連接環境補充資料

設置應用程式伺服器

DB2 Universal Database for OS/390 中的應用程式伺服器支援容許 DB2 Universal Database for OS/390 作為 DRDA 應用系統要求程式的伺服器。 已連接至 DB2 Universal Database for OS/390 Application Server的應用系統要求程式可以是:

對任何與 DB2 Universal Database for OS/390 Application Server連接的應用系統要求程式而言, DB2 Universal Database for OS/390 Application Server將支援如下的資料庫存取:

提供網路資訊

為了使 DB2 Universal Database for OS/390 Application Server能夠正確地處理分散式資料庫要求, 您必須採取下列步驟:

  1. 將應用程式伺服器定義至本端通信管理程式。
  2. 定義每一個可能的次要伺服器目的地, 以便 DB2 Universal Database for OS/390 應用程式伺服器可以重新將 SQL 要求遞送給它們的最終目的地。
  3. 提供必要的機密保護。
  4. 提供資料表示法。

定義應用程式伺服器 (SNA)

為了使Application Server能夠接收分散式資料庫要求,它必須定義至本端通信管理程式, 且具有唯一的 RDB_NAME。 下列討論與 SNA 連接有關。 您必須採取下列步驟,來正確地定義Application Server:

  1. 選取 DB2 Universal Database for OS/390 Application Server將使用的 LU 名稱及 RDB_NAME。 將這些名稱記錄在 DB2 Universal Database for OS/390 及 VTAM 中的處理同於定義本端系統 (SNA)中所描述的處理。 您對 DB2 Universal Database for OS/390 選擇的 RDB_NAME 必須提供給所有需要與Application Server連接的一般使用者及應用系統要求程式。
  2. 因為透過每一個需要存取的應用系統要求程式,來登記 DB2 Universal Database for OS/390 Application Server的 NETID.LUNAME 值, 所以應用系統要求程式可以將 SNA 要求遞送給 DB2 Universal Database for OS/390 伺服器。 這是真的,即使在應用系統要求程式能夠執行動態網路遞送,也是如此, 因為在可以使用動態網路遞送之前,應用系統要求程式必須知道 NETID.LUNAME。
  3. 提供 DRDA 預設 TPN (X'07F6C4C2') 給每一個應用系統要求程式, 因為 DB2 Universal Database for OS/390 將自動使用這個值。
  4. 在 VTAM 模式表格中,對應用系統要求程式所要求的每一個模式名稱,建立一個登錄。 這些登錄將描述 RU 大小、速率視窗大小,以及每一個模式名稱的服務程式類別。
  5. 定義將與 DB2 Universal Database for OS/390 Application Server連接的應用系統要求程式的階段作業限制數。 VTAM APPL 陳述式將定義所有友機系統的預設階段作業限制數。 如果您想要對特殊的友機,建立唯一的預設值,您可以使用通信資料庫 (CDB) 的 SYSIBM.LUMODES 表格。

    請參閱設定 RU 大小及速率,取得關於如何複查您的 VTAM 網路的資訊。

  6. 在 DB2 Universal Database for OS/390 CDB 中建立登錄,來識別哪些應用系統要求程式將被容許與 DB2 Universal Database for OS/390 Application Server連接。 為網路中的應用系統要求程式定義 CDB 登錄的兩種基本方法為:
    1. 您可以在 SYSIBM.LUNAMES 中插入一列, 提供將用於未在 CDB 中特別描述的任何 LU 的預設值 (預設橫列含有 LUNAME 直欄中的空白)。 當對所有其他 LU 建立預設值時,這個方法容許您為您的網路中的某些 LU 定義特定屬性。

      例如,在需要資料庫管理程式系統傳送通行碼時,您可以容許 DALLAS 系統 (另一個 DB2 Universal Database for OS/390 系統), 傳送已驗證分散式資料庫要求 (LU 6.2 SECURITY=SAME)。 此外,您可能不想要將登錄記錄在每一個 資料庫管理程式 系統的 CDB 中, 尤其如果有大量的這些系統的話。 圖 25 顯示當對所有其他要求,加強 SECURITY=PGM 時, 如何使用 CDB,為 DALLAS 系統指定 SECURITY=SAME。

      圖 25. 建立應用系統要求程式連接的預設值 (SNA)

      INSERT INTO SYSIBM.LUNAMES
           (LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
        VALUES ('LUDALLAS', ' ', 'A', 'N', 'N', ' ');
      INSERT INTO SYSIBM.LUNAMES
           (LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
        VALUES (' ', ' ', 'C', 'N', 'N', ' ');
      

