|DB2 ユニバーサル・データベースは、非 DRDA 環境でユーザーを認証する手段として、 |現在、Kerberos セキュリティー・プロトコルをサポートしています。DB2/390 V7.1 から Kerberos セキュリティーの |サポートが開始されるため、DB2 コネクトは、DRDA AR 機能を追加して、DB2/390 の |接続に Kerberos 認証を使用できるようにします。
|発券システムを処理する Kerberos 認証レイヤーは、Win2K アクティブ・ディレクトリーのメカニズムに統合されます。 |アプリケーションのクライアント・サイドおよびサーバー・サイドは、 |それぞれ Kerberos SSP (Security Support Provider、セキュリティー・サポート・プロバイダー) クライアントおよび |サーバーのモジュールと通信します。SSPI (Security Support Provider Interface、 |セキュリティー・サポート・プロバイダー・インターフェース) は、Kerberos SSP および |他のセキュリティー・プロトコルに対して高水準のインターフェースを提供します。
|通信プロトコル・サポート
|SNA 接続の場合、APPC ノードをカタログするとき、SECURITY=NONE を使用する必要があります。
|標準セットアップ
|Kerberos 認証を使用するように DB2 を構成する手順には、次の設定作業が含まれます。 |
|最も単純なシナリオでは、構成する、少なくとも 1 つの KDC 信頼関係、 |すなわち、クライアント・ワークステーションを制御する KDC と OS/390 システムとの間の信頼関係が |存在します。OS/390 R10 では、ホストが UNIX KDC として振る舞うことができるようにする、OS/390 の RACF 機能を |通して Kerberos 発券処理を提供します。
|DB2 コネクトは、いつものように、3 層の設定でルーター機能を提供します。 |これは、Kerberos セキュリティーが使用されているときは、認証における役割を引き受けません。 |代わりに、単にクライアントのセキュリティー・トークンを DB2/390 に渡します。 |このように、DB2 コネクト・ゲートウェイが、クライアントまたはホストの Kerberos レルムのメンバーである必要はありません。
|Kerberos を使用するためには、両方の DB2 コネクト・ゲートウェイは、 |認証タイプ KERBEROS で接続がカタログされる必要があります。 |クライアントは、認証 NOT_SPEC または Kerberos のどちらでカタログすることもできます。 |クライアントおよびゲートウェイのこれ以外の認証タイプの |組み合わせは、sqlcode -1401 (認証タイプのミスマッチ) になってしまいます。
|下位レベルとの互換性
|Kerberos サポートのための DB2 の要件: |
|DB2/390 については、さらに、OS/390 バージョン 2 リリース 10 以降で実行するという要件が |あります。DB2 コネクト バージョン 7.1 クライアントから接続する場合は、 |下位レベルの DB2/390 システムに対し、さらに暗黙の要件が存在します。 |これらの DB2/390 システムは Kerberos をサポートしませんが、 |サポートされていない DRDA SECMEC に正しく応答しません。 |この問題を解決するために、該当する PTF を適用してください。 |