Дополнение по возможностям соединений
Поддержка сервера прикладных программ DB2 Universal Database for OS/390
позволяет DB2 Universal Database for OS/390 действовать как сервер для
реквестеров прикладных программ DRDA. Реквестером прикладных программ
для сервера прикладных программ DB2 Universal Database for OS/390 может
быть:
- Реквестер DB2 Universal Database for OS/390
- DB2 Connect
- DB2 Universal Database Enterprise Edition или DB2 Universal Database
Extended - Enterprise Edition с поддержкой DB2 Connect.
- Реквестер DB2 Версии 2, который может работать в AIX, HP-UX, OS/2,
Solaris, Windows 3.1, Windows 3.11 for Workgroups, Windows 95
или Windows NT, а также Macintosh, SCO, SGI или SINIX. Эту функцию
предоставляют Distributed Database Connection Services (DDCS) Multi-user
gateway Версии 2.3, DDCS Single-user Версии 2.3 и DDCS for
Windows Версии 2.4.
- Реквестер OS/400
- Реквестер DB2 for VM
- Любой продукт, поддерживающий протоколы реквестера прикладных программ
DRDA
Сервер прикладных программ DB2 Universal Database for OS/390 поддерживает
доступ к базам данных для реквестеров прикладных программ следующим
образом:
- Реквестеру прикладных программ разрешен доступ к таблицам, хранящимся на
сервере прикладных программ DB2 Universal Database for OS/390.
Реквестер прикладных программ должен создать пакет на сервере прикладных
программ DB2 Universal Database for OS/390, прежде чем запустить прикладную
программу. Сервер прикладных программ DB2 Universal Database for OS/390
использует этот пакет, чтобы найти операторы SQL этой программы во время
выполнения.
- Реквестер прикладных программ может сообщить серверу прикладных программ
DB2 Universal Database for OS/390, что доступ должен быть ограничен только
чтением, если соединение DRDA реквестер-сервер не поддерживает двухфазное
принятие изменений. Например, реквестер DDCS В2R3 с интерфейсом CICS
сообщит серверу прикладных программ DB2 Universal Database for OS/390, что
изменения не разрешены.
- Реквестеру прикладных программ может быть предоставлен также доступ к
таблицам, хранящимся на других системах DB2 Universal Database for OS/390 сети
с помощью доступа, управляемого системой. Доступ, управляемый системой,
позволяет реквестеру прикладных программ устанавливать соединения с
несколькими системами баз данных в одной единице работы.
Чтобы Сервер прикладных программ DB2 Universal Database for OS/390
правильно обрабатывал требования распределенной базы данных, необходимо
выполнить следующие действия:
- Определить сервер прикладных программ для локального Communications
Manager.
- Определить назначение каждого потенциального вторичного сервера, чтобы
сервер прикладных программ DB2 Universal Database for OS/390 мог направлять
требования SQL к их конечным назначениям.
- Обеспечить необходимую защиту.
- Обеспечить правильное представление данных.
Чтобы Сервер прикладных программ мог принимать требования
распределенной базы данных, он должен быть определен для локального
Communications Manager и иметь уникальное RDB_NAME. Ниже описываются
соединения SNA. Чтобы правильно определить Сервер прикладных программ,
нужно выполнить следующие действия:
- Выбрать имя LU и RDB_NAME, которые будет использовать Сервер прикладных
программ DB2 Universal Database for OS/390. Для занесения этих имен в
DB2 Universal Database for OS/390 и VTAM используется та же процедура, что
описана в разделе Определение локальной системы (SNA). Выбранное для DB2 Universal Database for OS/390
RDB_NAME надо сообщить всем конечным пользователям и реквестерам прикладных
программ, которые будут соединяться с сервером.
- Зарегистрировать значение NETID.LUNAME для сервера прикладных
программ DB2 Universal Database for OS/390 на каждом реквестере прикладных
программ, которому требуется доступ, чтобы он мог направлять требования SNA на
сервер DB2 Universal Database for OS/390. Это относится и к случаю,
когда Реквестер прикладных программ способен выполнять динамическую сетевую
маршрутизацию, поскольку для такой маршрутизации ему должно быть известно
NETID.LUNAME.
- Задать для каждого реквестера прикладных программ TPN, принятое по
умолчанию в DRDA (X'07F6C4C2'), поскольку DB2 Universal Database for
OS/390 автоматически использует это значение.
