|“DB2 通用数据库”当前支持使用 Kerberos 安全协议来认证非 DRDA 环境中的用户。由于 |DB2/390 V7.1 将开始支持 Kerberos 安全性,因此,DB2 Connect |将添加 DRDA AR 功能,以允许使用 Kerberos 认证来连接至 DB2/390。
|“Win2K 活动目录”机制中已集成了 Kerberos 认证层(它处理凭单系统)。 |应用程序的客户机端和服务器端分别与 |Kerberos SSP(安全支持供应商)客户机和服务器模块通信。“安全支持供应商接口”(SSPI)提供与 Kerberos SSP 和其它安全协议的高级接口
|通信协议支持
|对于 SNA 连接,在编目 APPC 节点时必须使用 SECURITY=NONE
|典型设置
|配置 DB2 以使用 Kerberos 认证这一过程涉及到设置下列事项:
|在最简单的方案中,至少要配置一种 KDC 信赖关系,即,控制客户机工作站和 |OS/390 系统的 KDC 之间的信赖关系。OS/390 R10 通过它的 RACF 设施(它允许主机充当 UNIX KDC)来提供 Kerberos 凭单处理。
|DB2 Connect 仍然在 3 层设置中提供路由器功能。当使用 |Kerberos 安全性时,它在认证中不假定任何角色。然而,它只是将客户机的安全性令牌传送给 |DB2/390。因此,不需要使 DB2 Connect 网关作为客户机或主机的 Kerberos 域的成员。
|要使用 Kerberos,DB2 Connect 网关必须利用认证类型 |KERBEROS 来为它的连接编目。客户机可以使用认证 NOT_SPEC 或 |Kerberos 来编目。客户机和网关上的认证类型的其它任何组合都将导致 sqlcode -1401(认证类型不匹配)。
|低级兼容
|Kerberos 支持的 DB2 需求:
|DB2/390 还具有要在 OS/390 版本 2 发行版 10 或更新版本上运行的需求。当从 |DB2 Connect 版本 7.1 客户机进行连接时,在低级 |DB2/390 系统上还具有附加的隐含需求。尽管这些 |DB2/390 系统不支持 Kerberos,但是,它们不会正确响应不受支持的 |DRDA SECMEC。要解决此问题,应用正确的 PTF: