Informix Dynamic Server 11.50 基础考试 555 认证准备,第 2 部分 安全性.docVIP

/developerworks/cn/data/tutorials/dm-ids-cert5552/index.html Informix Dynamic Server 11.50 基础考试 555 认证准备，第 2 部分: 安全性 开始之前 关于本系列 您正在考虑参加 Informix Dynamic Server (IDS) 基础认证考试 555 吗？如果是的话，那么请阅读本文。这个免费的共包含 9 篇教程的 教程系列 讨论了 IDS 认证准备的所有基础方面 —— 在参加认证考试之前，您必须理解这些主题。即使您还不打算马上参加认证考试，这个教程系列也是了解 IDS 11.50 的新特性的好材料。 这个认证将考察关于 IDS 11.50 管理的入门级知识，包括基础 SQL、如何安装 IDS 11.50、如何创建数据库和数据库对象、安全性、事务隔离、备份和恢复流程，以及数据复制技术。 这些教程为考试的每部分打下了坚实的基础。不过，您不能仅使用这些教程作为唯一的考试准备材料。 回页首 关于本教程 通过本教程了解 IDS 11.50 的安全特性，包括 11.50 身份认证、授权和特权。 这个帮助您准备 IDS 11.50 基础考试 555 的 教程系列 共包含 9 篇教程，本教程是第 2 篇。本教程主要讨论测试的第 2 部分的目标。 回页首 先决条件 为了理解本文描述的概念，您应该了解数据库的基础概念和操作系统安全特性。 回页首 系统需求 本教程的例子基于运行在 UNIX? 操作系统（具有本机安全特性）上的 IDS 11.50。不过，本教程提供的概念和信息与运行在任意分布式平台上的 IDS 相关。 数据库安全 在当今，数据库安全是极其重要的。您的数据库可能允许客户通过 Internet 购买产品，或者包含用于预测商业走势的历史数据；不管哪种情况，您的公司都需要一个健全的数据库安全计划。数据库安全计划应该确定： 谁可以访问数据库服务器实例和数据库 从哪里以什么方式验证用户密码 用户的授权级别 用户能够运行的命令 用户能够读取或修改的数据 用户能够创建、修改或删除的数据库对象 IDS 安全性机制 IDS 为实现数据库安全计划提供 3 个主要的机制：身份验证、授权和特权。 身份验证：是指 IDS 验证用户的身份的过程。IDS 身份验证在验证用户 ID 和密码时与底层操作系统的安全特性密切合作。IDS 还可以在验证用户身份方面与安全协议合作，比如 PAM 和 Kerberos。 授权：涉及到确定用户或组能够执行的操作，或能够访问的数据对象。用户执行高级数据库和实例管理操作的能力取决于授予他们的权限。 特权：比授权的粒度更细，可以授予用户或组。特权帮助定义用户能够创建和删除的对象。特权还可以定义用户能够用于访问对象（比如表、视图、索引和包）的命令。IDS 支持基于标签的访问控制 (LBAC)，它提供更细粒度的控制，甚至可以控制谁有权限访问某个行或列。 IDS 还为更高级别的安全性提供加密。 IDS 中的身份验证机制 身份验证是确认用户或应用程序的身份的机制。数据库服务器仅允许身份得到确认的用户访问数据，如 图 1 所示。IDS 采用客户机-服务器架构，其中客户机可以是远程用户或本地用户。 图 1. 身份验证流程 本地连接是指客户机和位于相同机器上的服务器之间的连接。远程连接是指客户机和位于不同机器上的服务器之间的连接。IDS 支持传统的身份验证机制，即用户需要提供用户 ID 和密码才能连接到数据库。IDS 还支持其他身份验证机制，比如插入式验证模块（Pluggable Authentication Module，PAM）。 传统身份验证 IDS 服务器在连接方面遵循 UNIX 安全性需求。在传统的身份验证中，IDS 通过操作系统 API 验证用户的 UNIX 或 Windows? 登录 ID 和密码。 回页首 插入式身份验证模块 插入式身份验证模块 (PAM) 是一个框架，它允许用户开发和实现定制的身份验证机制，同时不对应用程序进行任何修改。IDS 支持的模式包含密码模式和询问响应模式。在密码模式下，用户仅凭密码就能够通过身份验证。在询问响应模式下，服务器将提出一个问题，而客户机需要发送一个响应。仅当客户机发送正确的响应时，它才能够访问数据库。 回页首 配置 IDS 以使用 PAM 下面是将 IDS 配置为使用 PAM 模块的基础步骤（有些细节是特定于平台的，但是概念是通用的）： 定义 PAM 模块：标识或创建需要使用的 PAM 模块。例如，您可以使用 pam_unix/pam_aix/pam_unix_auth，它进行传统的基于网络文件的身份验证。这个共享对象通常位于独立于平台的路径（比如 Solaris 上的 /