Como concedo todos os privilégios ao db2admin local com o DB2 9.7 no Windows?

10

Tenho como desenvolvedor uma estação de laptop com sistema operacional Windows XP Professional Edition, Service Pack 3.

Fiz download e instalei o IBM DB2 UDB 9.7 fix pack 4, da edição Express-C.

Eu tenho uma conta local do Windows chamada db2admin que estou usando como meu administrador de banco de dados local para minha instalação local do DB2 (somente para propósitos de desenvolvedor).

Posso executar o seguinte sem problemas ao executar a janela de comando:

db2 attach to db2 user db2admin using xxxxxxxxxx

Isso me permite anexar à minha instância chamada DB2.

Eu posso executar meus comandos create database.

Em seguida, tento conectar-me ao banco de dados para conceder todos os privilégios para minha conta db2admin no DB2.

db2 CONNECT TO MYDB;
SET SCHEMA DB2ADMIN;
db2 GRANT DBADM,CREATETAB,BINDADD,CONNECT,CREATE_NOT_FENCED_ROUTINE,IMPLICIT_SCHEMA,LOAD,CREATE_EXTERNAL_ROUTINE,QUIESCE_CONNECT,SECADM ON DATABASE TO USER DB2ADMIN;
CONNECT RESET;

No entanto, quando executo isso, o DB2 me diz que minha conta real de usuário do Windows (synprgcma) não tem autoridade para conceder autoridade ao usuário db2admin.

Portanto, se eu alterar o segundo script para o seguinte:

db2 CONNECT TO MYDB USER db2admin USING xxxxxxxx;
SET SCHEMA DB2ADMIN;
db2 GRANT DBADM,CREATETAB,BINDADD,CONNECT,CREATE_NOT_FENCED_ROUTINE,IMPLICIT_SCHEMA,LOAD,CREATE_EXTERNAL_ROUTINE,QUIESCE_CONNECT,SECADM ON DATABASE TO USER DB2ADMIN;
CONNECT RESET;

Em seguida, o DB2 me diz que o db2admin não pode revogar ou conceder autoridade a si mesmo (na verdade, ele me diz que um ID não pode revogar ou conceder autoridade a si mesmo).

Então, eu estou perplexo. Eu não tive esse problema com minha instalação anterior do DB2 (9.5 e não me lembro em qual fix pack eu estava).

Como concedo as autoridades necessárias à conta de administrador local? Acredito que preciso disso para executar um comando de ligação que preciso executar a seguir:

db2 CONNECT TO MYDB;
db2 bind @db2cli.lst blocking all grant public sqlerror continue CLIPKG 20;
db2 CONNECT RESET;

Qualquer ajuda seria apreciada.

Editar: Encontrei alguns dos seguintes links relacionados a isso. Ainda não tenho certeza de como fazê-lo funcionar, mas pelo menos encontrei alguma documentação.

Chris Aldrich
fonte

Respostas:

5

Com base nos últimos links acima em minha edição da minha pergunta, encontrei minha resposta. Não consigo ajustar a conta do sistema, pois nossos logons no sistema são de um LDAP e não posso controlar os grupos e o que não.

Então eu fiz o seguinte:

  1. Abriu a GUI do DB2 (era mais fácil fazer dessa maneira).
  2. Conectado ao banco de dados desejado como db2admin.
  3. Adicionado meu logon ao banco de dados como usuário.
  4. CONCEDE todas as autoridades a esse ID (meu ID).
  5. Desconectar.
  6. Conecte-se ao banco de dados desejado como meu ID.
  7. CONCEDE todas as autoridades ao db2admin.
  8. Desconectar.

Voila! O db2admin efetua logon agora como todas as autoridades.

EDITAR:Vou deixar o exposto acima, pois me ajudou a aprender como fazer algumas coisas interessantes no DB2. No entanto, aprendi que as autoridades DBADM / SECADM com DATAACCESS e ACCESSCTRL concedidas ao proprietário da instância (no meu caso, o db2admin id) têm toda a autoridade necessária para interagir com o banco de dados. Na verdade, eu poderia ter apenas comentado as linhas de concessão acima no script. Esses foram deixados de um script executado em uma versão mais antiga do DB2. Também descobri que, se precisar ter o proprietário da instância DBADM após fazer uma restauração no banco de dados A do banco de dados B, é mais fácil definir a variável de registro DB2_RESTORE_GRANT_ADMIN_AUTHORITY como YES (disponível no Fix Pack 2 e acima). Então não tenho que tentar conceder o proprietário da instância DBADM. É concedido automaticamente a qualquer banco de dados restaurado na instância.

Chris Aldrich
fonte
Não sei o que você quer dizer com GUI do DB2. Existe uma versão da linha de comando que podemos tentar?
Sun
@ sunk818 - as etapas seriam as mesmas, mesmo para a linha de comando. Tem mais a ver com o funcionamento do DB2 em relação à segurança, iniciando na versão 9.7.
Chris Aldrich
Minha preocupação era ter acesso ao SYSADM para criar um banco de dados ... Talvez eu tenha visitado a pergunta errada. ;)
Sun
O SYSADM sempre tem a capacidade de criar um banco de dados. O mesmo acontece com SYSCTRL.
Chris Aldrich