Дополнение по возможностям соединений

Конфигурирование сервера прикладных программ

Поддержка сервера прикладных программ в системе AS/400 позволяет ему действовать в качестве сервера для реквестера прикладных программ DRDA. Реквестер прикладных программ, соединенный с сервером прикладных программ DB2 Universal Database for AS/400, может быть любым клиентом, поддерживающим протоколы DRDA.

Реквестеру прикладных программ разрешен допуск к таблицам, хранящимся локально на сервере прикладных программ DB2 Universal Database for AS/400. Прежде чем выполнять операторы SQL, реквестер прикладных программ должен создать пакет на сервере прикладных программ DB2 Universal Database for AS/400. Сервер прикладных программ DB2 Universal Database for AS/400 использует пакет, содержащий операторы SQL прикладной программы, во время работы программы.

Задание сетевой информации

Для обработки требований распределенной базы данных на сервере прикладных программ AS/400 надо дать имя базе данных сервера прикладных программ в каталоге RDB. Для связи SNA нужно определить систему сервера прикладных программ и задать размеры блоков запроса и ответа и синхронизацию. Связь по протоколу TCP/IP, которая поддерживается, начиная с DB2 Universal Database for AS/400 версии 4.2, описана в разделе Соединения DB2 Universal Database for AS/400 в сети DRDA через TCP/IP.

Именование базы данных сервера прикладных программ

Имя базе данных сервера прикладных программ (на сервере прикладных программ) присваивается так же, как и базе данных реквестера прикладных программ (на реквестере прикладных программ). Используйте команду Добавить запись в каталог реляционных баз данных (Add Relational Database Directory Entry, ADDRDBDIRE) и укажите в качестве удаленного положения *LOCAL.

Определение сервера прикладных программ для сети

Для доступа с использованием SNA определение сервера прикладных программ для сети идентично определению реквестера прикладных программ для сети. Чтобы определить и сервер прикладных программ, и реквестер прикладных программ, посылающий требования, нужно создать описания линии связи, контроллера, устройства и режима. Информацию о том, как определять сервер прикладных программ для сети, смотрите в разделах Определение локальной системы для DB2 Universal Database for AS/400 и Определение удаленной системы для DB2 Universal Database for AS/400. Смотрите также руководство AS/400 Distributed Database Programming.

Для запуска базы данных сервера прикладных программ AS/400 по умолчанию используется имя программы транзакций DRDA по умолчанию X'07F6C4C2'. Это имя программы транзакций определено в системе AS/400 для запуска сервера прикладных программ. Для связи TCP/IP, когда этот протокол поддерживается DB2/400, вместо этого параметра задается является порт. DB2/400 всегда будет использовать как сервер общеизвестный порт DRDA 446.

Задание размеров RU и синхронизации связи

Надо просмотреть сетевые определения, чтобы определить, будет ли сеть распределенных баз данных влиять на существующую сеть. Для сервера прикладных программ и для реквестера прикладных программ применяются одни и те же соображения.

Обеспечение защиты

Когда реквестер прикладных программ направляет требование распределенной базы данных серверу прикладных программ AS/400, учитываются следующие вопросы защиты:

Выбор имен конечных пользователей

Реквестер прикладных программ посылает идентификатор пользователя серверу прикладных программ для обработки защиты. Задание, выполняемое на сервере прикладных программ AS/400, использует этот идентификатор пользователя или, в некоторых случаях, идентификатор пользователя по умолчанию.

Сервер прикладных программ AS/400 не обеспечивает преобразование входящего идентификатора пользователя для разрешения конфликтов между неуникальными идентификаторами пользователя или идентификаторами группы и идентификаторами пользователей. Каждый идентификатор пользователя, посылаемый реквестером прикладных программ, должен существовать на сервере прикладных программ. Для группировки входящих требований в единый идентификатор пользователя, с некоторым снижением уровня защиты, используется задание идентификатора пользователя по умолчанию в записи связи для подсистемы, обрабатывающей требования запуска удаленных заданий. Смотрите описания ADDCMNE и CHGCMNE в справочнике AS/400 CL Reference.

Защита сетей SNA

LU 6.2 позволяет использовать три главных механизма сетевой защиты:

Сервер прикладных программ DB2 Universal Database for AS/400 использует защиту на уровне сеанса так же, как реквестер прикладных программ DB2 Universal Database for AS/400.

Сервер прикладных программ управляет уровнями диалогов SNA, используемыми для диалога. Параметр SECURELOC в описании устройства APPC или значение защиты положения в списке удаленных адресов APPN определяет, что именно принимается для диалога от реквестера прикладных программ.

Возможны следующие опции защиты диалога SNA:

SECURITY=SAME
Называется также "уже проверен". Серверу прикладных программ требуется только идентификатор пользователя прикладной программы. Пароль не посылается. Для использования этого уровня защиты диалогов на сервере прикладных программ задайте параметр SECURELOC в описании устройства APPC на *YES или задайте для защиты положения в списке удаленных адресов APPN значение *YES.