- Создать для каждого имени режима, которое может быть затребовано
реквестером прикладных программ, запись в таблице режимов. В этих
записях описываются размеры RU, размер окна синхронизации и класс обслуживания
для каждого имени режима.
- Задать предельное число сеансов для реквестеров прикладных программ,
устанавливающих соединения с сервером прикладных программ DB2 Universal
Database for OS/390. Предельное число сеансов по умолчанию для всех
систем-партнеров устанавливает оператор VTAM APPL. Если вы хотите
задать умолчания для определенного партнера, можно использовать таблицу
SYSIBM.LUMODES базу данных связи (CDB).
Перенастройка сети VTAM описана в разделе Задание размеров RU и синхронизации связи.
- Создайте записи в CDB DB2 Universal Database for OS/390, чтобы указать,
каким реквестерам прикладных программ разрешается устанавливать соединения с
сервером прикладных программ DB2 Universal Database for OS/390.
Используются два основных подхода к включению в CDB записей для реквестеров
прикладных программ в сети:
- Можно вставить в SYSIBM.LUNAMES строку, задающую значения по
умолчанию для любого LU, которое не описано в CDB особо (в этой строке в
столбце LUNAME содержатся пробелы). При таком подходе вы можете задать
особые значения для некоторых LU в сети, задав для остальных LU значения по
умолчанию.
Например, вы можете разрешить системе DALLAS (другая система DB2 Universal
Database for OS/390) посылать "уже-проверенные" требования распределенной базы
данных (LU 6.2 SECURITY=SAME), в то же время потребовав, чтобы системы
менеджера баз данных посылали пароль. Далее, вам, возможно, не
захочется включать в CDB записи для каждой системы менеджера баз данных,
особенно, если таких систем много. На Рис. 25 показано, как указать в CDB SECURITY=SAME для системы DALLAS
и SECURITY=PGM для всех остальных реквестеров.
Рис. 25. Установка умолчаний для соединений реквестера прикладных программ (SNA)
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
VALUES ('LUDALLAS', ' ', 'A', 'N', 'N', ' ');
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
VALUES (' ', ' ', 'C', 'N', 'N', ' ');
|
- Права доступа для каждого реквестера прикладных программ в сети можете
задать в CDB одним из следующих способов:
- Не задавайте строку по умолчанию в SYSIBM.LUNAMES. Если
строка по умолчанию (содержащая пустое имя LU) отсутствует, DB2 Universal
Database for OS/390 требует, чтобы в SYSIBM.LUNAMES была строка,
содержащая имя LU для каждого реквестера прикладных программ, который будет
устанавливать соединение. Если такая строка в CDB не найдена, Реквестер
прикладных программ не получит доступа к системе.
- Задайте в SYSIBM.LUNAMES строку по умолчанию и укажите, что
требуется проверка отправителя (в столбце USERNAMES - 'I' или
'B'). Это вынудит DB2 Universal Database for OS/390 ограничить
доступ для реквестеров прикладных программ и конечных пользователей, указанных
в таблице SYSIBM.USERNAMES, как описано в разделе Проверка отправителя. Вы можете использовать такой подход, если ваши
правила преобразования имен требуют наличия в SYSIBM.LUNAMES строки с
пустым именем LU, но вы не хотите, чтобы DB2 Universal Database for OS/390
предоставляла неограниченный доступ ко всем серверам прикладных программ DB2
Universal Database for OS/390.
На Рис. 26 нет строки, содержащей пробелы в столбце LUNAME, поэтому DB2
Universal Database for OS/390 отклоняет требования доступа для всех LU, кроме
LUDALLAS и LUNYC.
Рис. 26. Индивидуальное задание соединений реквестеров прикладных программ (SNA)
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
VALUES ('LUDALLAS', ' ', 'A', 'N', 'N', ' ');
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
VALUES ('LUNYC', ' ', 'A', 'N', 'N', ' ');
|
Чтобы Сервер прикладных программ мог получать требования
распределенной базы данных по соединениям TCP/IP, он должен быть определен для
локальной подсистемы TCP/IP и иметь уникальное RDB_NAME. Кроме того,
загрузочный набор данных DB2 Universal Database for OS/390 должен включать
необходимые параметры, и вам, возможно, придется внести изменения в базу
данных связей (CDB) DB2 Universal Database for OS/390.
