An toàn DB2 UDB, Phần 1: Hiểu cách các tài khoản
người dùng và nhóm tương tác với DB2 UDB
Giới thiệu
Những người mới dùng DB2 UDB thường hay hỏi về các tài khoản người dùng và nhóm cần
thiết cho một bản cài đặt và môi trường hoạt động của DB2 UDB. Trong bài này, bạn sẽ tìm hiểu
về các tương tác chính của DB2 UDB với những người dùng và các nhóm. Bài này mô tả tài
khoản người dùng mà bạn sẽ cần đến khi cài đặt DB2 UDB trên các hệ điều hành Linux, UNIX
và Windows, cũng như các tài khoản bổ sung mà bạn sẽ cần để chạy các quy trình và các dịch vụ
DB2 UDB khác nhau. Bài này cũng đánh giá mô hình an toàn DB2 UDB, bao gồm việc xác thực
người dùng, ủy quyền của người dùng và nhóm, và các siêu người dùng. Bài này áp dụng cho
Phiên bản 8.2 của DB2 UDB cho Linux, UNIX, và Windows; tuy nhiên, nhiều phần trong bài
này cũng có thể áp dụng cho các phiên bản DB2 UDB cũ hơn.
Về đầu trang
Mô hình an toàn DB2 UDB
Mô hình an toàn DB2 UDB gồm hai thành phần chính: xác thực và ủy quyền. Hình 1 đưa ra một
tổng quan về mô hình an toàn DB2 UDB.

Hình 1. Mô hình an toàn DB2 UDB

Xác thực
Việc xác thực là quá trình xác nhận hợp lệ một mã định danh (ID) và mật khẩu đã cấp cho người
dùng khi sử dụng một cơ chế an toàn. Việc xác thực người dùng và nhóm được quản lý trong
một phương tiện ngoài thay cho DB2 UDB, như hệ điều hành, một trình điều khiển miền, hoặc
một hệ thống an toàn Kerberos. Điều này khác với các hệ thống quản lý cơ sở dữ liệu khác (các
DBMS), như Oracle và SQL Server, là ở đây các tài khoản người dùng có thể được định nghĩa
và xác thực trong chính cơ sở dữ liệu đó, cũng như trong một phương tiện bên ngoài như hệ điều
hành.
Bất kỳ lúc nào cung cấp trực tiếp cho DB2 UDB một ID và mật khẩu người dùng như là một
phần của một cá thể đính kèm hoặc yêu cầu kết nối cơ sở dữ liệu, DB2 UDB cố gắng xác nhận
ID và mật khẩu người dùng đó bằng cách sử dụng phương tiện an toàn bên ngoài này. Nếu ID
hoặc mật khẩu người dùng không được cung cấp kèm với yêu cầu, DB2 UDB ngầm sử dụng ID

về một thông báo lỗi cho ứng dụng khách, tương tự như sau:

Liệt kê 1. DB2 UDB trả về một thông báo cho ứng dụng này khi xác thực người dùng
không thành công
SQL30082N Attempt to establish connection
failed with security
reason "24" ("USERNAME AND/OR PASSWORD
INVALID"). SQLSTATE=08001

Một mục nhập tương tự như sau cũng xuất hiện trong bản ghi nhật ký chẩn đoán DB2 UDB
(db2diag.log) trên máy chủ DB2 UDB:

Liệt kê 2. Thông báo trong bản ghi nhật ký chẩn đoán của DB2 khi xác thực người dùng
không thành công
2005-07-09-16.18.33.546000-
240 I729347H256
LEVEL: Severe
PID : 3888 TID : 604
FUNCTION: DB2 Common, Security, Users and
Groups, secLogMessage, probe:20
DATA #1 : String, 44 bytes
check password failed with rc = -2146500502

