CUBRID는 데이터베이스 서버 이외에 CUBRID Manager라는 전용 도구와 통신하는 CUBRID Manager서버를 더 포함하여 구성된다. 이 때문에 권한 사용자도2종류로 구성되는데, 1) 데이터베이스마다 생성할 수 있는 사용자, 2) 여러 개의 데이터베이스에 대해 운영관리를 수행할 수 있는 CM 사용자이다.
그림에서 확인할 수 있듯이 CUBRID 서버는 데이터베이스별 사용자를 관리하고, CM 서버는 CM 사용자를 관리한다. 또한, CM 사용자는 모든 DB에대해 운영 관리를 수행할 수 있는 상위 개념의 유저이다.
<< CUBRID구조에 따른 DB_user 및 CM_user의 개념 구조 >>
사용자아이디 | 디폴트 비밀번호 | 사용자구분 | 개념 | 주의사항 |
admin | admin | CM사용자(디폴트생성) | 수퍼 CM관리자 | 모든 DB접근가능 |
dba | 공백 | DB사용자(디폴트생성) | 수퍼 DB관리자 | 해당 DB에 대한 모든 권한 가짐 |
cm_user1 | CM사용자(임의생성) | DB1, DB2만 접근허용 | ||
DB3는 접근불가 | ||||
cm_user2 | CM사용자(임의생성) | DB1, DB2만 접근허용 | ||
DB3는 접근불가 | ||||
db1_user | DB사용자(임의생성) | DB1의 일반유저 | 특정 연산에 대해서 권한 제한 필요 | |
db2_user | DB사용자(임의생성) | DB2의 일반유저 | 특정 연산에 대해서 권한 제한 필요 |
<<CUBRID 구조에 따른 DB_user 및 CM_user의 개념 테이블 >>
이처럼 하나의 장비에 여러 데이터베이스를 생성하여 운영하는 환경에서는 CM 사용자와 DB 사용자 권한을 적절하게 관리할 필요가 있다.
1. CM 사용자를 추가하여 특정 DB만 연결 할수 있도록 설정하기
admin 사용자로 CM을 접속한 후 해당 호스트를지정한 체 [도구]->[사용자관리]를 선택하여 cm_user1을 생성한다. 이름과 비번, 권한을 지정한 후[다음]을 선택하면 설치된 데이터베이스 목록을 확인 할 수 있다. [그림1]과 같이 설정한다.
<<그림2. cm_user1의 데이터베이스 권한 목록>>
※참고 : admin이추가한 CM일반 사용자는 DB를 생성하거나 삭제할 수 없다.
2 . CM사용자를 추가 생성하고 브로커 구동을 제어하지 못하도록 설정하기
admin을 제외한 일반 CM 사용자에게는브로커 관리 기능을 회수할 필요가 있다. 브로커를 중단시키는 경우 서비스 장애가 발생하고, 브로커 설정(cubrid_broker.conf) 또는브로커 로그(SQL로그)를 변경할 수 있기 때문이다.
admin사용자로 CM을 접속한 후 해당 호스트를 지정한 체 [도구]->[사용자관리]를 선택하여 이번에는cm_user2을 생성하며, [그림1]과같이 연결권한을 주었다. [그림3]는 [사용자관리]를 통해 지금까지 생성한 계정들의 권한을 확인한 모습이다.
<<그림3. [사용자관리]에서의사용자 리스트 확인>>
[그림3]처럼 권한을 지정했을 때 [그림4]처럼 cm_user2는브로커 동작에 제한을 받는다. [동작]->[속성에서도브로커 [추가], [편집],[삭제]를 할 수 없고 호스트에 대하여cubrid_broker.conf가 포함된 [설정매개변수]항목이 비 활성화 된 것을 확인 할 수 있다.
<<그림4. 계정에 따른 권한설정으로인한 동작 제한>>
3. SELECT권한만 있는 데이터베이스 사용자 생성하기
admin을 제외한 일반 CM 사용자는 DB 사용자를 생성할 수 없기 때문에 admin으로 로그인한 후 DB2에서 db2_user를 생성하였다. 이 DB2의 DBA는 테이블3개를 (table1, table2, table3) 생성해 놓았고db2_user에게는 table1과 table2에 대한 SELECT권한을 주었다. ([db2user오른쪽버튼]->[사용자편집]->[사용자권한정보탭] -> [그림5 와 같이 권한 부여] -> [확인])
<<그림5. db2_user에게 권한 부여>>
만약 부여하지 않은권한에 대하여 실행할 경우 [그림5]와 같은 결과를 확인할 수 있다.
또, DB2는 table1, table2, table3를 생성했지만 [그림5]에서처럼 table1과table2에 대한 SELECT권한을 가진 DB사용자는 table3를 확인할 수 없다.
※ 참고 : “GRANTSELECT”를 선택하면 추가된 사용자는 다른 사용자에게 SELECT권한을 부여 할 수 있기 때문에 GRANT종류의 기능은주의를 기울어야 한다.
4. DBA와 동일한 수준의 강력한 관리 권한을 가지는 데이터베이스 사용자 생성하기
데이터베이스의 모든사용자는 PUBLIC 사용자에게 부여된 권한을 소유되며, PUBLIC의 멤버가 된다. 반대로 DBA는 마이그레이션과 정지, 시작과 같은 가장 강력한 관리 권한을가지고 있다. (DBA의 강력한 권한 : cubrid_unloaddb,cubrid_loaddb, cubrid server stop, cubrid server start, 사용자추가기능)
만약 DB일반사용자가 DBA의 강력한 관리권한을 소유하여야 한다면 [사용자편집]->[그룹구성정보]를 [그림6]과 같이 이동시켜 설정해준다.
<<그림6.일반사용자에게 DBA관리 권한 부여하기>>
5. DB의 unload/load 혹은 테이블의 데이터 올리기/내려받기
DBunload/load는 DBA만이 unload/load 수행이가능하다. 그러나 테이블의 데이터 올리기/내려받기는 DBA뿐만 아니라 INSERT권한을 가진 db_user라면 해당 테이블에 대하여 올리기/내려받기 수행이 가능하다. 또, SELECT db2_user와 같이 조회할 수 있는 테이블에대해서는 INSERT에 해당하는 [올리기]는 할 수 없으나 [내려받기]는가능하다.
★유의점★ 만약 unload한 DB_a에 대하여 새로운 DB_b에load하면 DB_a에 DBA를 포함한 모든계정들이load될뿐만아니라 권한과 비밀번호 까지 똑같이 복제 된다.
6. 사용자 삭제
admin사용자만이 사용자 관리를 통해 cm일반사용자들을삭제할 수 있다. ([도구]->[사용자관리]->[삭제하고자하는 계정의 선택]-> [삭제]-> [확인]). db일반사용자들을 삭제할 경우에도 DB의 슈퍼유저인 DBA만이 삭제가 가능하다. ([사용자선택, 오른쪽 버튼]->[사용자삭제]). 그런데 이때 [Cannot drop the user who owns databaseobjects(class/trigger/serial etc)]와 같은 오류메시지가 팝업된다면 해당db일반사용자가 소유하고 있는 테이블이 있는지 확인 하고 [테이블 편집]->”소유자선택”->[확인] 후 db일반사용자를 삭제 해야 한다.
출처: http://cafe.naver.com/studycubrid/880