DB2 ユニバーサル・データベースは、非 DRDA 環境でユーザーを認証する手段として、現在、Kerberos セキュリティー・プロトコルをサポートしています。DB2/390 V7.1 から Kerberos セキュリティーのサポートが開始されるため、DB2 コネクトは、DRDA AR 機能を追加して、DB2/390 の接続に Kerberos 認証を使用できるようにします。
発券システムを処理する Kerberos 認証レイヤーは、Win2K アクティブ・ディレクトリーのメカニズムに統合されます。アプリケーションのクライアント・サイドおよびサーバー・サイドは、それぞれ Kerberos SSP (Security Support Provider、セキュリティー・サポート・プロバイダー) クライアントおよびサーバーのモジュールと通信します。SSPI (Security Support Provider Interface、セキュリティー・サポート・プロバイダー・インターフェース) は、Kerberos SSP および他のセキュリティー・プロトコルに対して高水準のインターフェースを提供します。
通信プロトコル・サポート
SNA 接続の場合、APPC ノードをカタログするとき、SECURITY=NONE を使用する必要があります。
標準セットアップ
Kerberos 認証を使用するように DB2 を構成する手順には、次の設定作業が含まれます。
最も単純なシナリオでは、構成する、少なくとも 1 つの KDC 信頼関係、すなわち、クライアント・ワークステーションを制御する KDC と OS/390 システムとの間の信頼関係が存在します。OS/390 R10 では、ホストが UNIX KDC として振る舞うことができるようにする、OS/390 の RACF 機能を通して Kerberos 発券処理を提供します。
DB2 コネクトは、いつものように、3 層の設定でルーター機能を提供します。これは、Kerberos セキュリティーが使用されているときは、認証における役割を引き受けません。代わりに、単にクライアントのセキュリティー・トークンを DB2/390 に渡します。このように、DB2 コネクト・ゲートウェイが、クライアントまたはホストの Kerberos レルムのメンバーである必要はありません。
Kerberos を使用するためには、両方の DB2 コネクト・ゲートウェイは、認証タイプ KERBEROS で接続がカタログされる必要があります。クライアントは、認証 NOT_SPEC または Kerberos のどちらでカタログすることもできます。クライアントおよびゲートウェイのこれ以外の認証タイプの組み合わせは、sqlcode -1401 (認証タイプのミスマッチ) になってしまいます。
下位レベルとの互換性
Kerberos サポートのための DB2 の要件:
DB2/390 については、さらに、OS/390 バージョン 2 リリース 10 以降で実行するという要件があります。DB2 コネクト バージョン 7.1 クライアントから接続する場合は、下位レベルの DB2/390 システムに対し、さらに暗黙の要件が存在します。これらの DB2/390 システムは Kerberos をサポートしませんが、サポートされていない DRDA SECMEC に正しく応答しません。この問題を解決するために、該当する PTF を適用してください。