数据库安全涉及的问题
数据库安全是当今最重要的问题。您的数据库可能允许顾客通过互联网购买产品，它也可能包含用来预测业务趋势的历史数据；无论是哪种情况，公司都需要可靠的数据库安全计划。
数据库安全计划应该定义：
允许谁访问实例和/或数据库
在哪里以及如何检验用户的密码
用户被授予的权限级别
允许用户运行的命令
允许用户读取和/或修改的数据
允许用户创建、修改和/或删除的数据库对象
DB2安全机制
DB2中有三种主要的安全机制，可以帮助 DBA 实现数据库安全计划：身份验证（authentication）、授权（authorization） 和特权（privilege）。
身份验证是用户在尝试访问DB2实例或数据库时遇到的第一种安全特性。DB2身份验证与底层操作系统的安全特性紧密协作来检验用户ID和密码。DB2还可以利用Kerberos这样的安全协议对用户进行身份验证。
授权决定用户和/或用户组可以执行的操作以及他们可以访问的数据对象。用户执行高级数据库和实例管理操作的能力由指派给他们的权限决定。在 DB2 中有5种不同的权限级别：SYSADM、SYSCTRL、SYSMAINT、DBADM和LOAD。
特权的粒度比授权要细，可以分配给用户和/或用户组。特权定义用户可以创建或删除的对象。它们还定义用户可以用来访问对象（比如表、视图、索引和包）的命令。DB2 9中新增的一个概念是基于标签的访问控制（LBAC），它允许以更细的粒度控制谁有权访问单独的行和/或列。
客户机、服务器、网关和主机
数据库环境常常由几台不同的机器组成；必须在所有潜在的数据访问点上保护数据库。在处理 DB2 身份验证时客户机、服务器、网关和主机的概念尤其重要。
数据库服务器是数据库实际所在的机器（在分区的数据库系统上可能是多台机器）。DB2数据库客户机是对服务器上的数据库执行查询的机器。这些客户机可以是本地的（驻留在与数据库服务器相同的物理机器上），也可以是远程的（驻留在单独的机器上）。
如果数据库驻留在运行AS/400（iSeries）或OS/390（zSeries）的大型机上，它就称为主机或主机服务器。
网关是一台运行DB2 Connect产品的机器。DB2客户机可以通过网关连接驻留在主机上的DB2数据库。
网关也称为DB2 Connect服务器。安装了 Enterprise Server Edition产品的系统也内置了DB2 Connect功能。

DB2身份验证

DB2 身份验证控制数据库安全计划的以下方面：

谁有权访问实例和/或数据库
在哪里以及如何检验用户的密码

在发出attach或connect命令时，它在底层操作系统安全特性的帮助下完成这个任务。attach命令用来连接DB2实例，connect命令用来连接DB2实例中的数据库。下面的示例展示了DB2对发出这些命令的用户进行身份验证的不同方式。具体如下

用创建 DB2 实例时使用的用户ID登录到安装 DB2 的机器上。发出以下命令：

$ db2 attach to db2inst1
?? Instance Attachment Information

?Instance server??????? = DB2/LINUX 9.7.5
?Authorization ID?????? = DB2INST1
?Local instance alias?? = DB2INST1

在这里，隐式地执行身份验证。使用登录机器的用户ID，并假设这个ID已经经过了操作系统的检验。

$ db2 connect to sample user db2inst1 using a
?? Database Connection Information

?Database server??????? = DB2/LINUX 9.7.5
?SQL authorization ID?? = DB2INST1
?Local database alias?? = SAMPLE

在这里，显式地执行身份验证。用户db2inst1和密码a由操作系统进行检验。用户db2inst1成功地连接到示例数据库。

db2 connect to sample user test1 using password new chgpass confirm chgpass

与上例中一样，用户ID db2inst1和密码password由操作系统进行检验。然后，操作系统将db2inst1的密码从a改为chgpass。因此，如果再次发出例 2 中的命令，它就会失败。

DB2身份验证类型

DB2使用身份验证类型决定在什么地方进行身份验证。例如，在客户机---服务器环境中，是客户机还是服务器检验用户的 ID和密码？在客户机---网关---主机环境中，是客户机还是主机检验用户的ID和密码？

DB2 9能够根据用户是试图连接数据库，还是执行实例连接和实例级操作，指定不同的身份验证机制。在默认情况下，实例对于所有实例级和连接级请求使用一种身份验证类型。这由数据库管理程序配置参数AUTHENTICATION来指定。V9.1 中引入了数据库管理程序配置参数 SRVCON_AUTH。这个参数专门处理对数据库的连接。例如，如果在DBM CFG 中进行以下设置：

$ db2 get dbm