SECURITY=PGM
Сервер прикладных программ требует для подтверждения идентификатор пользователя и пароль. Для использования этого уровня защиты диалогов на сервере прикладных программ задайте для идентификатора пользователя по умолчанию в записи связи подсистемы AS/400 значение *NONE (нет идентификатора пользователя по умолчанию) и задайте для параметра SECURELOC или защиты положения значение *NO.

SECURITY=NONE
Сервер прикладных программ не ожидает получить идентификатор пользователя или пароль. Диалог разрешен с применением профиля пользователя по умолчанию на сервере прикладных программ. Для использования данной опции задайте профиль пользователя по умолчанию в каталоге связи подсистем и укажите значение *NO для параметра SECURELOC или защиты положения.

SNA/DS ( SNA Distribution Services - службы распределения SNA) требует идентификатор пользователя по умолчанию, поэтому SNA/DS должна иметь собственную подсистему для обычного случая, когда вы не хотите использовать идентификатор пользователя по умолчанию для прикладных программ DRDA.

Метод группировки входящих требований на запуск задания под одним идентификатором пользователя уже упоминался в разделе Выбор имен конечных пользователей. При этом метод идентификатор пользователя, посылаемый с реквестера прикладных программ, не проверяется. Задание сервера прикладных программ запускается под идентификатором пользователя по умолчанию, а пользователь, инициировавший соединение с сервера прикладных программ, имеет доступ к серверу прикладных программ, даже если посланный идентификатор пользователя обладает ограниченными полномочиями. Для этого сервер прикладных программ определяется как незащищенное положение, в записи для связи подсистем AS/400 указывается идентификатор пользователя по умолчанию, а реквестер прикладных программ конфигурируется на посылку идентификатора пользователя только при обработке соединения. Если послан пароль, то посланный с ним идентификатор пользователя используется вместо идентификатора пользователя по умолчанию.

Записи для связи подсистем AS/400 различаются по именам устройств и режимов, используемым для запуска диалога. Назначая разные идентификаторы пользователя разным парам устройство/режим, можно группировать пользователей по тому, как они связываются с сервером прикладных программ.

Система AS/400 предлагает также возможность сетевой защиты, используемую только для управления распределенными базами данных и распределенного управления файлами. Сетевой атрибут для этих типов системного доступа либо отклоняет все попытки доступа, либо передает управление защитой системе на пообъектной основе.

Защита в сетях TCP/IP

В DB2 Universal Database for AS/400, версия 4.2. введена новая команда CRTDDMTCPA. Это позволяет указывать, будет ли сервер принимать требования на соединение TCP/IP без пароля.

Защита менеджера баз данных

Вся защита выполняется при помощи функции защиты OS/400.

Системная защита

Система AS/400 не имеет внешней подсистемы защиты. Вся защита осуществляется посредством функции защиты OS/400, входящей в операционную систему. Операционная система управляет авторизацией всех объектов системы, включая программы, пакеты, таблицы, производные таблицы и собрания.

Сервер прикладных программ управляет авторизацией для всех объектов, находящихся на сервере прикладных программ. Управление защитой для таких объектов основано на идентификаторе пользователя, который запускает задание сервера прикладных программ. Этот идентификатор пользователя определяется, как описано в разделе Выбор имен конечных пользователей.

Защитой объектов можно управлять с помощью команд CL для полномочий объектов или с помощью операторов SQL GRANT и REVOKE. Команды CL для полномочий объектов - Предоставить полномочия объекта (Grant Object Authority, GRTOBJAUT) и Отозвать полномочия объекта (Revoke Object Authority, RVKOBJAUT). Команды CL используются для всех объектов системы. Операторы GRANT и REVOKE используются только для объектов SQL: таблиц, производных таблиц и пакетов. Если требуется изменить полномочия для других объектов, например, для программ или собраний, используйте команды GRTOBJAUT и RVKOBJAUT.

При создании объектов в системе им даются полномочия по умолчанию. По умолчанию создатель таблицы, производной таблицы или программы получает все полномочия этих объектов. Также по умолчанию все пользователи (public) получают те же полномочия для этих объектов, что они имеют для собрания или библиотеки, в которой создан объект.

Полномочия для объектов, к которым обращаются статические или динамические операторы внутри пакета, проверяются во время выполнения пакета. Если создатель пакета не имеет полномочий для таких объектов, при создании пакета выдаются предупреждающие сообщения. Во время выполнения пакета пользователь, выполняющий пакет, берет полномочия создателя пакета. Если создатель пакета имеет полномочия для работы с таблицей, а пользователь, запустивший пакет, не имеет их, пользователь берет полномочия создателя пакета и получает разрешение использовать таблицу.

Дополнительную информацию о системной защите смотрите в справочнике AS/400 Security - Reference.

Представление данных

Поддерживающие DRDA программы автоматически выполняют все необходимые преобразования на сервере прикладных программ. Для этого значение CCSID сервера прикладных программ должно поддерживаться утилитой преобразования реквестера прикладных программ.

На сервере прикладных программ надо учитывать CCSID для следующих объектов:


[ Начало страницы | Страница назад | Страница вперед | Содержание | Индекс ]