    2. 您可以經由以下列這些方法中的一個來設定 CDB,以便使用 CDB, 透過個別方式授權給網路中的每一個應用系統要求程式。
      • 不要將預設橫列記錄在 SYSIBM.LUNAMES 中。 當預設橫列 (含有空白 LU 名稱的橫列) 未呈現出來時, DB2 Universal Database for OS/390 在 SYSIBM.LUNAMES 中需要一列, 來含有嘗試連接的每一個應用系統要求程式的 LU 名稱。 如果在 CDB 中找不到相符的橫列,將拒絕應用系統要求程式的存取。
      • 將預設橫列記錄在 SYSIBM.LUNAMES 中,指定需要來源檢查 (USERNAMES 直欄將設定為 'I' 或 'B')。 這將使得 DB2 Universal Database for OS/390 限制存取 SYSIBM.USERNAMES 中所識別的應用系統要求程式及一般使用者, 如來源檢查中所描述的一般。 如果您的名稱轉換規則需要一個具有 SYSIBM.LUNAMES 中的空白 LU 名稱的橫列, 但您不想要 DB2 Universal Database for OS/390 使用這個橫列,來允許對 DB2 Universal Database for OS/390 Application Server進行不受限制的存取, 您可能想要使用這種方法。

      圖 26中, 沒有橫列含有 LUNAME 直欄中的空白,所以 DB2 Universal Database for OS/390 將拒絕任何 LU 的存取,但 LUDALLAS 或 LUNYC 除外。

      圖 26. 識別個別應用系統要求程式連接的預設值 (SNA)

      INSERT INTO SYSIBM.LUNAMES
           (LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
        VALUES ('LUDALLAS', ' ', 'A', 'N', 'N', ' ');
      INSERT INTO SYSIBM.LUNAMES
           (LUNAME, SYSMODENAME, SECURITY_IN, ENCRYPTPSWDS, MODESELECT, USERNAMES)
        VALUES ('LUNYC', ' ', 'A', 'N', 'N', ' ');
      

定義應用程式伺服器 (TCP/IP)

為了使Application Server能夠透過 TCP/IP 連接來接收分散式資料庫要求,它必須定義至本端 TCP/IP 子系統, 且具有唯一的 RDB_NAME。 此外,「DB2 Universal Database for OS/390 Bootstrap 資料集」必須包括必需的參數, 以及您可能需要對「DB2 Universal Database for OS/390 通信資料庫 (CDB)」產生變更。

  1. 關於如何在 AS 中設置 TCP/IP 的資訊, 請參閱 DB2 Universal Database for OS/390 Installation Reference。 如何設置 AR 會在 DB2 Connect Enterprise Edition for OS/2 與 Windows NT 快速入門DB2 Connect Personal Edition 快速入門 中加以描述。
  2. 「Bootstrap 資料集」定義的例子將顯示在圖 18中。
  3. 如果您僅使用接收端資料庫連接,則不需要任何 CDB 更新, 以便如果您僅計劃使用 DB2 Universal Database for OS/390 作為伺服器時,您不必將資料移入 CDB, 且可使用預設值。 如何更新 SYSIBM.IPNAMES 的簡單例子如下:

    如果您想要允許 TCP/IP 節點的接收端資料庫連接要求,您可以使用如下的 SQL 命令,來更新這個表格:

           INSERT INTO SYSIBM.IPNAMES (LINKNAME) VALUES('        ')                                   
    

提供機密保護

當應用系統要求程式遞送一個分散式資料庫要求給 DB2 Universal Database for OS/390 Application Server時,可包括下列機密保護考慮事項:

來源檢查

當 DB2 Universal Database for OS/390 Application Server從應用系統要求程式中收到一個一般使用者名稱, 則Application Server可以限制從指定的應用系統要求程式中收到的一般使用者名稱。 這可以透過使用來源檢查來完成。 來源檢查容許Application Server指定僅容許特殊友機使用指定的使用者 ID。 例如,Application Server可以限制 JONES "來自" DALLAS。 如果另一個應用系統要求程式 (非 DALLAS) 嘗試傳送名稱 JONES 給Application Server, 則Application Server可以拒絕這個要求,因為名稱並非來自正確的網路位置。

DB2 Universal Database for OS/390 將實施來源檢查,作為接收端一般使用者名稱轉換的一部份, 這將在下段中加以描述。
註:不會對 TCP/IP 接收端要求執行接收端及來源檢查。

選取一般使用者名稱

應用系統要求程式所傳遞的使用者 ID 在整個 SNA 網路中可能不是唯一的。 DB2 Universal Database for OS/390 Application Server可能需要執行接收端名稱轉換, 方可建立在整個 SNA 網路中是唯一的一般使用者名稱。 同樣地,DB2 Universal Database for OS/390 Application Server可能需要執行發送端名稱轉換, 提供唯一的一般使用者名稱給應用程式中所包括的次要伺服器 (請參閱提供機密保護, 以取得關於發送端一般使用者名稱轉換的資訊)。

