Замечания по выпуску

|47.3 Поддержка Kerberos

|DB2 Universal Database в настоящее время поддерживает протокол защиты |Kerberos как средство аутентификации пользователей в среде без DRDA. |После запуска DB2/390 V7.1 для поддержки защиты Kerberos DB2 Connect |добавит функцию DRDA AR, чтобы разрешить использование аутентификации Kerberos |для связи с DB2/390.

|Уровень аутентификации Kerberos, который создает систему извещений, встроен |в механизм Active Directory Windows 2000. Сторона клиента и сторона |сервера программы соединяются соответственно при помощи модулей клиента и |сервера Kerberos SSP (Security Support Provider). Интерфейс Security |Support Provider Interface (SSPI) обеспечивает интерфейс высокого уровня для |Kerberos SSP и других протоколов защиты

|Поддержка протокола связи

|Для соединений SNA при каталогизации узла APPC надо использовать |SECURITY=NONE

|Обычная установка

|Процедура конфигурирования DB2 для использования аутентификации Kerberos |включает задание: |

• |политики авторизации для DB2 (как службы) в Active Directory, |используемого в сети, и
• |доверенного соединения между центрами распределения ключей (KDC) Kerberos |

|В простейшем сценарии надо сконфигурировать хотя бы одно доверенное |соединение KDC, а именно соединение между KDC, который управляет рабочей |станцией, и системой OS/390. OS/390 R10 обеспечивает обработку |извещений Kerberos при помощи своей утилиты RACF, что позволяет хосту играть |роль KDC в UNIX.

|DB2 Connect, как обычно, выполняет функцию маршрутизатора в трехуровневой |модели. Когда используется защита Kerberos, DB2 Connect не участвует в |аутентификации. Она только передает маркер защиты клиента в |DB2/390. Поэтому шлюз DB2 Connect не должен входить в сферу |ответственности клиента или хоста Kerberos.

|Чтобы использовать Kerberos, шлюз DB2 Connect должен каталогизировать свое |соединение с типом аутентификации KERBEROS. Клиент может |каталогизироваться с аутентификацией NOT_SPEC или Kerberos. Любое |другое сочетание типов аутентификации клиента и шлюза приведет к ошибке с |кодом sqlcode -1401 (несоответствие типов аутентификации).

|Совместимость с предыдущими уровнями

|Требования к DB2 для поддержки Kerberos: |

|Клиент DB2 UDB:

|Версия 7.1 (операционная система: Windows 2000)

|DB2 Connect:

|Версия 7.1 + FixPak 1 (операционная система: любая)

|DB2/390:

|Версия 7.1 |

|Требуется также запускать DB2/390 в OS/390 Версии 2 Выпуск 10 или |новее. Дополнительные требования возникают, когда с системой ниже |DB2/390 соединяется клиент DB2 Connect Версии 7.1. Хотя эти |системы DB2/390 не поддерживают Kerberos, они не дают правильного ответа на |неподдерживаемые SECMEC DRDA. Чтобы решить эту проблему, примените |следующие PTF: |

• |UQ41941 (для DB2/390 V5.1)
• |UQ41942 (для DB2/390 V6.1) |