DB2 - Connectivité - Informations complémentaires

Remarques sur la sécurité lors de l'utilisation de l'architecture DRDA sur TCP/IP

DRDA sur TCP/IP en natif n'utilise pas les services et principes de sécurité des communications de l'OS/400, tels que les périphériques de communications, les modes, les attributs d'emplacement sécurisé et les niveaux de sécurité des conversations associés aux communications APPC. La configuration de la sécurité de TCP/IP s'effectue donc de manière assez différente.

Il existe deux types de mécanismes de sécurité pris en charge par la mise en oeuvre DB2/400 actuelle de DRDA sur TCP/IP :

  1. ID utilisateur seulement
  2. ID utilisateur avec mot de passe

Dans le cas d'un serveur d'applications DB2 Universal Database pour AS/400, le mode de sécurité par défaut consiste en l'ID utilisateur avec mot de passe. Lors de l'installation du système, vous devez donc fournir pour les demandes de connexion TCP/IP entrantes un mot de passe avec l'ID utilisateur sous lequel le travail serveur doit s'exécuter. La commande CHGDDMTCPA permet d'autoriser l'absence de mot de passe. Pour effectuer cette modification, entrez CHGDDMTCPA PWDRQD(*NO). Vous devez avoir le droit *IOSYSCFG pour utiliser cette commande.

Dans le cas d'un demandeur d'application DB2 Universal Database pour AS/400 (ou client), vous avez le choix entre deux méthodes pour envoyer un mot de passe avec l'ID utilisateur lors des demandes de connexion TCP/IP. En leur absence, seul un ID utilisateur sera envoyé.

La première méthode d'envoi d'un mot de passe consiste à utiliser la forme USER/USING de l'instruction SQL CONNECT, en respectant la syntaxe suivante :

      CONNECT TO nom-bdd USER id-utilisateur USING 'mot-de-passe'

où les mots en minuscules représentent les paramètres de connexion appropriés. Dans un programme utilisant des instructions SQL imbriquées, les valeurs affectées à l'ID utilisateur et au mot de passe peuvent être contenues dans des variables associées à l'hôte.

La seconde méthode consiste à utiliser une entrée d'autorisation serveur. Une liste d'autorisations serveur est associé à chaque profil utilisateur existant sur le système. Par défaut, cette liste est vide mais vous pouvez y ajouter des entrées par la commande ADDSVRAUTE. Lors d'une tentative de connexion DRDA sur TCP/IP, DB2 Universal Database pour AS/400 vérifie si cette liste contient le profil utilisateur sous lequel le travail client s'exécute. Si le nom de la base de données contenu dans l'instruction CONNECT est identique au nom SERVER dans une entrée autorisation, le paramètre USRID correspondant figurant dans l'entrée est utilisé en tant qu'ID utilisateur de connexion ; par ailleurs, s'il existe également un paramètre PASSWORD dans cette entrée, cette valeur est également envoyée dans la demande de connexion.

Pour que le mot de passe soit sauvegardé par la commande ADDSVRAUTE, le paramètre système QRETSVRSEC doit être défini par la valeur '1', la valeur par défaut étant '0'. Pour procéder à la modification, entrez :

      CHGSYSVAL QRETSVRSEC VALUE('1')

La syntaxe de la commande ADDSVRAUTE est la suivante :

ADDSVRAUTE USRPRF(profil-util) SERVER(nom-bdd) USRID(id-utilisateur) PASSWORD(mot-de-passe)

Le paramètre USRPRF spécifie le profil utilisateur sous lequel le travail demandeur d'application s'exécute. Le paramètre SERVER indique le nom de la base de données relationnelle éloignée, le paramètre USRID, le profil utilisateur sous lequel le travail serveur s'exécutera, et le paramètre PASSWORD, le mot de passe associé au profil utilisateur existant sur le serveur.
Remarque :Dans le paramètre SERVER, il est essentiel d'indiquer le nom de la base de données relationnelle en majuscules.

Si vous omettez le paramètre USRPRF, le profil utilisateur permettant d'exécuter la commande ADDSVRAUTE sera adopté par défaut ; si vous omettez le paramètre USRID, le profil utilisateur permettant d'exécuter la commande USRPRF sera utilisé par défaut. Si vous omettez le paramètre PASSWORD ou que la valeur QRETSVRSEC est 0, l'entrée ne contiendra aucun mot de passe et, lors d'une tentative de connexion utilisant l'entrée, le mécanisme de sécurité sera l'ID utilisateur seulement.

Une entrée autorisation serveur peut être supprimée par la commande RMVSVRAUTE, et modifiée par la commande CHGSVRAUTE. Pour une description détaillée de ces commandes, reportez-vous au manuel "AS/400 Command Reference".

Si une entrée autorisation serveur existe pour une base de données relationnelle et que la forme USER/USING de l'instruction CONNECT est utilisée, c'est cette dernière qui est employée en priorité.


[ Début de page | Page précédente | Page suivante | Table des matières | Index ]