- Настройка TCP/IP на сервере прикладных программ описана в руководстве
DB2 Universal Database for OS/390 Installation Reference.
Настройка реквестера прикладных программ описана в книгах DB2 Connect Enterprise Edition for OS/2 and Windows Quick
Beginnings и DB2 Connect Personal Edition. Быстрый старт.
- Пример определения загрузочного набора данных показан на Рис. 18.
- Если будут использоваться только входящие соединения с базами данных,
изменения в CDB не требуются, поэтому если вы планируете использовать DB2
Universal Database for OS/390 только в качестве сервера, можно не заполнять
CDB, оставив значения по умолчанию. Ниже приведен простой пример
редактирования SYSIBM.IPNAMES.
Для разрешения поступающих требований соединения базы данных для узлов
TCP/IP можно воспользоваться следующей командой SQL для изменения этой
таблицы:
INSERT INTO SYSIBM.IPNAMES (LINKNAME) VALUES(' ')
Когда реквестер прикладных программ направляет требования распределенной
базы данных серверу прикладных программ DB2 Universal Database for OS/390,
возникают следующие вопросы, связанные с защитой:
- Проверка отправителя
- Выбор имен конечных пользователей
- Параметры защиты сети
- Защита менеджера баз данных
- Защита, инициированная внешней подсистемой защиты
Сервер прикладных программ DB2 Universal Database for OS/390 при приеме от
реквестера имен конечных пользователей может ограничивать набор имен,
принимаемых от данного реквестера. Это достигается при помощи
проверки отправителя. Проверка отправителя позволяет серверу
прикладных программ указать, что данный ID пользователя может использоваться
только определенными партнерами. Например, для пользователя JONES
сервер прикладных программ может принимать только требования, "приходящие
от" реквестера DALLAS. Если другой реквестер прикладных программ
(отличный от DALLAS) пытается послать серверу прикладных программ имя JONES,
этот сервер прикладных программ может отвергнуть запрос, поскольку положение в
сети, откуда пришло это имя, не задано как допустимое.
DB2 Universal Database for OS/390 реализует проверку отправителя как часть
преобразования имен конечных пользователей на входе, что описывается в
следующем разделе.
Прим.: | Проверки на входе и проверки отправителя не выполняются для входящих
требований TCP/IP.
|
ID пользователя, передаваемый реквестером прикладных программ, может не
быть уникальным для всей сети SNA. Серверу прикладных программ DB2
Universal Database for OS/390 может понадобиться выполнять преобразование имен
на входе, чтобы создать уникальные для всей сети SNA имена конечных
пользователей. Серверу прикладных программ DB2 Universal Database for
OS/390 может также понадобиться выполнять преобразование имен на выходе, чтобы
передать вторичным серверам, связанным с прикладной программой, уникальное имя
конечного пользователя (смотрите в разделе Обеспечение защиты сведения о преобразовании имен конечных пользователей на
выходе).
Чтобы включить преобразование имен на входе, нужно указать в столбце
USERNAMES таблицы SYSIBM.LUNAMES или SYSIBM.IPNAMES значение
'I' (преобразование на входе) или 'B' (преобразование и на
входе, и на выходе). Когда включено преобразование имен на входе, DB2
Universal Database for OS/390 преобразует ID пользователя, посылаемый
реквестером прикладных программ, и имя владельца плана DB2 Universal Database
for OS/390 (если Реквестер прикладных программ - другая система DB2 Universal
Database for OS/390).
Если Реквестер прикладных программ посылает и ID пользователя, и пароль
командой APPC ALLOCATE, ID пользователя и пароль проверяются перед
преобразованием ID пользователя. Столбец PASSWORD из
SYSIBM.USERNAMES для проверки пароля не используется. Вместо
этого ID пользователя и пароль передаются для проверки внешней системе защиты
(RACF или эквивалентному продукту).
Когда проверяется входящий ID пользователя, посланный командой ALLOCATE,
DB2 Universal Database for OS/390 позволяет использовать обработчики
авторизации, при помощи которых можно задать список вторичных AUTHID и
выполнить дополнительные проверки защиты. Подробности смотрите в
руководстве DB2 Universal Database for OS/390 Administration Guide.
