DB2 Universal Database soporta actualmente el protocolo de seguridad Kerberos como un medio de autentificar a los usuarios en el entorno no DRDA. Dado que DB2/390 V7.1 empezará a soportar la seguridad Kerberos, DB2 Connect añadirá funcionalidad de DRDA AR para permitir utilizar la autenticación Kerberos para conectarse a DB2/390.
La capa de autenticación Kerberos que maneja el sistema de obtención de documentos está integrada en el mecanismo de Directorio activo de Win2K. Las partes cliente y servidor de una aplicación se comunican con los módulos cliente y servidor del SSP (Security Support Provider - Proveedor de soporte de seguridad) de Kerberos respectivamente. La SSPI (Security Support Provider Interface - Interfaz de proveedor de soporte de seguridad) proporciona una interfaz de alto nivel al SSP de Kerberos y otros protocolos de seguridad.
Soporte de protocolo de comunicaciones
Para la conexión SNA, deberá utilizar SECURITY=NONE al catalogar el nodo APPC
Configuración típica
El procedimiento de configuración de DB2 para utilizar la autenticación Kerberos incluye la configuración de lo siguiente:
En el escenario más simple, existe al menos una relación fiable KDC para configurar, es decir, la existente entre el KDC que controla la estación de trabajo cliente y el sistema OS/390. OS/390 R10 proporciona el proceso de documentos de Kerberos mediante el recurso RACF que permite al sistema principal actuar como un KDC UNIX.
DB2 Connect proporciona, como es habitual, la funcionalidad de direccionador en la posición de 3 niveles. No asume ningún rol en la autenticación cuando se utiliza la seguridad Kerberos. En lugar de ello, simplemente pasa la señal de seguridad del cliente a DB2/390. De este modo, no es necesario que la pasarela DB2 Connect sea miembro del ámbito Kerberos del cliente o del sistema principal.
Para utilizar Kerberos, la pasarela de DB2 Connect debe catalogar su conexión con el tipo de autenticación KERBEROS. El cliente puede catalogarse con la autenticación NOT_SPEC o Kerberos. Cualquier otra combinación de tipos de autenticación en el cliente y la pasarela produce sqlcode -1401 (Discrepancia de tipo de autenticación).
Compatibilidad con niveles anteriores
Requisitos de DB2 para el soporte de Kerberos:
DB2/390 también necesita ejecutarse en OS/390 Versión 2 Release 10 o posterior. Existen requisitos implícitos adicionales en los sistemas DB2/390 de niveles anteriores al conectarse desde clientes DB2 Connect Versión 7.1. Aunque estos sistemas DB2/390 no soportan Kerberos, no responden correctamente a SECMEC DRDA no soportados. Para solucionar este problema, aplique el PTF apropiado: