O DB2 Universal Database atualemnte suporta o protocolo de segurança Kerberos como um meio de autenticar usuários no ambiente não DRDA. Como o DB2/390 V7.1 começará a suportar a segurança Kerberos, o DB2 Connect incluirá a funcionalidade DRDA AR para permitir a utilização de autenticação de Kerberos para conectar ao DB2/390.
A camada de autenticação Kerberos que lida com o sistema de tickets é integrada no mecanismo do Win2K Active Directory. Os lados do servidor e do cliente de um aplicativo se comunicam com os módulos do cliente e do servidor Kerberos SSP (Security Support Provider), respectivamente. A SSPI (Security Support Provider Interface) fornece uma interface de alto nível para o Kerberos SSP e outros protocolos de segurança
Suporte ao Protocolo de Comunicação
Para conexão SNA, você deve utilizar SECURITY=NONE ao catlogar o nó APPC
Configuração Típica
O procedimento para configurar o DB2 para utilizar a autenticação Kerberos envolve configurar o seguinte:
No cenário mais simples, há pelo menos uma relação de confiança KDC para configurar, ou seja, a que fica entre o KDC que controla a estação de trabalho do cliente e o sistema OS/390. O OS/390 R10 fornece processamento de tickets Kerberos que são processados através de seu recurso RACF quew permite que o host aja como um UNIX KDC.
O DB2 Connect fornece, como sempre, a funcionalidade do roteador na configuração de 3 níveis. Não assume nenhuma função em autenticação quando a segurança Kerberos é utilizada. Em vez disso, transfere simplesmente o token de segurança do cliente para o DB2/390. Dessa forma, não há necessidade do gateway do DB2 Connect de conectar-se a um membro do cliente ou ao domínio Kerberos do host.
Para utilizar o Kerberos, o gateway do DB2 Connect deve catalogar sua conexão com tipo de autenticação KERBEROS. O cliente pode catalogar com autenticação NOT_SPEC ou Kerberos. Qualquer outra combinação de tipos de autenticação no cliente e no gateway resulta em sqlcode -1401 (Incompatibilidade de tipo de autenticação).
Compatibilidade de Nível Inferior
Requisitos do DB2 para suporte a Kerberos:
O DB2/390 também tem uma exigência para ser executado no OS/390 Versão 2 Release 10 ou posterior. Há requisitos adicionais implícitos em sistemas DB2/390 de nível inferior ao conectar aos clientes do DB2 Connect Versão 7.1. Apesar desses sistemas DB2/390 não suportarem Kerberos, eles não respondem corretamente a DRDA SECMECs não suportados. Para solucionar esse problema, aplique o PTF apropriado: