' Owner dell' oggetto, per cui penso che nel tuo caso
sia sufficiente che prima di creare gli oggetti , questi utenti eseguano
il "SET CURRENT SQLID='UTENTE2';" .

Ciao e Buon Lavoro.
Roberto.

---------------------------------------------------------------------------------
Benvenuti alla lista DB2 User Group Italia.Per annullare l ' iscrizione collegarsi a : http://www.idugdb2-l.org/archives/DB2-UG-Italy.html. Selezionare "Join or Leave the list". Per consultare le IDUG Listserv FAQ collegarsi a :http://www.idugdb2-l.org. L'amministratore della lista DB2 User Group - Italy può essere raggiunto al seguente indirizzo: [login to unmask email] Per sapere le ultime novità sulle conferenze IDUG potete consultare : http://conferences.idug.org/index.cfm