Trên Windows, có thể tìm thấy bản ghi nhật ký chẩn đoán trong thư mục gốc Instance, theo mặc
định là C:\Program Files\IBM\SQLLIB\DB2 . Trên UNIX, theo mặc định, bản ghi này đặt ở
<DB2PATH>/DB2/db2dump, ở đây <DB2PATH> là đường dẫn của chủ sở hữu cá thể.
Nếu bạn luôn gặp phải các thông báo này, hãy bảo đảm rằng người dùng hay ứng dụng nối đến
cơ sở dữ liệu đã cung cấp một ID và mật khẩu người dùng hợp lệ. ID và mật khẩu người dùng
này phải tồn tại trong phương tiện mà việc xác thực người dùng được thiết lập để diễn ra ở đó
(được xác định bởi tham số AUTHENTICATION của cá thể DB2 UDB đích).

bạn đưa ra câu lệnh sau trong khi kết nối tới cơ sở dữ liệu finance:
GRANT SELECT ON TABLE ADM.TAXCODE TO USER XYZ
ở đây xyz là bất kỳ chuỗi ký tự nào không ánh xạ tới một người dùng hiện có trong phương tiện
an toàn bên ngoài, sau đó DB2 UDB sẽ hiển thị xyz trong các công cụ giao diện người dùng đồ
họa (GUI) của nó hoặc trong một số các bảng danh mục, như được minh họa trong Hình 2. Điều
này không có nghĩa là một người dùng tên là xyz tồn tại hoặc đã được tạo ra.

Hình 2. Các đặc quyền bảng sau khi cấp các đặc quyền cho một người dùng không xác
định

Phần dưới cùng của Hình 1 cho thấy một ví dụ về một kịch bản uỷ quyền. Người dùng có tên là
bob, người trước đó đã kết nối thành công, bây giờ cố gắng thực hiện một câu lệnh SELECT trên
bảng ADM.TAXCODES. DB2 UDB sẽ tìm trong các bảng danh mục của nó để xem liệu người
dùng này đã được cấp phép với câu lệnh SELECT từ bảng này chưa. Do đặc quyền này trước
đây được cấp cho bob, nên DB2 UDB cho phép tiếp tục thực hiện câu lệnh SELECT.
Nếu người dùng không được uỷ quyền thực hiện một hoạt động đối với một đối tượng cụ thể,
DB2 UDB từ chối hoạt động này và trả về một thông báo lỗi đến ứng dụng khách. Ví dụ, nếu
người dùng bob đã cố INSERT (chèn) một hàng vào bảng ADM.TAXCODES, nhưng lại không
có đủ các đặc quyền để làm như vậy, thông báo lỗi sau sẽ được trả về:

Liệt kê 3. DB2 UDB trả về thông báo khi ủy quyền người dùng không thành công
DB21034E The command was processed as an SQL
statement because it
was not a valid Command Line Processor
command. During SQL
processing it returned:
SQL0551N "BOB" does not have the privilege to
perform
operation "INSERT" on object "ADM.TAXCODES".


