資料庫系統中資料存取許可權的有效控制，是系統安全性的根本保證，包括資料物件和操作型別兩方面。從資訊角度來說就是為了保證資訊自身的安全，資料庫管理系統要能夠防止資訊的丟失和被內外部破壞。為達到這一目的，資料庫管理員需要為每個使用者賦予不同的許可權，在滿足不同使用者的需求的前提下，對其能力加以限制，從而避免賬戶洩露、許可權濫用等導致的資料安全問題。作為廣泛應用於金融、電信等超大規模領域的 GBase 8s ，是如何為不同使用者進行許可權管理的呢？本篇文章將從“使用者管理、許可權管理”兩個方面為您揭開它的神祕面紗。

概述

GBase 8s 的使用者管理，與其它關係型資料庫稍有不同，主要表現在：

GBase 8s 支援使用作業系統的使用者，訪問資料庫。作業系統的使用者在授權後，可以直接訪問 GBase 8s 資料庫，其它的關係型資料庫，通常使用資料庫的內建使用者訪問資料庫中的資料，不支援使用作業系統使用者直接訪問資料庫中資料。

GBase 8s 支援建立和使用資料庫內部使用者，訪問資料庫中的資料。這一特性在資料庫安裝後預設是關閉的，需要資料庫管理員修改引數，開啟這一特性。

GBase 8s 使用庫級許可權和表級許可權管理使用者對資料的訪問。

庫級許可權為： CONNECT ， RESOURCE 和 DBA 。只有獲取庫級許可權，才可以連線到資料庫。

表級許可權為： SELECT ， INSERT ， UPDATE ， DELETE ， INDEX ， ALTER ， REFERENCE ， ALL 。

GBase 8s 的內部有一個內建的 public 組，內部使用者對資料庫的訪問許可權為 public 組標準許可權加上內部使用者的專有許可權， public 組預設對錶有查詢，新增，更新，刪除，索引許可權。資料庫管理員可以根據需要，修改 public 的標準許可權。

1.  使用者管理

GBase 8s 的使用者分為：

作業系統使用者

GBase 8s 可以使用作業系統的一個使用者，在授權後訪問資料庫。

內部使用者

1 、使用資料庫內部一個使用者進行訪問。

2 、內部使用者需要使用一個作業系統使用者做為代理。

3 、可以建立一個預設使用者，簡化使用者的建立。

GBase 8s 的使用者體系圖：

 

作業系統使用者

建立作業系統使用者

下面資訊以 CentOS 7 為例，說明了作業系統使用者的建立和刪除語法。

語法：

 

示例：

 

在 CentOS 7 中，可以簡寫為：

 

說明：建立後的作業系統使用者，不能立即訪問 GBase 8s 中的資料，需要在授權後，才可以連線資料庫，並訪問資料庫中的資料。使用者的授權，請參考下面的許可權管理。

刪除作業系統使用者

語法：

 

示例：

 

內部使用者

GBase 8s 的內部使用者預設為不允許使用。如果需要使用 GBase 8s 的內部使用者，需要修改相應引數配置，並使之生效。

配置引數

配置 onconfig 中的 USERMAPPING 引數，允許使用內部使用者訪問 GBase 8s ，當該引數為 OFF 時，不允許使用內部使用者訪問 GBase 8s 。

 

配置作業系統代理使用者

GBase 8s 代理使用者的配置檔案，一般儲存在 /etc/gbasedbt/allowed.surrogates 中。

在該配置檔案中，可以配置代理的使用者和組。多個使用者和組資訊，可以用逗號分隔。使用者配置資訊以 users 關鍵字和冒號開頭，組配置資訊以 groups 關鍵字和冒號開頭。

代理使用者配置示例如下：

 

修改後的配置資訊不會立即生效，需要資料庫管理員更新配置資訊，可以通過重啟資料庫更新資訊。

注：一定要提前建立好代理使用者，且在修改該配置引數後，一定要更新資料庫的代理使用者快取資訊。

經過上面的配置後， GBase 8s 可以建立和使用資料庫的內部使用者，訪問資料庫中的資料了。

建立預設內部使用者

可以建立一個預設使用者，做為其它內部使用者的模板。

語法：

 

示例：

 

建立預設使用者後， GBase 8s 會建立一個名為 public 的內部組。

建立內部使用者（以預設使用者屬性為模板）

語法：

 

示例：

 

建立內部使用者（獨立屬性）

語法：

 

示例：

 

2.  許可權管理

許可權分類

GBase 8s 的許可權分為資料庫許可權和表許可權。

資料庫許可權

表許可權

為使用者授予許可權

語法：

 

示例：

 

通過“使用者管理、許可權管理”兩個方面的加強， GBase 8s 構建了強大的安全機制，有效地保障了庫中的資料資訊保安，為我國金融、電信等行業的資料資訊保安提供中國力量！