При преобразовании имен на входе происходит поиск в таблице
SYSIBM.USERNAMES строки, которая должна отвечать одному из шаблонов,
показанных ниже (в том порядке, в котором происходит поиск)
(TYPE.AUTHID.LINKNAME):
- I.AUTHID.LINKNAME - заданный конечный пользователь и
заданный реквестер прикладных программ
- I.AUTHID.пусто - Конкретный конечный пользователь и
любой реквестер прикладных программ
- I.пусто.LINKNAME - любой конечный пользователь и
заданный реквестер
Если ни одной строки не найдено, удаленный доступ не
предоставляется. Если найдена строка, предоставляется удаленный доступ,
и имя конечного пользователя заменяется на значение, указанное в столбце
NEWAUTHID; при пустом значении NEWAUTHID имя не меняется. При всех
проверках авторизации ресурсов DB2 Universal Database for OS/390, (например,
привилегий таблицы SQL), выполняемых DB2 Universal Database for OS/390,
используются преобразованные, а не исходные имена конечных
пользователей.
Когда сервер прикладных программ DB2 Universal Database for OS/390 получает
имя пользователя от реквестера прикладных программ, преобразование имен на
входе позволяет достичь нескольких целей:
- Можно изменить имя конечного пользователя, чтобы оно стало
уникальным. Например, следующие команды SQL преобразуют имя конечного
пользователя JONES от реквестера NEWYORK (LUNAME LUNYC) в другое имя
(NYJONES).
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS,
MODESELECT, USERNAMES)
VALUES ('LUNYC', ' ', 'A', 'N', 'N', 'I');
INSERT INTO SYSIBM.USERNAMES
(TYPE, AUTHID, LINKNAME, NEWAUTHID, PASSWORD)
VALUES ('I', 'JONES', 'LUNYC', 'NYJONES', ' ');
- Можно изменить имя конечного пользователя, чтобы все конечные пользователи
из группы использовали одно имя. Например, можно обозначать любого
пользователя с реквестера NEWYORK (LUNAME LUNYC) именем NYUSER. Это
дает возможность предоставить имени NYUSER привилегии SQL и управлять доступом
SQL, предоставляемым пользователям из NEWYORK.
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS,
MODESELECT, USERNAMES)
VALUES ('LUNYC', ' ', 'A', 'N', 'N', 'I');
INSERT INTO SYSIBM.USERNAMES
(TYPE, AUTHID, LINKNAME, NEWAUTHID, PASSWORD)
VALUES ('I', ' ', 'LUNYC', 'NYUSER', ' ');
- Можно ограничить набор имен конечных пользователей, передаваемых
определенным реквестером прикладных программ. Такое использование
преобразовании имен конечных пользователей позволяет выполнить проверку
отправителя, описанную в разделе Проверка отправителя. Например, приведенные ниже команды SQL разрешают в
качестве имен конечных пользователей с реквестера NEWYORK использовать только
имена SMITH и JONES. Пользователю с любым другим именем будет отказано
в доступе, поскольку его нет в таблице SYSIBM.USERNAMES.
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS,
MODESELECT, USERNAMES)
VALUES ('LUNYC', ' ', 'A', 'N', 'N', 'I');
INSERT INTO SYSIBM.USERNAMES
(TYPE, AUTHID, LINKNAME, NEWAUTHID, PASSWORD)
VALUES ('I', 'SMITH', 'LUNYC', ' ', ' ');
INSERT INTO SYSIBM.USERNAMES
(TYPE, AUTHID, LINKNAME, NEWAUTHID, PASSWORD)
VALUES ('I', 'JONES', 'LUNYC', ' ', ' ');
- Можно ограничить набор реквестеров прикладных программ, которым разрешены
соединения с сервером прикладных программ DB2 Universal Database for
OS/390. Это еще одна из возможностей проверки отправителя. В
приведенном ниже примере доступ предоставляется всем именам пользователя,
посланным реквестерами NEWYORK (LUNYC) и CHICAGO (LUCHI). Другие
реквестеры не получают доступа, потому что в строке по умолчанию в
SYSIBM.LUNAMES задано преобразование имен на входе для всех входящих
требований.
