DB2 Connect Benutzerhandbuch
Als DB2 Connect-Administrator können Sie zusammen mit Ihrem
Datenbankadministrator für den Host oder das System IBM AS/400 festlegen, wo
Benutzernamen und Kennwörter ausgewertet werden sollen. Es bestehen
fünf Möglichkeiten:
- Gültigkeitsprüfung auf dem Client
- Gültigkeitsprüfung auf der DB2 Connect-Workstation
- Gültigkeitsprüfung sowohl auf der DB2 Connect-Workstation als auch auf dem
Host- oder AS/400-Server
- Gültigkeitsprüfung auf dem Host- oder AS/400-Server
- Gültigkeitsprüfung auf einem DCE-Sicherheits-Server
Durch Angabe des Parameters für die Authentifizierungsart im
Systemdatenbankverzeichnis und des Parameters für die Sicherheitseinstufung im
Knotenverzeichnis für APPC- oder APPN-Knoten kann festgelegt werden, wo die
Gültigkeitsprüfung vorgenommen werden soll. Weitere Informationen zum
Aktualisieren dieser Verzeichnisse finden Sie in Kapitel 6, Aktualisieren von Datenbankverzeichnissen.
Anmerkungen:
- DB2 Connect selbst führt keine Gültigkeitsprüfung der Benutzer
durch. Wenn die DB2 Connect-Workstation die Gültigkeitsprüfung
durchführen soll, wird das lokale Sicherheits-Subsystem verwendet, um die
Benutzer-ID und das Kennwort bei jeder CONNECT-Anforderung zu
überprüfen. Wenn Sie AUTHENTICATION=SERVER verwenden werden,
müssen Sie daher beim Einrichten eines Servers unter DB2 Connect Enterprise
Edition alle notwendigen Benutzer-IDs und Kennwörter auf dem Server-System
einrichten.
- Wenn die DCE-Verzeichnisservices verwendet werden, funktioniert die
Authentifizierung anders. Sicherheit bei den DCE Verzeichnisservices enthält weitere Informationen.
Folgende Authentifizierungsarten sind in DB2 Connect zulässig:
- CLIENT
- Der Benutzername und das Kennwort werden auf dem Client überprüft.
- SERVER
- Der Benutzername und das Kennwort werden auf der DB2 Connect-Workstation
überprüft. Wenn keine Identifikationsüberprüfung angegeben ist, wird
als Standardeinstellung SERVER angenommen.
- SERVER_ENCRYPT
- Wie bei der Authentifizierungsart SERVER werden der Benutzername und das
Kennwort auf der DB2 Connect-Workstation ausgewertet, die übertragenen
Kennwörter werden jedoch auf dem Client verschlüsselt und auf der DB2
Connect-Workstation entschlüsselt.
- DCS
- Der Benutzername und das Kennwort werden auf dem Datenbank-Server des
Hosts oder Systems IBM AS/400 ausgewertet.
- DCS_ENCRYPT
- Wie bei der Authentifizierungsart DCS werden der Benutzername und das
Kennwort auf dem Datenbank-Server des Hosts oder Systems IBM AS/400
ausgewertet, die übertragenen Kennwörter werden jedoch auf dem Client
verschlüsselt und je nach der auf der DB2 Connect-Workstation angegebenen
Authentifizierungsart auf der DB2 Connect-Workstation oder auf dem
Datenbank-Server des Hosts oder Systems IBM AS/400 entschlüsselt.
- DCE
- Der Benutzername und das Kennwort werden auf dem DCE-Sicherheits-Server
überprüft.
Die Authentifizierungsarten SERVER_ENCRYPT und DCS_ENCRYPT haben
hinsichtlich des Authentifizierungsstandorts die gleiche Semantik wie die
Authentifizierungsarten SERVER und DCS. Sie unterscheiden sich darin,
daß übertragene Kennwörter an der Quelle (dem Client oder DB2 Connect-Server)
verschlüsselt und am Ziel (dem DB2 Connect-Server oder Host- oder
AS/400-Datenbank-Server) entschlüsselt werden. Dies wird durch die an
der Quelle katalogisierte Authentifizierungsart angegeben.
Verschlüsselte und nicht verschlüsselte Werte mit übereinstimmenden
Authentifizierungsstandorten können dann zur Auswahl verschiedener
Verschlüsselungskombinationen zwischen dem Client und DB2 Connect-Server
bzw. zwischen dem DB2 Connect-Server und dem Host- oder
AS/400-Datenbank-Server verwendet werden. Dadurch wird nicht
beeinflußt, wo die Authentifizierung stattfindet. Es folgen einige
Beispiele hierfür in einem Gateway-Szenario. Dabei steht "Gateway" für
den DB2 Connect-Server:
Authentifizierung am Client
| Authentifizierung am Gateway
| Authentifizierungsstandort
| Client-Gateway-Verschlüsselung?
| Gateway-Server-Verschlüsselung?
|
SERVER_ENCRYPT
| SERVER
| Gateway
| Ja
| Nein
|
DCS_ENCRYPT
| DCS
| Server
| Ja
| Nein
|
DCS
| DCS_ENCRYPT
| Server
| Nein
| Ja
|
DCS_ENCRYPT
| DCS_ENCRYPT
| Server
| Ja
| Ja
|
Der einzige unterstützte Parameter für APPC-Sicherheit bei Verwendung von
SERVER_ENCRYPT oder DCS_ENCRYPT ist SECURITY=NONE.
Anmerkungen:
- Für jeden Eintrag im Systemdatenbankverzeichnis, den DB2 Connect zum
Herstellen einer Verbindung verwendet, wird die Authentifizierungsart
SERVER verwendet, wenn kein Parameter für die
Identifikationsüberprüfung angegeben ist.
- Wie bei der Client/Server-Kommunikation unter DB2 Universal Database ist
die Authentifizierungsart auf einem fernen Client, der einem Gateway unter DB2
Connect Enterprise Edition zugeordnet ist, nicht erforderlich. Sie kann
hier jedoch zur Leistungsoptimierung angegeben werden, denn in diesem Fall
braucht sie nicht vom Gateway abgerufen zu werden, was die abgelaufene Zeit
für Transaktionen verkürzt.
- Falls eine Diskrepanz zwischen dem Wert auf dem Client und dem Wert auf
dem Gateway besteht, hat der Wert auf dem DB2 Connect-Gateway Vorrang.
[ Seitenanfang | Vorherige Seite | Nächste Seite | Inhaltsverzeichnis | Index ]