Việc định nghĩa các ủy quyền theo cách này cho phép bạn phân biệt giữa các quản trị viên DB2
UDB và các quản trị viên hệ thống/mạng. Ví dụ, có thể một quản trị viên (DBA) được yêu cầu
có đầy đủ ủy quyền quản trị trên cá thể DB2 UDB, nhưng không phải trên máy tính hoặc mạng
cục bộ. Trong trường hợp này, có thể thêm tài khoản người dùng của DBA vào một nhóm không
có các quyền truy cập đầy đủ vào hệ thống/mạng, nhưng có thể có các quyền truy cập đầy đủ vào
cá thể DB2 UDB, bằng cách xác định tên nhóm đó trong tham số cá thể SYSADM_GROUP.
Trong lúc cài đặt DB2 UDB mặc định trên Windows, các giá trị của các tham số ủy quyền siêu
người dùng mức-cá thể này (SYSADM_GROUP, SYSCTRL_GROUP, SYSMAIN_GROUP, SYSMON_GROUP)
mặc định tới NULL (bằng không). Điều này có nghĩa là ủy quyền siêu người dùng được cấp cho
bất kỳ tài khoản hợp lệ nào thuộc về nhóm Administrators (các quản trị viên) cục bộ. Chúng tôi
đánh giá cao đề nghị thay đổi trực tiếp giá trị của các tham số này theo các tên nhóm hợp lệ để
ngăn chặn truy cập trái phép. Trên các bản cài đặt Linux và UNIX, việc này không phải là một
mối quan tâm lớn, vì một giá trị NULL mặc định cho nhóm chính của chủ sở hữu cá thể, mà theo
mặc định sau khi cài đặt chủ sở hữu cá thể chỉ gồm có ID người dùng của mình.
Cũng có thể gán cho những người dùng một tập các ủy quyền mức-cơ sở dữ liệu. Các ủy quyền
cơ sở dữ liệu được cấp bằng cách sử dụng các câu lệnh SQL GRANT và REVOKE tiêu chuẩn.
Có thể tìm thấy nhiều thông tin hơn về các mức ủy quyền cơ sở dữ liệu trong tài liệu DB2 UDB
(xem phần Tài nguyên.)
Các lệnh hệ thống DB2 UDB như db2, db2ilist, db2start, db2stop, db2iupdt và v.v , là các
lệnh có thể thực thi được của hệ điều hành. Vì vậy, cơ chế an toàn để chạy các lệnh này được
dựa vào các quyền hạn của các tệp của hệ điều hành. Các quyền hạn của các tệp được thiết lập
lúc cài đặt DB2 UDB.
Về đầu trang
Các quy tắc đặt tên tài khoản người dùng và nhóm của DB2 UDB
Trong DB2 UDB, các tài khoản người dùng và nhóm phải tuân thủ các quy tắc đặt tên được mô
tả trong Bảng 1 và 2. Các hạn chế này nằm ngoài bất kỳ các hạn chế nào có hiệu lực trong
phương tiện ở đó định nghĩa các tài khoản.
Bảng 1. Các giới hạn và các hạn chế bởi nền
tảng
Giới hạn Windows Linux/UNIX

USERS, ADMINS, GUESTS, PUBLIC (3),
LOCAL, hoặc bất kỳ từ SQL dành riêng nào
Các tên không
thể bắt đầu
bằng
IBM, SQL, SYS, một số hoặc một dấu gạch
dưới
Các ký tự
không được
Các ký tự có trọng âm
phép
Các ký tự được
phép (4)
Từ A đến Z (Khi sử dụng trong hầu hết các
tên, các ký tự từ A đến Z được chuyển đổi từ
chữ thường thành chữ hoa).

0 đến 9

! % ( ) { } . - ^ ~ _ (dấu gạch dưới) 7 @, #, $,
\ (dấu gạch chéo ngược) và khoảng trống
(3) DB2 UDB sử dụng bên trong một nhóm-giả có tên là PUBLIC (công khai), có thể cấp và hủy
bỏ các đặc quyền. Trên thực tế PUBLIC không phải là một nhóm được định nghĩa trong phương
tiện an toàn ngoài. Đó là một cách để gán các đặc quyền cho bất kỳ người dùng nào đã xác thực
thành công.
(4) Cũng có thể sử dụng các ký tự đặc biệt khác, tùy thuộc vào hệ điều hành của bạn và ở đó bạn
đang làm việc với DB2 UDB. Tuy nhiên, để tránh sự không nhất quán và các vấn đề tiềm năng,
không sử dụng các ký tự đặc biệt khác này khi đặt tên các đối tượng trong cơ sở dữ liệu của bạn.
Việc cài đặt DB2 UDB với các ID người dùng mặc định (ví dụ, db2admin) và cung cấp một mật
khẩu yếu (hoặc không có gì cả) có thể đặt hệ thống của bạn vào nguy hiểm. Nhiều virus, sâu và