INSERT INTO SYSIBM.LUNAMES
(LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS,
MODESELECT, USERNAMES)
VALUES (' ', ' ', 'A', 'N', 'N', 'I');
INSERT INTO SYSIBM.USERNAMES
(TYPE, AUTHID, LINKNAME, NEWAUTHID, PASSWORD)
VALUES ('I', ' ', 'LUNYC', ' ', ' ');
INSERT INTO SYSIBM.USERNAMES
(TYPE, AUTHID, LINKNAME, NEWAUTHID, PASSWORD)
VALUES ('I', ' ', 'LUCHI', ' ', ' ');
Для соединений SNA LU 6.2 предоставляет три основных функции
защиты:
- Защита уровня сеанса
- Защита уровня диалога
- Шифрование
В разделе Защита сети описано, как задать защиту уровня сеанса и шифрование для
DB2 Universal Database for OS/390. Сервер прикладных программ DB2
Universal Database for OS/390 использует защиту на уровне сеанса и шифрование
точно так же, как Реквестер прикладных программ DB2 Universal Database for
OS/390.
Остается только рассмотреть защиту уровня диалога в сетях SNA.
Некоторые особенности защиты уровня диалога характерны только для сервера
прикладных программ DB2 Universal Database for OS/390. Сервер
прикладных программ DB2 Universal Database for OS/390 играет две разных роли в
сетевой защите:
- Выступая в качестве реквестера по отношению к вторичным серверам, Сервер
прикладных программ DB2 Universal Database for OS/390 отвечает за отправку
требований APPC, содержащих параметры защиты уровня диалога, которые требуются
вторичным серверам. Сервер прикладных программ DB2 Universal Database
for OS/390 использует значение из столбца USERNAMES таблицы
SYSIBM.LUNAMES и таблицы SYSIBM.USERNAMES, чтобы определить
требования защиты уровня диалога для каждого вторичного сервера.
Подробности этого процесса описаны в разделе Защита сети.
- Как сервер для реквестера прикладных программ Сервер прикладных программ
DB2 Universal Database for OS/390 предъявляет свои требования защиты уровня
диалога SNA для реквестера прикладных программ. DB2 Universal Database
for OS/390 использует значение из столбца USERSECURITY таблицы
SYSIBM.LUNAMES, чтобы определить требования защиты диалога,
предъявляемые каждому реквестеру прикладных программ в сети. В столбце
USERSECURITY используются следующие значения:
- C
- Означает, что DB2 Universal Database for OS/390 требует от реквестера
прикладных программ отправки ID пользователя и пароля (SECURITY=PGM LU
6.2) в каждом требовании распределенной базы данных. Если в
столбце ENCRYPTPSWDS таблицы SYSIBM.LUNAMES - 'Y', DB2
Universal Database for OS/390 предполагает, что пароль уже в зашифрованном
формате RACF (это возможно только для реквестеров прикладных программ DB2
Universal Database for OS/390). Если в столбце ENCRYPTPSWDS стоит не
'Y', DB2 Universal Database for OS/390 ожидает пароль в стандартном
формате LU 6.2 (представление символов EBCDIC). В каждом случае
DB2 Universal Database for OS/390 передает подсистеме защиты ID пользователя и
пароль для проверки. Необходимо иметь подсистему защиты, обеспечивающую
проверку идентификатора пользователя и пароля APPC; например, возможность
проверять идентификаторы пользователей и пароли APPC есть у RACF. Если
подсистема защиты отвергает пару ID пользователя - пароль, требование доступа
к распределенной базе данных отклоняется.
- Другое значение
- Означает, что реквестеру прикладных программ разрешается посылать либо
"уже-проверенные" ID пользователя (SECURITY=SAME LU 6.2), либо ID
пользователя и пароль (SECURITY=PGM LU 6.2). Если посланы ID
пользователя и пароль, DB2 Universal Database for OS/390 обрабатывает их так
же, как описано выше для 'C'. Если в запросе содержится только
идентификатор пользователя, для идентификации пользователя вызывается
подсистема защиты, за исключением того случая, когда для управления входящими
идентификаторами пользователей используется таблица
sysusernames.
Если обнаружено нарушение защиты, LU 6.2 требует, чтобы Сервер
прикладных программ DB2 Universal Database for OS/390 возвратил реквестеру
прикладных программ код ошибки защиты SNA ('080F6051'X).
Поскольку этот код ошибки ничего не говорит о причине неудачи, DB2 Universal
Database for OS/390 предоставляет два способа определения причины нарушения
защиты распределенной базы данных:
- Генерируется сообщение DSNL030I, содержащее LUWID реквестера и код причины
DB2, которые описывают ошибку. DSNL030I также содержит AUTHID из
отвергнутого требования прикладной программы, если он известен.
