DB2 Connect Benutzerhandbuch

Authentifizierung

Als DB2 Connect-Administrator können Sie zusammen mit Ihrem Datenbankadministrator für den Host oder das System IBM AS/400 festlegen, wo Benutzernamen und Kennwörter ausgewertet werden sollen. Es bestehen fünf Möglichkeiten:

Durch Angabe des Parameters für die Authentifizierungsart im Systemdatenbankverzeichnis und des Parameters für die Sicherheitseinstufung im Knotenverzeichnis für APPC- oder APPN-Knoten kann festgelegt werden, wo die Gültigkeitsprüfung vorgenommen werden soll. Weitere Informationen zum Aktualisieren dieser Verzeichnisse finden Sie in Kapitel 6, Aktualisieren von Datenbankverzeichnissen.

Anmerkungen:

  1. DB2 Connect selbst führt keine Gültigkeitsprüfung der Benutzer durch. Wenn die DB2 Connect-Workstation die Gültigkeitsprüfung durchführen soll, wird das lokale Sicherheits-Subsystem verwendet, um die Benutzer-ID und das Kennwort bei jeder CONNECT-Anforderung zu überprüfen. Wenn Sie AUTHENTICATION=SERVER verwenden werden, müssen Sie daher beim Einrichten eines Servers unter DB2 Connect Enterprise Edition alle notwendigen Benutzer-IDs und Kennwörter auf dem Server-System einrichten.

  2. Wenn die DCE-Verzeichnisservices verwendet werden, funktioniert die Authentifizierung anders. Sicherheit bei den DCE Verzeichnisservices enthält weitere Informationen.

Folgende Authentifizierungsarten sind in DB2 Connect zulässig:

CLIENT
Der Benutzername und das Kennwort werden auf dem Client überprüft.

SERVER
Der Benutzername und das Kennwort werden auf der DB2 Connect-Workstation überprüft. Wenn keine Identifikationsüberprüfung angegeben ist, wird als Standardeinstellung SERVER angenommen.

SERVER_ENCRYPT
Wie bei der Authentifizierungsart SERVER werden der Benutzername und das Kennwort auf der DB2 Connect-Workstation ausgewertet, die übertragenen Kennwörter werden jedoch auf dem Client verschlüsselt und auf der DB2 Connect-Workstation entschlüsselt.

DCS
Der Benutzername und das Kennwort werden auf dem Datenbank-Server des Hosts oder Systems IBM AS/400 ausgewertet.

DCS_ENCRYPT
Wie bei der Authentifizierungsart DCS werden der Benutzername und das Kennwort auf dem Datenbank-Server des Hosts oder Systems IBM AS/400 ausgewertet, die übertragenen Kennwörter werden jedoch auf dem Client verschlüsselt und je nach der auf der DB2 Connect-Workstation angegebenen Authentifizierungsart auf der DB2 Connect-Workstation oder auf dem Datenbank-Server des Hosts oder Systems IBM AS/400 entschlüsselt.

DCE
Der Benutzername und das Kennwort werden auf dem DCE-Sicherheits-Server überprüft.

Die Authentifizierungsarten SERVER_ENCRYPT und DCS_ENCRYPT haben hinsichtlich des Authentifizierungsstandorts die gleiche Semantik wie die Authentifizierungsarten SERVER und DCS. Sie unterscheiden sich darin, daß übertragene Kennwörter an der Quelle (dem Client oder DB2 Connect-Server) verschlüsselt und am Ziel (dem DB2 Connect-Server oder Host- oder AS/400-Datenbank-Server) entschlüsselt werden. Dies wird durch die an der Quelle katalogisierte Authentifizierungsart angegeben.

Verschlüsselte und nicht verschlüsselte Werte mit übereinstimmenden Authentifizierungsstandorten können dann zur Auswahl verschiedener Verschlüsselungskombinationen zwischen dem Client und DB2 Connect-Server bzw. zwischen dem DB2 Connect-Server und dem Host- oder AS/400-Datenbank-Server verwendet werden. Dadurch wird nicht beeinflußt, wo die Authentifizierung stattfindet. Es folgen einige Beispiele hierfür in einem Gateway-Szenario. Dabei steht "Gateway" für den DB2 Connect-Server:
Authentifizierung am Client Authentifizierung am Gateway Authentifizierungsstandort Client-Gateway-Verschlüsselung? Gateway-Server-Verschlüsselung?
SERVER_ENCRYPT SERVER Gateway Ja Nein
DCS_ENCRYPT DCS Server Ja Nein
DCS DCS_ENCRYPT Server Nein Ja
DCS_ENCRYPT DCS_ENCRYPT Server Ja Ja

Der einzige unterstützte Parameter für APPC-Sicherheit bei Verwendung von SERVER_ENCRYPT oder DCS_ENCRYPT ist SECURITY=NONE.

Anmerkungen:

  1. Für jeden Eintrag im Systemdatenbankverzeichnis, den DB2 Connect zum Herstellen einer Verbindung verwendet, wird die Authentifizierungsart SERVER verwendet, wenn kein Parameter für die Identifikationsüberprüfung angegeben ist.

  2. Wie bei der Client/Server-Kommunikation unter DB2 Universal Database ist die Authentifizierungsart auf einem fernen Client, der einem Gateway unter DB2 Connect Enterprise Edition zugeordnet ist, nicht erforderlich. Sie kann hier jedoch zur Leistungsoptimierung angegeben werden, denn in diesem Fall braucht sie nicht vom Gateway abgerufen zu werden, was die abgelaufene Zeit für Transaktionen verkürzt.

  3. Falls eine Diskrepanz zwischen dem Wert auf dem Client und dem Wert auf dem Gateway besteht, hat der Wert auf dem DB2 Connect-Gateway Vorrang.


[ Seitenanfang | Vorherige Seite | Nächste Seite | Inhaltsverzeichnis | Index ]