Podręcznik użytkownika
Administrator produktu DB2 Connect we współpracy z administratorem
bazy danych hosta lub AS/400 może określić, gdzie ma być sprawdzana poprawność
nazw użytkowników i haseł. Istnieje pięć możliwości:
- sprawdzanie po stronie klienta,
- sprawdzanie po stronie stacji roboczej DB2 Connect,
- sprawdzanie po obu stronach, stacji roboczej DB2 Connect i hosta lub
serwera AS/400,
- sprawdzenie po stronie hosta lub serwera AS/400,
- sprawdzanie po stronie serwera ochrony DCE.
Można określić, gdzie następuje sprawdzanie, ustawiając w systemowym
katalogu baz danych parametr authentication type (typ uwierzytelniania) i w
katalogu węzłów dla węzłów APPC lub APPN parametr security type (typ
ochrony). Więcej informacji na temat aktualizowania tych katalogów
można znaleźć w rozdziale Aktualizowanie katalogów baz danych.
Uwagi:
- Produkt DB2 Connect nie sprawdza użytkownika. Podczas sprawdzania
po stronie stacji roboczej DB2 Connect do sprawdzenia identyfikatora
użytkownika i hasła dostarczanych z każdym żądaniem CONNECT użyty
zostanie lokalny podsystem ochrony. Dlatego też przy konfigurowaniu
serwera DB2 Connect Enterprise Edition, jeśli używany będzie typ
AUTHENTICATION=SERVER, należy skonfigurować wszystkie niezbędne
identyfikatory i hasła użytkowników w systemie serwera.
- Przy korzystaniu z DCE Directory Services uwierzytelnianie działa
inaczej. Więcej informacji można znaleźć w sekcji Ochrona z DCE Directory Services.
W produkcie DB2 Connect dozwolone są następujące typy
uwierzytelniania:
- KLIENT
- Poprawność nazwy użytkownika i hasła jest sprawdzana po stronie
klienta.
- SERWER
- Poprawność nazwy użytkownika i hasła jest sprawdzana po stronie stacji
roboczej DB2 Connect. Gdy nie jest określony żaden typ
uwierzytelniania, przyjmowany jest typ SERVER.
- SERVER_ENCRYPT
- Tak jak w przypadku uwierzytelniania typu SERVER, nazwa i hasło są
sprawdzane po stronie stacji roboczej DB2 Connect, ale przesyłane hasła są
szyfrowane po stronie klienta i deszyfrowane po stronie stacji roboczej DB2
Connect.
- DCS
- Poprawność nazwy użytkownika i hasła jest sprawdzana po stronie serwera
baz danych hosta lub AS/400.
- DCS_ENCRYPT
- W przypadku uwierzytelniania DCS nazwa i hasło są sprawdzane po stronie
serwera baz danych hosta lub AS/400, ale przesyłane hasła są szyfrowane po
stronie klienta i w zależności od typu uwierzytelniania podanego po stronie
stacji roboczej DB2 Connect deszyfrowane po stronie stacji roboczej DB2
Connect albo serwera baz danych hosta lub AS/400.
- DCE
- Poprawność nazwy użytkownika i hasła sprawdzana po stronie serwera ochrony
DCE.
Jeśli chodzi o miejsce uwierzytelniania, to uwierzytelnianie SERVER_ENCRYPT
i DCS_ENCRYPT mają takie samo znaczenie jak uwierzytelnianie SERVER i
DCS. Różnią się tym, że wszystkie przekazywane hasła są szyfrowane w
miejscu źródłowym (klient lub serwer DB2 Connect) i deszyfrowane w miejscu
docelowym (serwer DB2 Connect albo serwer baz danych hosta lub AS/400), jak to
podano w typie uwierzytelniania wpisanym do katalogu w miejscu
źródłowym.
Zaszyfrowanych i niezaszyfrowanych wartości z odpowiadającym im miejscom
uwierzytelniania można następnie użyć do wybrania różnych kombinacji
szyfrowania między klientem a serwerem DB2 Connect lub serwerem DB2 Connect a
serwerem baz danych hosta lub AS/400, nie zmieniając miejsca wykonywania
uwierzytelniania. Poniżej przedstawiono kilka przykładów scenariuszy
użycia tego uwierzytelniania w bramie, gdzie "brama" oznacza serwer DB2
Connect:
Uwierzytelnianie po stronie klienta
| Uwierzytelnianie po stronie bramy
| Miejsce uwierzytelniania
| Szyfrowanie klient-brama
| Szyfrowanie brama-serwer
|
SERVER_ENCRYPT
| SERWER
| brama
| tak
| nie
|
DCS_ENCRYPT
| DCS
| serwer
| tak
| nie
|
DCS
| DCS_ENCRYPT
| serwer
| nie
| tak
|
DCS_ENCRYPT
| DCS_ENCRYPT
| serwer
| tak
| tak
|
SECURITY=NONE jest jedynym parametrem ochrony APPC obsługiwanym, gdy
używany jest SERVER_ENCRYPT lub DCS_ENCRYPT.
Uwagi:
- Dla dowolnej pozycji w systemowym katalogu baz danych, z której korzysta
DB2 Connect do nawiązania połączenia, jeśli nie jest określony parametr
uwierzytelniania, DB2 Connect użyje uwierzytelniania typu
SERVER.
- Podobnie jak w przypadku komunikacji DB2 Universal Database klient-serwer,
typ uwierzytelniania nie jest wymagany u zdalnego klienta podłączonego do
bramy DB2 Connect Enterprise Edition. Może tam być wyspecyfikowany, aby
pomóc w optymalizacji wydajności, ponieważ wtedy nie musi być otrzymywany z
bramy, co skraca czas trwania transakcji.
- W przypadku rozbieżności między wartością po stronie klienta i wartością
po stronie bramy, wykorzystana zostaje wartość określona w bramie DB2
Connect.
[ Początek strony | Poprzednia strona | Następna strona | Spis treści | Indeks ]