 Tài khoản người dùng của chủ sở hữu cá thể DB2 UDB.
Tài khoản người dùng cài đặt
Trước khi chạy Trình hướng dẫn cài đặt DB2 (DB2 Setup wizard), bạn cần phải định nghĩa một
tài khoản người dùng cài đặt. Tài khoản này có thể là một tài khoản người dùng hay miền cục bộ.
Tài khoản phải thuộc nhóm Administrators trên máy tính thực hiện cài đặt này. Khi sử dụng các
tài khoản miền, tài khoản cài đặt phải thuộc nhóm Domain Administrators (Các quản trị viên
miền) trên miền ở đó các tài khoản người dùng thiết lập khác sẽ được tạo ra. Bạn cũng có thể sử
dụng tài khoản LocalSystem dựng sẵn để chạy cài đặt này cho tất cả các sản phẩm ngoại trừ DB2
UDB Enterprise Server Edition (Ấn bản doanh nghiệp của máy chủ DB2 UDB).
Bạn có thể định nghĩa các tài khoản người dùng khác trước lần cài đặt này, hoặc bạn có thể để
cho Trình hướng dẫn cài đặt DB2 tạo chúng cho bạn. Tất cả các tên tài khoản người dùng phải
tuân theo các quy tắc đặt tên hệ thống của bạn cũng như các quy tắc đặt tên của DB2 UDB.
Tài khoản người dùng DAS
Cần có một tài khoản cục bộ và miền để quản lý DAS (Máy chủ quản trị DB2). DAS là một dịch
vụ đặc biệt hỗ trợ các công cụ GUI và trợ giúp các nhiệm vụ quản trị. DAS có một tài khoản
người dùng đã gán dùng để để khởi động dịch vụ khi DB2 UDB được tải. Trong Trình hướng
dẫn cài đặt DB2, một trong các màn hình (được hiển thị trong Hình 3) sẽ nhắc bạn chọn một tài
khoản người dùng có thể được dùng để khởi động dịch vụ DAS.

Hình 3. Chỉ định tài khoản người dùng DAS trong Trình hướng dẫn cài đặt DB2

Bạn có thể tạo tài khoản người dùng này trước khi cài đặt DB2 UDB và chỉ rõ nó trong màn hình
này, hoặc bạn có thể dùng Trình hướng dẫn cài đặt DB2 tạo nó cho bạn. Theo mặc định, trình
hướng dẫn này tạo ra một tài khoản mới tên là db2admin (tuy vậy, bạn có thể đặt cho nó bất cứ
tên nào bạn thích). Tài khoản người dùng DAS cũng phải thuộc nhóm Administrators trên máy
tính ở đó bạn sẽ thực hiện cài đặt này. Nếu bạn muốn dùng Trình hướng dẫn cài đặt DB2 tạo một
tài khoản người dùng miền mới, tài khoản người dùng mà bạn sử dụng để thực hiện cài đặt này
phải có quyền tạo các tài khoản người dùng miền.
Các quyền người dùng sau đây sẽ được cấp tự động cho tài khoản này khi nó được các trình
hướng dẫn cài đặt tạo ra:

Bạn có thể tạo tài khoản người dùng của chủ sở hữu cá thể DB2 UDB trước khi cài đặt DB2
UDB, hoặc bạn có thể dùng Trình hướng dẫn cài đặt DB2 tạo nó cho bạn. Nếu bạn muốn dùng
Trình hướng dẫn cài đặt DB2 tạo một tài khoản người dùng miền mới cho bạn, khi bạn thực hiện
lần cài đặt này bạn phải sử dụng một tài khoản người dùng có ủy quyền để tạo các tài khoản
người dùng miền. Tài khoản người dùng cũng phải thuộc nhóm Administrators trên máy tính mà
bạn sẽ thực hiện lần cài đặt này. Các quyền người dùng sau sẽ được cấp tự động cho tài khoản
này khi được Trình hướng dẫn cài đặt DB2 tạo:
 Làm thay một phần của hệ điều hành
 Gỡ lỗi các chương trình
 Tạo đối tượng mã thông báo
 Tăng các hạn ngạch
 Khóa các trang trong bộ nhớ
 Đăng nhập là một dịch vụ
 Thay thế một mã thông báo mức quy trình
Nếu bạn đã tạo hoặc quy định một tài khoản khác, hãy chắc chắn tài khoản đó cũng có các quyền
người dùng nói trên. Để đảm bảo các quyền này được thiết lập đúng, mở Control Panel của
Windows (Start > Settings > Control Panel) và nhấn đúp chuột vào biểu tượng Administrative
Tools. Nhấn đúp chuột vào biểu tượng Local Security Policy. Đối với từng chính sách được liệt
kê ở trên, đảm bảo rằng người dùng được bao gồm trong danh sách của những người dùng và các
nhóm có ủy quyền. Việc cung cấp một mật khẩu không đúng sẽ làm cho một dịch vụ không tải
được trong lúc khởi động DB2 UDB và có khả năng ngăn không cho bạn thực hiện một số hoạt
động.
Trong một bản cài đặt mặc định của Windows, một cá thể có tên là DB2 được tạo ra tự động.
Bạn có thể tạo ra các cá thể khác hoặc loại bỏ các cá thể hiện có bằng cách sử dụng các tiện ích
tương ứng là db2icrt và db2idrop. Có thể tìm thấy các tiện ích này trong thư mục
DB2PATH\sqllib\bin, ở đây DB2PATH DB2PATH là nơi bạn đã cài đặt DB2 UDB. Để chạy các
tiện ích này, bạn phải sử dụng một tài khoản người dùng có ủy quyền Administrator cục bộ. Nếu
bạn đưa ra một tài khoản và mật khẩu người dùng làm các tham số khi bạn tạo ra cá thể này, nó
sẽ sử dụng tài khoản người dùng đó cho riêng mình và khởi động dịch vụ. Nếu bạn không cung
cấp một tài khoản và mật khẩu người dùng, tài khoản LocalSystem sẽ được sử dụng để thay thế.

