|DB2 Universal Database в настоящее время поддерживает протокол защиты |Kerberos как средство аутентификации пользователей в среде без DRDA. |После запуска DB2/390 V7.1 для поддержки защиты Kerberos DB2 Connect |добавит функцию DRDA AR, чтобы разрешить использование аутентификации Kerberos |для связи с DB2/390.
|Уровень аутентификации Kerberos, который создает систему извещений, встроен |в механизм Active Directory Windows 2000. Сторона клиента и сторона |сервера программы соединяются соответственно при помощи модулей клиента и |сервера Kerberos SSP (Security Support Provider). Интерфейс Security |Support Provider Interface (SSPI) обеспечивает интерфейс высокого уровня для |Kerberos SSP и других протоколов защиты
|Поддержка протокола связи
|Для соединений SNA при каталогизации узла APPC надо использовать |SECURITY=NONE
|Обычная установка
|Процедура конфигурирования DB2 для использования аутентификации Kerberos |включает задание: |
|В простейшем сценарии надо сконфигурировать хотя бы одно доверенное |соединение KDC, а именно соединение между KDC, который управляет рабочей |станцией, и системой OS/390. OS/390 R10 обеспечивает обработку |извещений Kerberos при помощи своей утилиты RACF, что позволяет хосту играть |роль KDC в UNIX.
|DB2 Connect, как обычно, выполняет функцию маршрутизатора в трехуровневой |модели. Когда используется защита Kerberos, DB2 Connect не участвует в |аутентификации. Она только передает маркер защиты клиента в |DB2/390. Поэтому шлюз DB2 Connect не должен входить в сферу |ответственности клиента или хоста Kerberos.
|Чтобы использовать Kerberos, шлюз DB2 Connect должен каталогизировать свое |соединение с типом аутентификации KERBEROS. Клиент может |каталогизироваться с аутентификацией NOT_SPEC или Kerberos. Любое |другое сочетание типов аутентификации клиента и шлюза приведет к ошибке с |кодом sqlcode -1401 (несоответствие типов аутентификации).
|Совместимость с предыдущими уровнями
|Требования к DB2 для поддержки Kerberos: |
|Требуется также запускать DB2/390 в OS/390 Версии 2 Выпуск 10 или |новее. Дополнительные требования возникают, когда с системой ниже |DB2/390 соединяется клиент DB2 Connect Версии 7.1. Хотя эти |системы DB2/390 не поддерживают Kerberos, они не дают правильного ответа на |неподдерживаемые SECMEC DRDA. Чтобы решить эту проблему, примените |следующие PTF: |