使用者の手引き
このセクションでは、
APPC 接続と TCP/IP 接続の両方で DB2 コネクト によってサポートされる認証と機密保護設定の様々な組み合わせをリストします。
以下の説明は、両方のタイプの接続に適用されます。
どの機密保護情報が通信層で流れるかを指定するために、以下の機密保護タイプが APPC 接続で許可されています。
- SAME
- ユーザー名だけがホストまたは AS/400 データベース・サーバーに渡されます。
- PROGRAM
- ユーザー名とパスワードがホストまたは AS/400 データベース・サーバーに渡されます。
- NONE
- 機密保護情報は流れません。
表 5 は、DB2 コネクト・ワークステーション上で指定されるこれらの値と認証タイプの可能な組み合わせ、
およびその各組み合わせについて検証が行われる場所を示します。
この表に示される組み合わせだけが、APPC 接続上の DB2 コネクトによってサポートされます。
表 5. APPC 接続用の有効な機密保護シナリオ
ケース
| DB2 コネクト・ワークステーションのデータベース・ディレクトリー項目における認証の設定
| 機密保護
| 検証
|
1
| CLIENT
| SAME
| クライアント
|
2
| SERVER
| SAME
| DB2 コネクト・サーバー
|
3
| SERVER
| PROGRAM
| DB2 コネクト・サーバーとホストまたは AS/400 データベース・サーバー
|
4
| SERVER_ENCRYPT または DCS_ENCRYPT
| NONE
| ホストまたは AS/400 データベース・サーバー
|
5
| DCS
| PROGRAM
| ホストまたは AS/400 データベース・サーバー
|
6
| DCE
| NONE
| DCE 機密保護サーバー
|
リモート・クライアントが DB2 コネクト・エンタープライズ・エディション・サーバーに接続されている場合は、
次の認証と機密保護のタイプを指定します。
- リモート・クライアントが APPC を介して DB2 コネクト・サーバーに接続されている場合は、
機密保護タイプ NONE をリモート・クライアントで指定します。
- DB2 コネクト・サーバーのデータベース・マネージャー構成での認証タイプが CLIENT の場合は、
各リモート・クライアントで CLIENT を指定します。
- DB2 コネクト・サーバーでの認証タイプが SERVER、
SERVER_ENCRYPT、DCS、
または DCS_ENCRYPT のいずれかである場合は、
各リモート・クライアントでこれらのタイプのいずれかを指定します。(これら 4 つのタイプのどれをリモート・クライアントで指定しても相違はありません。)
注:
- AIX ベースのシステムについては、APPC 機密保護タイプ SAME を使用するログイン・ユーザーはすべて、
AIX システム・グループに属している必要があります。
- リモート・クライアントを有する AIX ベースのシステムについては、
DB2 コネクト・ワークステーション上で稼働する DB2 コネクト製品のインスタンスは、
AIX システム・グループに属している必要があります。
- ホストまたは AS/400 データベース・サーバーへのアクセスは、
それ自体の機密保護機構またはサブシステムによって制御されています。たとえば、
仮想記憶通信アクセス方式 (VTAM) および資源アクセス管理機能 (RACF) がそれです。 保護されたデータベース・オブジェクトへのアクセスは、
SQL GRANT および REVOKE ステートメントによって制御されます。
TCP/IP 通信プロトコルは、
ネットワーク・プロトコル層での機密保護オプションをサポートしません。 したがって、認証タイプのみが、認証が行われる場所を制御します。
この表に示される組み合わせだけが、TCP/IP 接続上の DB2 コネクトによってサポートされます。
表 6. TCP/IP 接続用の有効な機密保護シナリオ
ケース
| DB2 コネクト・ワークステーションのデータベース・ディレクトリー項目における認証の設定
| 検証
|
1
| CLIENT
| クライアント
|
2
| SERVER または SERVER_ENCRYPT
| DB2 コネクト・ワークステーション
|
3
| 適用外
| なし
|
4
| DCS または DCS_ENCRYPT
| ホストまたは AS/400 データベース・サーバー
|
5
| DCE
| DCE 機密保護サーバー
|
以下の記述は、上記で説明され、
表 5 と表 6 にリストされているように、
APPC 接続と TCP/IP 接続の両方に適用されます。
各ケースについて、より詳細に説明します。
- ケース 1 は、
ユーザー名とパスワードがリモート・クライアントでのみ検証される場合です。
(ローカル・クライアントの場合、ユーザー名とパスワードが検証されるのは DB2 コネクト・サーバーだけです。)
ユーザーは、最初にサインオンした場所で認証されるよう期待されています。 ユーザー ID はネットワークを通して送信されますが、パスワードは送信されません。 このタイプの機密保護は、
すべてのクライアント・ワークステーションが信頼の置ける適切な機密保護機構を持っている場合にのみ使われます。
- ケース 2 の場合、ユーザー名とパスワード妥当性が検査されるのは、
DB2 コネクト・サーバーだけです。パスワードは、
ネットワークを介してリモート・クライアントから DB2 コネクト・サーバーへ (ホストまたは AS/400 データベース・サーバーへではない) に送信されます。
- ケース 3 の場合、ユーザー名とパスワードの妥当性は、DB2 コネクト・サーバーとホストまたは AS/400 データベース・サーバーの両方で検査されます。
パスワードは、ネットワークを介してリモート・クライアントから DB2 コネクト・ワークステーションへ、
次いで DB2 コネクト・ワークステーションからホストまたは AS/400 データベース・サーバーへ送信されます。
検証が 2 つの場所で行われるため、同じセットのユーザー名とパスワードが DB2 コネクト・サーバーとホストまたは AS/400 データベース・サーバーの両方で維持されなければなりません。
- ケース 4 は、
ユーザー名とパスワードがホストまたは AS/400 データベース・サーバーでのみ検証される場合です。
ユーザー ID とパスワードは、ネットワークを介してリモート・クライアントから DB2 コネクト・サーバーへ、
次いで DB2 コネクト・サーバーからホストまたは AS/400 データベース・サーバーへ送信されます。
- ケース 5 では、
DCE の暗号化されたチケットがクライアントによって DCE 機密保護サーバーから獲得されます。 チケットは、DB2 コネクトを通してサーバーに変更なしで渡され、ここで、
DCE 機密保護サービスを使用しているサーバーが妥当性検査を行います。
[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]