hiện tại) cho một lược đồ.
Hình 4 cho thấy một danh sách của một số các quá trình DB2 UDB đang chạy trên một hệ thống
DB2 UDB đang hoạt động. Như bạn có thể thấy, mỗi quy trình có liên quan với một chủ sở hữu
(tên người dùng). Để có một mô tả về tất cả các quy trình liên kết với DB2 UDB, hãy tham khảo
"Tất cả mọi thứ bạn muốn biết về các quy trình cơ sở dữ liệu phổ biến của DB2"
(developerWorks, 04. 2003).

Hình 4. Xem các quy trình DB2 UDB đang chạy

Để thay đổi tài khoản người dùng đang được dùng để khởi động một dịch vụ DB2 UDB, hãy mở
ô Services (Start > Settings > Control Panel > Administrative Tools > Services). Nhấn chuột
phải vào một dịch vụ DB2 UDB để xem các đặc tính của nó. Nhấn vào thẻ Log On ở trên cùng
của cửa sổ Service properties (Các thuộc tính dịch vụ) (Hình 5). Trong thẻ này, bạn có thể chỉ rõ
tài khoản người dùng mà bạn muốn dịch vụ sử dụng khi khởi động nó, hoặc bạn có thể chỉ định
LSA. Nhấn vào OK để lưu lại các lựa chọn của bạn và đóng cửa sổ các thuộc tính cho dịch vụ
đó.

Hình 5. Cửa sổ Các đặc tính đăng nhập dịch vụ DAS

Nói chung, bạn nên sử dụng một tài khoản người dùng riêng biệt và dễ định danh để khởi động
các dịch vụ DB2 UDB. Tuy nhiên, nếu các tài khoản người dùng được kiểm soát chặt chẽ hơn
trong môi trường của bạn, bạn có tùy chọn sử dụng các tài khoản người dùng hiện có hoặc sử
dụng tài khoản LocalSystem để khởi động các dịch vụ này. Sau khi thiết lập một tài khoản để
chạy một dịch vụ, không thể xóa được tài khoản đó hoặc trái lại các dịch vụ khác có liên quan
đến tài khoản đó sẽ không khởi động được. Điều này đúng ngay cả khi bạn tạo lại tài khoản bằng
cách sử dụng cùng một tên. Trong các trường hợp như vậy, bạn phải chuyển vào ô các dịch vụ
bằng thủ công như đã mô tả trước đây và cấu hình lại tài khoản người dùng được sử dụng để
khởi động dịch vụ.
Các nhóm DB2USERS và DB2ADMNS
Khi bắt đầu với phiên bản 8.2 của DB2 UDB, tính năng an toàn bổ sung được thêm vào DB2

