DB2 Universal Database unterstützt derzeit das Kerberos-Sicherheitsprotokoll als Möglichkeit zur Authentifizierung von Benutzern in einer Nicht-DRDA-Umgebung. Da ab DB2/390 Version 7.1 die Kerberos-Sicherheit unterstützt wird, wird DB2 Connect die DRDA-Anwendungs-Requester-Funktionalität hinzugefügt, damit die Kerberos-Authentifizierung zum Herstellen von Verbindungen zu DB2/390 genutzt werden kann.
Die Kerberos-Authentifizierungsschicht, die das Ticketingsystem handhabt, ist in den Active Directory-Mechanismus von Windows 2000 integriert. Die Client- und die Serverseite einer Anwendung kommunizieren jeweils mit dem Kerberos SSP-Clientmodul und -Servermodul (Security Support Provider). SPPI (Security Support Provider Interface) bietet eine Schnittstelle der höheren Ebene zu Kerberos SSP und anderen Sicherheitsprotokollen.
Kommunikationsprotokollunterstützung
Für SNA-Verbindungen müssen Sie beim Katalogisieren des APPC-Knotens SECURITY=NONE verwenden.
Typische Konfiguration
Für die Konfiguration von DB2 zur Nutzung der Kerberos-Authentifizierung ist folgende Einrichtung erforderlich:
Im einfachsten Szenario muss mindestens eine KDC-Vertrauensstellung konfiguriert werden, und zwar die zwischen dem KDC, das die Client-Workstation steuert, und dem OS/390-System. OS/390 Release 10 bietet Kerberos-Ticketverarbeitung über sein RACF-Tool, das es dem Host erlaubt, als UNIX-KDC zu fungieren.
DB2 Connect stellt wie gewohnt die Routerfunktionalität in der dreischichtigen Konfiguration bereit. Wenn Kerberos-Sicherheit genutzt wird, übernimmt es keinen Aufgabenbereich bei der Authentifizierung, sondern übergibt nur das Sicherheitstoken des Clients an DB2/390. Das DB2 Connect-Gateway muss also kein Element des Clients oder des Kerberos-Realm des Hosts sein.
Zur Nutzung von Kerberos muss das DB2 Connect-Gateway seine Verbindung mit dem Authentifizierungstyp KERBEROS katalogisieren. Der Client kann entweder mit einer unspezifizierten Authentifizierung (NOT_SPEC) oder mit KERBEROS katalogisiert werden. Alle anderen Kombinationen von Authentifizierungstypen auf dem Client und dem Gateway führen zum SQLCODE-Wert -1401 (Nicht übereinstimmender Authentifizierungstyp).
Abwärtskompatibilität
DB2-Anforderungen für Kerberos-Unterstützung:
DB2/390 muss auch eine Anforderung haben, dass es auf OS/390 Version 2 Release 10 oder höher ausgeführt wird. Es gibt weitere implizierte Anforderungen auf älteren DB2/390-Systemen, wenn eine Verbindung von DB2 Connect-Clients der Version 7.1 hergestellt wird. Obwohl diese DB2/390-Systeme Kerberos nicht unterstützen, reagieren sie nicht korrekt auf nicht unterstützte DRDA-Sicherheitsmechanismen. Wenden Sie die entsprechende Programmkorrektur an, um das Problem zu beheben: