Dodatek za povezljivost

Problematika zaščite za uporabo DRDA prek TCP/IP

DRDA prek izvirnega TCP/IP ne uporablja storitev in pojmov za zaščito komunikacij OS/400 kot so komunikacijske naprave, načini, lastnosti zaščitenega mesta in ravni zaščite pogovorov, ki so povezani s komunikacijami APPC. Zato se nastavitev zaščite za TCP/IP precej razlikuje.

Trenutna izvedba DB2/400 DRDA prek TCP/IP podpira dva tipa mehanizmov za zaščito:

  1. Samo ID uporabnika
  2. ID uporabnika z geslom

Za strežnik aplikacij (AS) za DB2 Universal Database za AS/400 je privzeta zaščita uporaba ID-ja uporabnika z geslom. To pomeni, da morajo imeti povezovalne zahteve TCP/IP pri namestitvi sistema poleg ID-ja uporabnika tudi geslo, z uporabo katerega se bo izvajalo opravilo strežnika. Če želite podati, da geslo ni potrebno, uporabite ukaz CHGDDMTCPA. Za izvedbo te spremembe vnesite CHGDDMTCPA PWDRQD(*NO). Za uporabo tega ukaza morate imeti posebno pooblastilo *IOSYSCFG.

Za zahtevnik aplikacij DB2 Universal Database za AS/400 (AR ali odjemalec) sta na voljo dva načina, ki ju lahko v povezovalnih zahtevah TCP/IP uporabite za pošiljanje gesla skupaj z ID-jem uporabnika. Če gesla ni, bo poslan samo ID uporabnika.

Prvi način za pošiljanje gesla je uporaba oblike USER/USING stavka SQL CONNECT. Skladnja je takšna:

      CONNECT TO rdbname USER id_uporabnika USING 'geslo'

pri čemer besede, napisane z malimi črkami, predstavljajo ustrezne povezovalne parametre. V programih, ki uporabljajo vdelani SQL, sta lahko vrednosti za id_uporabnika in geslo vsebovani v spremenljivkah gostitelja.

Drugi način za pošiljanje gesla za povezovalno zahtevo prek TCP/IP je z uporabo pooblastitvene postavke strežnika. Z vsakim profilom uporabnika v sistemu je povezan pooblastitveni seznam strežnika. Po privzetku je seznam prazen, vendar lahko z ukazom ADDSVRAUTE dodajate postavke. Če poskusite vzpostaviti povezavo DRDA prek TCP/IP, DB2 Universal Database za AS/400 na seznamu pooblastil strežnika poišče profil uporabnika, z uporabo katerega se izvaja opravilo odjemalca. Če najde ujemanje med imenom RDB v stavku CONNECT in imenom SERVER v pooblastitveni postavki, bo za ID uporabnika povezave uporabljen povezani parameter USRID v postavki, če pa je v postavki shranjen parameter PASSWORD, bo v povezovalni zahtevi poslano tudi geslo.

Če želite geslo shraniti z uporabo ukaza ADDSVRAUTE, morate sistemsko vrednost QRETSVRSEC nastaviti na '1'. Po privzetku je ta vrednost nastavljena na '0'. Če želite izvesti spremembo, vnesite:

   CHGSYSVAL QRETSVRSEC VALUE('1')

Skladnja za ukaz ADDSVRAUTE je naslednja:

   ADDSVRAUTE USRPRF(profil_uporabnika) SERVER(ime_rdb) USRID(id_uporabnika) PASSWORD(geslo)

Parameter USRPRF podaja profil uporabnika, s katerim se izvaja opravilo zahtevnika aplikacij. Parameter SERVER določa oddaljeno ime RDB, parameter USRID pa določa profil uporabnika, s katerim se bo izvajalo opravilo strežnika. Parameter PASSWORD podaja geslo za profil uporabnika na strežniku.
Opomba:Zelo pomembno je, da ime RDB v parametru SERVER podate z velikimi črkami.

Če izpustite parameter USRPRF, bo po privzetku uporabljen profil uporabnika, s katerim se izvaja ukaz ADDSVRAUTE. Če izpustite parameter USRID, bo po privzetku uporabljena vrednost parametra USRPRF. Če izpustite parameter PASSWORD ali če je vrednost QRETSVRSEC 0, v postavki ne bo shranjeno nobeno geslo, pri poskusu vzpostavitve povezave z uporabo postavke pa bo uporabljen mehanizem zaščite z ID-jem uporabnika.

Pooblastitveno postavko strežnika lahko odstranite z ukazom RMVSVRAUTE, spremenite pa z ukazom CHGSVRAUTE. Popoln opis teh ukazov lahko najdete v priročniku "AS/400 Command Reference".

Če za RDB obstaja pooblastitvena postavka strežnika in poleg nje uporabite tudi obliko USER/USING stavka CONNECT, ima ta prednost.


[ Vrh Strani | Predhodna Strani | Naslednja Strani | Obsah | Seznam ]