Xem xét NIS/NIS+
Nếu sử dụng phần mềm NIS/NIS+ hoặc phần mềm an toàn tương tự trong môi trường của bạn,
bạn phải tạo các tài khoản người dùng và nhóm cần thiết của DB2 UDB bằng cách thủ công
trước khi bạn cài đặt DB2 UDB. Hãy tham khảo chủ đề NIS trong tài liệu DB2 UDB (xem phần
Tài nguyên) trước khi bạn bắt đầu.
Trong các hệ điều hành Linux và UNIX, một số tài khoản người dùng và nhóm thường cần dùng
để cài đặt và hoạt động DB2 UDB:
 Tài khoản người dùng cài đặt
 Tài khoản người dùng DAS (Máy chủ quản trị của DB2)
 Tài khoản người dùng chủ sở hữu cá thể DB2 UDB
 Tài khoản người dùng thường trình có rào chắn DB2 UDB
Theo mặc định, Trình hướng dẫn cài đặt DB2 tạo ra các tài khoản người dùng và nhóm này tự
động trong lúc cài đặt máy chủ DB2 UDB. Ngoài ra, bạn có thể chỉ định một tài khoản người
dùng hiện có trong lúc cài đặt.
Tài khoản người dùng cài đặt
Bạn phải cài đặt DB2 UDB bằng cách sử dụng tài khoản "root" (chủ). Đây là tài khoản người
dùng duy nhất có đủ các đặc quyền để thực hiện cài đặt.
Tài khoản người dùng của chủ sở hữu cá thể
Một cá thể DB2 UDB được tạo ra trong thư mục chủ của chủ sở hữu cá thể. Tài khoản người
dùng này kiểm soát tất cả các quy trình DB2 UDB và sở hữu tất cả các hệ thống tệp và các thiết
bị do các cơ sở dữ liệu chứa trong cá thể đó sử dụng. ID người dùng mặc định được sử dụng cho
chủ sở hữu cá thể DB2 UDB trong một bản cài đặt DB2 UDB là db2inst1, và nhóm mặc định là
db2iadm1. Nếu tên người dùng đã tồn tại, Trình hướng dẫn cài đặt DB2 gắn thêm một số từ 1
đến 99 vào tên người dùng mặc định, cho đến khi có thể tạo ra một ID người dùng chưa có. Ví
dụ, nếu những người dùng db2inst1 và db2inst2 đã có trong cài đặt DB2 UDB mới, trình hướng
dẫn tạo người dùng db2inst3. Nếu người dùng này đã tồn tại, trình hướng dẫn tiếp tục việc tìm
kiếm của mình (db2inst4, db2inst5 và v.v ) cho đến khi nó tìm được một người dùng có thể
dùng được. Thuật toán đặt tên này cũng được áp dụng cho việc tạo ra tài khoản người dùng có
rào chắn và tài khoản người dùng của trình ứng dụng quản trị DB2.
Một cách thực hành tốt là hạn chế tài khoản người dùng của chủ sở hữu cá thể là thành viên của

