Podręcznik użytkownika
W tej części przedstawione są różne kombinacje ustawień
uwierzytelniania i ochrony, możliwe w DB2 Connect zarówno dla połączeń APPC,
jak i TCP/IP.
Omówienie znajdujące się poniżej ma zastosowanie w obu typach
połączeń.
Dla połączeń APPC dozwolone są następujące typy ochrony określające,
które informacje ochrony będą przechodziły przez warstwę komunikacji:
- SAME
- Do serwera baz danych hosta lub AS/400 przekazywana jest tylko nazwa
użytkownika.
- PROGRAM
- Do serwera baz danych hosta lub AS/400 przekazywana jest nazwa użytkownika
i hasło.
- NONE
- Nie ma przepływu informacji ochrony.
Tabela 5 zawiera możliwe kombinacje tych wartości i typ
uwierzytelniania określony na stacji roboczej DB2 Connect oraz informację,
które sprawdzanie poprawności jest wykonywane dla każdej kombinacji.
Tylko kombinacje przedstawione w tej tabeli są obsługiwane przez DB2 Connect w
połączeniach APPC.
Tabela 5. Poprawne scenariusze ochrony dla połączeń APPC
Przypadek
| Ustawienia uwierzytelniania w pozycji katalogu bazy danych w stacji
roboczej DB2 Connect
| Ochrona
| Sprawdzanie
|
1
| CLIENT
| SAME
| Klient
|
2
| SERWER
| SAME
| Serwer DB2 Connect
|
3
| SERWER
| PROGRAM
| Serwer DB2 Connect i serwer baz danych hosta lub AS/400
|
4
| SERVER_ENCRYPT lub DCS_ENCRYPT
| NONE
| Host lub serwer baz danych AS/400
|
5
| DCS
| PROGRAM
| Host lub serwer baz danych AS/400
|
6
| DCE
| NONE
| Serwer ochrony DCE
|
Jeśli zdalni klienci są połączeni z serwerem DB2 Connect Enterprise
Edition, należy podać następujące typy uwierzytelniania i ochrony:
- Jeśli zdalny klient jest połączony z serwerem DB2 Connect przez APPC,
należy u niego określić typ ochrony NONE.
- Jeśli typ uwierzytelniania w konfiguracji menedżera baz danych na serwerze
DB2 Connect ma wartość CLIENT, u każdego zdalnego klienta należy
określić typ CLIENT.
- Jeśli typ uwierzytelniania w serwerze DB2 Connect ma wartość
SERVER, SERVER_ENCRYPT, DCS lub
DCS_ENCRYPT, u każdego klienta należy określić jeden z tych typów
(nie jest ważne, która z tych czterech wartości zostanie ustawiona u zdalnego
klienta).
Uwagi:
- W przypadku systemów AIX wszyscy użytkownicy, którzy logują się,
korzystając z typu ochrony APPC SAME, muszą należeć do grupy
systemowej AIX.
- W przypadku systemów AIX ze zdalnymi klientami, instancja produktu DB2
Connect uruchomiona na stacji roboczej DB2 Connect musi należeć do grupy
systemowej AIX.
- Dostęp do serwera baz danych hosta lub AS/400 jest kontrolowany przez jego
własne mechanizmy ochrony lub podsystemy, takie jak Virtual Telecommunications
Access Method - VTAM (metoda dostępu do sieci telekomunikacyjnej) i Resource
Access Control Facility - RACF (funkcja kontroli dostępu do zasobów).
Dostęp do chronionych obiektów bazy danych jest kontrolowany przez instrukcje
GRANT i REVOKE języka SQL.
Protokół TCP/IP nie zawiera opcji ochrony w warstwie protokołu
sieciowego. Dlatego tylko rodzaj uwierzytelniania ma wpływ na to, gdzie
zachodzi uwierzytelnianie. Tylko kombinacje przedstawione w tabeli są
obsługiwane przez DB2 Connect w połączeniach TCP/IP.
Tabela 6. Poprawne scenariusze ochrony dla połączeń TCP/IP
Przypadek
| Ustawienia uwierzytelniania w pozycji katalogu bazy danych na stacji
roboczej DB2 Connect
| Sprawdzanie
|
1
| CLIENT
| Klient
|
2
| SERVER lub SERVER_ENCRYPT
| Stacja robocza DB2 Connect
|
3
| Nieodpowiedni
| Brak
|
4
| DCS lub DCS_ENCRYPT
| Host lub serwer baz danych AS/400
|
5
| DCE
| Serwer ochrony DCE
|
Następujące omówienie dotyczy połączeń APPC jak i połączeń TCP/IP,
opisanych powyżej i wymienionych w Tabela 5 i Tabela 6. Każdy przypadek jest opisany
bardziej szczegółowo:
- W przypadku 1 nazwa użytkownika i hasło są sprawdzane tylko po stronie
zdalnego klienta (dla klientów lokalnych nazwa użytkownika i hasło sprawdzane
są tylko na serwerze DB2 Connect).
Użytkownik powinien zostać uwierzytelniony w miejscu, w którym po raz
pierwszy wpisał się do systemu. Przez sieć jest wysyłany ID
użytkownika, ale nie hasło. Z tego rodzaju ochrony można korzystać,
jeśli wszystkie klienckie stacje robocze mają odpowiednie metody ochrony,
którym można zaufać.
- W przypadku 2 nazwa i hasło są sprawdzane tylko po stronie serwera DB2
Connect. Hasło jest wysyłane przez sieć od zdalnego klienta do serwera
DB2 Connect, ale nie do serwera baz danych hosta lub AS/400.
- W przypadku 3 nazwa użytkownika i hasło są sprawdzane zarówno po stronie
serwera DB2 Connect, jak i serwera baz danych hosta lub AS/400. Hasło
jest wysyłane przez sieć od zdalnego klienta do stacji roboczej DB2 Connect i
od stacji roboczej DB2 Connect do serwera baz danych hosta lub AS/400.
Ponieważ sprawdzanie poprawności odbywa się w dwóch miejscach, ten sam
zestaw nazw użytkowników i ich haseł musi być utrzymywany zarówno na serwerze
DB2 Connect, jak i na serwerze baz danych hosta lub AS/400.
- W przypadku 4 nazwa użytkownika i hasło są sprawdzane tylko po stronie
serwera baz danych hosta lub AS/400. Hasło i ID użytkownika są wysyłane
przez sieć od zdalnego klienta do serwera DB2 Connect i od serwera DB2 Connect
do serwera baz danych hosta lub AS/400.
- W przypadku 5 klient otrzymuje zaszyfrowany bilet DCE od serwera ochrony
DCE. Bilet jest przekazywany w niezmienionej formie przez DB2 Connect
do serwera, gdzie jest sprawdzany za pomocą DCE Security Services.
[ Początek strony | Poprzednia strona | Następna strona | Spis treści | Indeks ]