|O DB2 Universal Database atualemnte suporta o protocolo de segurança |Kerberos como um meio de autenticar usuários no ambiente não DRDA. Como |o DB2/390 V7.1 começará a suportar a segurança Kerberos, o DB2 Connect |incluirá a funcionalidade DRDA AR para permitir a utilização de autenticação |de Kerberos para conectar ao DB2/390.
|A camada de autenticação Kerberos que lida com o sistema de tickets é |integrada no mecanismo do Win2K Active Directory. Os lados do servidor |e do cliente de um aplicativo se comunicam com os módulos do cliente e do |servidor Kerberos SSP (Security Support Provider), respectivamente. A |SSPI (Security Support Provider Interface) fornece uma interface de alto nível |para o Kerberos SSP e outros protocolos de segurança
|Suporte ao Protocolo de Comunicação
|Para conexão SNA, você deve utilizar SECURITY=NONE ao catlogar o nó APPC
|Configuração Típica
|O procedimento para configurar o DB2 para utilizar a autenticação Kerberos |envolve configurar o seguinte: |
|No cenário mais simples, há pelo menos uma relação de confiança KDC para |configurar, ou seja, a que fica entre o KDC que controla a estação de trabalho |do cliente e o sistema OS/390. O OS/390 R10 fornece processamento de |tickets Kerberos que são processados através de seu recurso RACF quew permite |que o host aja como um UNIX KDC.
|O DB2 Connect fornece, como sempre, a funcionalidade do roteador na |configuração de 3 níveis. Não assume nenhuma função em autenticação |quando a segurança Kerberos é utilizada. Em vez disso, transfere |simplesmente o token de segurança do cliente para o DB2/390. Dessa |forma, não há necessidade do gateway do DB2 Connect de conectar-se a um membro |do cliente ou ao domínio Kerberos do host.
|Para utilizar o Kerberos, o gateway do DB2 Connect deve catalogar sua |conexão com tipo de autenticação KERBEROS. O cliente pode catalogar com |autenticação NOT_SPEC ou Kerberos. Qualquer outra combinação de tipos |de autenticação no cliente e no gateway resulta em sqlcode -1401 |(Incompatibilidade de tipo de autenticação).
|Compatibilidade de Nível Inferior
|Requisitos do DB2 para suporte a Kerberos: |
|O DB2/390 também tem uma exigência para ser executado no OS/390 Versão 2 |Release 10 ou posterior. Há requisitos adicionais implícitos em |sistemas DB2/390 de nível inferior ao conectar aos clientes do DB2 Connect |Versão 7.1. Apesar desses sistemas DB2/390 não suportarem |Kerberos, eles não respondem corretamente a DRDA SECMECs não |suportados. Para solucionar esse problema, aplique o PTF |apropriado: |