Gebruikershandleiding

Verificatie

Als DB2 Connect-beheerder kunt u in samenwerking met de host- of AS/400-databasebeheerder bepalen waar de geldigheid van gebruikersnamen en wachtwoorden gecontroleerd wordt. Er zijn vijf mogelijkheden:

U stelt vast waar de geldigheidscontrole plaatsvindt door de parameter voor het verificatietype in te stellen in de directory van de systeemdatabase en de parameter voor het beveiligingstype in de knooppuntdirectory voor APPC- of APPN-knooppunten. Zie Databasedirectory's bijwerken voor meer informatie over het bijwerken van deze directory's.

Opmerkingen:

  1. DB2 Connect voert zelf geen geldigheidscontrole voor gebruikers uit. Als u wilt dat het DB2 Connect-werkstation een geldigheidscontrole uitvoert, wordt het lokale beveiligingssubsysteem gebruikt om het gebruikers-ID en het wachtwoord te controleren bij elke CONNECT-opdracht. Daarom is het noodzakelijk dat u alle benodigde gebruikers-ID's en wachtwoorden instelt op het serversysteem als u gebruikmaakt van AUTHENTICATION=SERVER bij het instellen van een DB2 Connect Enterprise Edition-server.

  2. Bij gebruik van DCE-directoryservices werkt de verificatie anders. Zie Beveiliging met DCE-directoryservices voor meer informatie.

De volgende verificatietypen zijn toegestaan met DB2 Connect:

CLIENT
De gebruikersnaam en het wachtwoord worden op geldigheid gecontroleerd op de client.

SERVER
De gebruikersnaam en het wachtwoord worden op geldigheid gecontroleerd op het DB2 Connect-werkstation. Als er geen verificatie is opgegeven, wordt als standaardoptie SERVER gebruikt.

SERVER_ENCRYPT
Voor wat betreft de SERVER-verificatie, wordt de geldigheid van de gebruikersnaam en het wachtwoord gecontroleerd op het DB2 Connect-werkstation. De overgebrachte wachtwoorden worden echter versleuteld op de client en gedecodeerd op het DB2 Connect-werkstation.

DCS
De gebruikersnaam en het wachtwoord worden op geldigheid gecontroleerd op de host- of AS/400-databaseserver.

DCS_ENCRYPT
Voor wat betreft de DCS-verificatie, wordt de geldigheid van de gebruikersnaam en het wachtwoord gecontroleerd op de host- of AS/400-databaseserver. De overgebrachte wachtwoorden worden echter versleuteld op de client en, afhankelijk van het verificatietype dat is opgegeven op het DB2 Connect-werkstation, gedecodeerd op het DB2 Connect-werkstation of op de host- of AS/400-databaseserver.

DCE
De gebruikersnaam en het wachtwoord worden op geldigheid gecontroleerd op de DCE-beveiligingsserver.

Voor verificatie met SERVER_ENCRYPT en DCS_ENCRYPT geldt dezelfde semantiek als voor SERVER- en DCS-verificatie wat betreft de verificatielocatie. Zij onderscheiden zich doordat elk overgebracht wachtwoord wordt versleuteld aan de bronzijde (de client of de DB2 Connect-server) en gedecodeerd aan de doelzijde (de DB2 Connect-server of de host- of AS/400-databaseserver), overeenkomstig het verificatietype dat is gecatalogiseerd aan de bronzijde.

Versleutelde en niet-versleutelde waarden met overeenkomende verificatielocaties kunnen daardoor worden gebruikt om verschillende versleutelingscombinaties te kiezen tussen client en DB2 Connect-server of tussen DB2 Connect-server en host- of AS/400-databaseserver, zonder dat dit invloed heeft op de locatie van de verificatie. Hier ziet u enkele voorbeelden van het gebruik binnen een gateway-scenario, waarbij de DB2 Connect-server wordt aangeduid met de term 'gateway':
Verificatie op de client Verificatie op de gateway Verificatie-locatie Client-gateway-versleuteling? Gateway-server-versleuteling?
SERVER_ENCRYPT SERVER gateway ja nee
DCS_ENCRYPT DCS server ja nee
DCS DCS_ENCRYPT server nee ja
DCS_ENCRYPT DCS_ENCRYPT server ja ja

De enige APPC-beveiligingsparameter die wordt ondersteund wanneer SERVER_ENCRYPT of DCS_ENCRYPT wordt gebruikt, is SECURITY=NONE.

Opmerkingen:

  1. AIs er geen verificatieparameter is opgegeven, gebruikt DB2 Connect de verificatie SERVER voor elk item in de systeemdatabasedirectory dat door DB2 Connect wordt gebruikt om een verbinding tot stand te brengen.

  2. Net als bij client/server-communicatie op DB2 Universal Database is het verificatietype niet vereist voor een client op afstand die is aangesloten op een DB2 Connect Enterprise Edition-gateway. Het verificatietype kan daar wel worden opgegeven om de performance te optimaliseren, maar hoeft dan niet van de gateway te worden opgehaald, waardoor de verstreken tijd voor bewerkingen wordt teruggebracht.

  3. Mocht er sprake zijn van een verschil tussen de waarde op de client en de waarde op de gateway, dan krijgt de waarde op de DB2 Connect-gateway voorrang.


[ Begin van pagina | Vorige pagina | Volgende pagina | Inhoud | Trefwoordenregister ]