- В базу данных монитора оборудования NETVIEW заносится оповещение,
содержащее ту же информацию, что и сообщение DSNL030I.
В качестве владельца ресурсов базы данных, Сервер прикладных программ DB2
Universal Database for OS/390 управляет функциями защиты баз данных для
объектов SQL, расположенных на этом сервере. Доступ к объектам,
управляемым DB2 Universal Database for OS/390, регулируется привилегиями,
которые предоставляют пользователям администратор DB2 Universal Database for
OS/390 или владельцы отдельных объектов. Сервер прикладных программ DB2
Universal Database for OS/390 управляет двумя основными классами
объектов:
Когда создается пакет, с помощью опции DISABLE/ENABLE можно
регулировать типы соединений DB2 Universal Database for OS/390, для которых
можно запускать пакет. Чтобы выборочно разрешить конечным пользователям
использовать DDF, можно использовать RACF и обработчики
защиты DB2 Universal Database for OS/390. RLF можно
использовать для задания ограничений на процессорное время для удаленных
связываний и выполнений динамического SQL.
Рассмотрим пакет DB2 Universal Database for OS/390 под названием
MYPKG, которым владеет JOE. JOE может разрешить SAL
выполнять пакет при помощи оператора DB2 Universal Database for OS/390
GRANT USE. Когда SAL выполняет пакет, происходит
следующее:
- DB2 Universal Database for OS/390 проверяет, предоставлено ли SAL право
USE для данного пакета.
- SAL может вызвать любой статический оператор SQL из пакета, так как JOE
имеет требуемые привилегии для объектов SQL, чтобы создать пакет.
- Если в пакете есть динамические операторы SQL, у SAL должны быть
собственные привилегии для таблиц SQL. Например, SAL не может вызвать
SELECT * FROM JOE.TABLE5, если ей не предоставлен доступ для
чтения к JOE.TABLE5.
Использование сервером прикладных программ DB2 Universal Database for
OS/390 подсистемы защиты (RACF или эквивалентного ему продукта) зависит от
того, как определена функция преобразования имен на входе в таблице
SYSIBM.LUNAMES:
- Если в столбце USERNAMES указано 'I' или 'B',
преобразование имен на входе активно, и DB2 Universal Database for OS/390
предполагает, что администратор DB2 Universal Database for OS/390 использует
входное преобразование имен, чтобы выполнить часть требований защиты
системы. Внешняя подсистема защиты вызывается, только если Реквестер
прикладных программ посылает требование, содержащее и ID пользователя, и
пароль (SECURITY=PGM). Необходимо иметь подсистему защиты,
обеспечивающую проверку идентификатора пользователя и пароля APPC;
например, возможность проверять идентификаторы пользователей и пароли APPC
есть у RACF.
Если требование от реквестера прикладных программ содержит только ID
пользователя (SECURITY=SAME), внешняя система вообще не вызывается, потому что
правила преобразования имен на входе определяют, каким пользователям разрешены
соединения с сервером прикладных программ DB2 Universal Database for
OS/390.
- Если в столбце USERNAMES указано значение, отличное от
'I' или 'B', подсистема защиты выполняет следующие
проверки:
- Когда от реквестера прикладных программ получено требование распределенной
базы данных, DB2 Universal Database for OS/390 вызывает внешнюю систему
защиты, чтобы проверить ID пользователя конечного пользователя (и пароль, если
он присутствует).
- Внешняя система защиты вызывается, чтобы проверить, имеет ли конечный
пользователь право устанавливать соединения с подсистемой DB2 Universal
Database for OS/390.
- В каждом случае вызывает обработчик авторизации, который использует список
вторичных ID авторизации. Дополнительную информацию смотрите в книге
DB2 Universal Database for OS/390 Administration Guide.
Необходимо, чтобы подсистема DB2 Universal Database for
OS/390 могла выполнять преобразование из CCSID каждого реквестера прикладных
программ в CCSID, выбранный при установке подсистемы DB2 Universal Database
for OS/390. Дополнительную информацию смотрите в разделе Представление данных.
[ Начало страницы | Страница назад | Страница вперед | Содержание | Индекс ]