thể.
Một khi khởi động quá trình DAS bằng tài khoản này, cũng phải dừng nó bằng tài khoản này. Vì
vậy, trong Linux và UNIX, bạn phải sử dụng lệnh su - <DAS user> để chuyển sang tài khoản
người dùng DAS để khởi động và dừng quá trình DAS.
Tài khoản người dùng có rào chắn
Tài khoản người dùng có rào chắn được sử dụng để chạy các hàm do người dùng định nghĩa
(UDF) và các thủ tục đã lưu bên ngoài vùng địa chỉ (bộ nhớ) do máy DB2 UDB sử dụng. Đôi
khi, nếu một thủ tục hoặc hàm không ổn định hoặc đang được thử nghiệm, nó sẽ được định nghĩa
là FENCED (có rào chắn) sao cho có thể chạy nó trong vùng địa chỉ của quá trình của nó. Theo
cách này, nếu chức năng hoặc thủ tục bị sự cố hoặc chấm dứt bất thường, nó sẽ không ảnh hưởng
đến bất kỳ các quá trình cá thể nào khác. Tài khoản người dùng mặc định được tạo cho người
dùng có rào chắn là db2fenc1 và nhóm mặc định là db2fadm1. Vì các lý do an toàn, chúng tôi
khuyên bạn không sử dụng tài khoản chủ sở hữu cá thể cho tài khoản người dùng có rào chắn.
Nếu bạn không cần mức an toàn này ví dụ, nếu bạn đang chạy trong một môi trường thử
nghiệm, hoặc bạn không có kế hoạch sử dụng các UDF có rào chắn hoặc các thủ tục đã lưu
bạn có thể sử dụng tài khoản chủ sở hữu cá thể thay vì tạo ra một tài khoản người dùng . Khi tạo
ra các cá thể mới, các tài khoản người dùng có rào chắn phải được xác định như là một phần của
lệnh tạo cá thể (db2icrt -u <Fenced_ID>).
Thiết lập môi trường DB2 UDB cho những người dùng Linux và UNIX
Kiểm tra vị trí đường dẫn DB2 UDB
Sử dụng lệnh which db2 để đảm bảo rằng đường dẫn tìm kiếm của bạn đã được thiết lập đúng.
Điều này đặc biệt quan trọng khi bạn có nhiều cá thể đang chạy trên cùng một máy chủ. Lệnh
này sẽ trả về đường dẫn tuyệt đối có thể thực hiện được của bộ xử lý dòng lệnh (CLP). Kiểm tra
xem nó có được đặt trong thư mục sqllib của cá thể đúng không.
Các môi trường Linux và UNIX bắt tuân thủ an toàn chắc chắn ở mức người dùng; các tệp và các
quá trình liên kết với một tài khoản người dùng không thể truy cập trực tiếp bởi người dùng
khác. Theo mặc định, khi tạo một cá thể DB2 UDB mới, một kịch bản lệnh của môi trường DB2
UDB đặc biệt được gọi là db2profile cũng được thêm vào hồ sơ hệ thống của chủ sở hữu cá thể,
để cho kịch bản lệnh này được chỉ rõ nguồn gốc mỗi khi chủ sở hữu cá thể đăng nhập vào hệ
thống. Các kịch bản lệnh này thiết lập quyền truy cập vào môi trường cơ sở dữ liệu và cho phép

tiện tạo lịch biểu được thiết kế để cho cơ sở dữ liệu danh mục của các công cụ không cần phải
lưu trú trên cùng một cùng máy chủ DB2 UDB mà ở đó các nhiệm vụ được tạo lịch để chạy.
Trong trường hợp này, trình lịch biểu trên máy chủ DB2 UDB cần kết nối với cơ sở dữ liệu danh
mục của các công cụ để lấy ra bất kỳ thông tin cần thiết nào về các nhiệm vụ được chạy.
Tài khoản trình lịch biểu được các tham số cấu hình SCHED_USERID điều khiển. Tham số này chỉ
thích hợp nếu cơ sở dữ liệu danh mục các công cụ không nằm trên cùng một máy tính như máy
chủ quản trị DB2. Bạn có thể xem giá trị của tham số này bằng cách ban hành lệnh db2 get
admin cfg.
Để thay đổi giá trị của tham số này, bạn có thể dùng lệnh db2admin setschedid <user_ID>
<password> ở đây <user_ID> và <password> là ID và mật khẩu người dùng mà bạn cần trình
lịch biểu sử dụng để kết nối với cơ sở dữ liệu danh mục của các công cụ từ xa.
Liệt kê 7 cho thấy các kết quả sau khi thiết lập ID của trình lịch biểu với một giá trị là xtradba.

Liệt kê 7. Một danh sách của các tham số DAS và giá trị của chúng có thể cấu hình được
C:\>db2 get admin cfg

Admin Server Configuration

Authentication Type DAS
(AUTHENTICATION) = SERVER_ENCRYPT

DAS Administration Authority Group Name
(DASADM_GROUP) =

DAS Discovery Mode
(DISCOVER) = DISABLE
Name of the DB2 Server System
(DB2SYSTEM) = TEDWAS

Java Development Kit Installation Path DAS

cũng như cách định nghĩa siêu người dùng cho một cá thể DB2 UDB. Bạn đã tìm hiểu về các tài
khoản người dùng và nhóm mặc định được yêu cầu và/hoặc tạo một bản cài đặt DB2 UDB và
cách cấu hình chúng. Với hiểu biết tốt hơn về cách các tài khoản người dùng và nhóm tương tác
với DB2 UDB, bạn có thể lập kế hoạch và thực hiện cấu hình tài khoản người dùng và nhóm tối
ưu cho môi trường của bạn.