|DB2 Universal Database unterstützt derzeit das |Kerberos-Sicherheitsprotokoll als Möglichkeit zur Authentifizierung von |Benutzern in einer Nicht-DRDA-Umgebung. Da ab DB2/390 Version |7.1 die Kerberos-Sicherheit unterstützt wird, wird DB2 Connect die |DRDA-Anwendungs-Requester-Funktionalität hinzugefügt, damit die |Kerberos-Authentifizierung zum Herstellen von Verbindungen zu DB2/390 genutzt |werden kann.
|Die Kerberos-Authentifizierungsschicht, die das Ticketingsystem handhabt, |ist in den Active Directory-Mechanismus von Windows 2000 integriert. |Die Client- und die Serverseite einer Anwendung kommunizieren jeweils mit dem |Kerberos SSP-Clientmodul und -Servermodul (Security Support Provider). |SPPI (Security Support Provider Interface) bietet eine Schnittstelle der |höheren Ebene zu Kerberos SSP und anderen Sicherheitsprotokollen.
|Kommunikationsprotokollunterstützung
|Für SNA-Verbindungen müssen Sie beim Katalogisieren des APPC-Knotens |SECURITY=NONE verwenden.
|Typische Konfiguration
|Für die Konfiguration von DB2 zur Nutzung der Kerberos-Authentifizierung |ist folgende Einrichtung erforderlich: |
|Im einfachsten Szenario muss mindestens eine KDC-Vertrauensstellung |konfiguriert werden, und zwar die zwischen dem KDC, das die Client-Workstation |steuert, und dem OS/390-System. OS/390 Release 10 bietet |Kerberos-Ticketverarbeitung über sein RACF-Tool, das es dem Host erlaubt, als |UNIX-KDC zu fungieren.
|DB2 Connect stellt wie gewohnt die Routerfunktionalität in der |dreischichtigen Konfiguration bereit. Wenn Kerberos-Sicherheit genutzt |wird, übernimmt es keinen Aufgabenbereich bei der Authentifizierung, sondern |übergibt nur das Sicherheitstoken des Clients an DB2/390. Das DB2 |Connect-Gateway muss also kein Element des Clients oder des Kerberos-Realm des |Hosts sein.
|Zur Nutzung von Kerberos muss das DB2 Connect-Gateway seine Verbindung mit |dem Authentifizierungstyp KERBEROS katalogisieren. Der Client kann |entweder mit einer unspezifizierten Authentifizierung (NOT_SPEC) oder mit |KERBEROS katalogisiert werden. Alle anderen Kombinationen von |Authentifizierungstypen auf dem Client und dem Gateway führen zum SQLCODE-Wert |-1401 (Nicht übereinstimmender Authentifizierungstyp).
|Abwärtskompatibilität
|DB2-Anforderungen für Kerberos-Unterstützung: |
|DB2/390 muss auch eine Anforderung haben, dass es auf OS/390 Version 2 |Release 10 oder höher ausgeführt wird. Es gibt weitere implizierte |Anforderungen auf älteren DB2/390-Systemen, wenn eine Verbindung von DB2 |Connect-Clients der Version 7.1 hergestellt wird. Obwohl diese |DB2/390-Systeme Kerberos nicht unterstützen, reagieren sie nicht korrekt auf |nicht unterstützte DRDA-Sicherheitsmechanismen. Wenden Sie die |entsprechende Programmkorrektur an, um das Problem zu beheben: |