經由將 SYSIBM.LUNAMES 或 SYSIBM.IPNAMES 表格的 USERNAMES 直欄設定為 'I' (接收端轉換) 或 'B' (接收端及發送端轉換),來啟用接收端名稱轉換。當接收端名稱轉換生效時, DB2 Universal Database for OS/390 將轉換應用系統要求程式所傳送的使用者 ID,及 DB2 Universal Database for OS/390 計劃擁有者的名稱 (如果應用系統要求程式是另一個 DB2 Universal Database for OS/390 系統的話)。

如果應用系統要求程式同時在 APPC ALLOCATE 動詞上,傳送使用者 ID 及通行碼, 則在轉換使用者 ID 之前,將先驗證使用者 ID 與通行碼。SYSIBM.USERNAMES 中的 PASSWORD 直欄不是針對通行碼驗證而使用的。相反地, 使用者 ID 及通行碼將呈現給外部機密保護系統 (RACF 或功能與 RACF 相等的產品),以進行驗證。

當驗證 ALLOCATE 動詞上送進來的使用者 ID 時, DB2 Universal Database for OS/390 具有授權結束程式,您可以用來提供次要 AUTHID 的列示,並執行額外的機密保護檢查。 請參閱 DB2 Universal Database for OS/390 Administration Guide,以取得詳細資訊。

接收端名稱轉換處理將在 SYSIBM.USERNAMES 表格中搜尋一列, 它必須符合下列優先處理列示 (TYPE.AUTHID.LINKNAME) 中所顯示的型樣之一:

  1. I.AUTHID.LINKNAME--來自特定應用系統要求程式的特定一般使用者
  2. I.AUTHID.blank--來自任何應用系統要求程式的特定一般使用者
  3. I.blank.LINKNAME--來自特定應用系統要求程式的任何一般使用者

如果找不到任何橫列,將拒絕遠端存取。 如果找到一列,將容許遠端存取,而且一般使用者名稱將變更為 NEWAUTHID 直欄中所提供的值, 且有一個空白 NEWAUTHID 值指出名稱並未變更。 DB2 Universal Database for OS/390 所產生的任何 DB2 Universal Database for OS/390 資源授權檢查 (例如,SQL 表格專用權) 將在已轉換的一般使用者名稱, 而不是在原始使用者名稱上執行。

當 DB2 Universal Database for OS/390 Application Server 從應用系統要求程式中收到一個一般使用者名稱, 則可以使用 DB2 Universal Database for OS/390 接收端名稱轉換能力, 來完成數個目的。

提供網路機密保護

對 SNA 連接而言,LU 6.2 提供三種主要網路機密保護特性:

網路機密保護 將討論如何透過 DB2 Universal Database for OS/390 來指定階段作業層次機密保護及暗碼化。 DB2 Universal Database for OS/390 Application Server使用階段作業層次機密保護及暗碼化的方式完全同於 DB2 Universal Database for OS/390 應用系統要求程式使用它們的方式

唯一剩下的網路機密保護考慮事項就是 SNA 交談層次機密保護。 交談層次機密保護的某些方面對 DB2 Universal Database for OS/390 Application Server是唯一的。 DB2 Universal Database for OS/390 Application Server在網路機密保護中將扮演兩種不同的角色:

如果發現機密保護違規,則 LU 6.2 需要 DB2 Universal Database for OS/390 Application Server, 將 SNA 機密保護失敗感應碼 ('080F6051'X) 傳回給應用系統要求程式。 因為這個感應碼未描述失敗的原因,所以 DB2 Universal Database for OS/390 將提供兩種方法, 來記錄分散式機密保護違規的原因:

資料庫管理程式機密保護

作為資料庫資源的擁有者, DB2 Universal Database for OS/390 Application Server將控制常駐在 DB2 Universal Database for OS/390 Application Server中的 SQL 物件的資料庫機密保護函數。 DB2 Universal Database for OS/390 管理的物件的存取是由 DB2 Universal Database for OS/390 管理者或個別物件的擁有者授與使用者的專用權來控制。 DB2 Universal Database for OS/390 Application Server控制的兩個基本類別的物件為:

當您建立資料包時,DISABLE/ENABLE 選項容許您控制哪些 DB2 Universal Database for OS/390 連接類型可執行資料包。 您可以使用 RACF 及 DB2 Universal Database for OS/390 機密保護結束常式, 以選用方式容許一般使用者使用 DDF。 您可以使用 RLF,為遠端連結及動態 SQL 執行, 來指定處理器時間的限制。

請考慮名為 MYPKG 的 DB2 Universal Database for OS/390 資料包, 這是 JOE 所擁有的。 JOE 可經由發出 DB2 Universal Database for OS/390 GRANT USE 陳述式, 容許 SAL 執行資料包。 當 SAL 執行資料包時,將發生下列:

機密保護子系統

DB2 Universal Database for OS/390 Application Server如何使用機密保護子系統 (RACF 或與 RACF 功能相等的產品), 端視您如何在 SYSIBM.LUNAMES 表格中定義接收端名稱轉換而定。

代表資料

您必須確定您的 DB2 Universal Database for OS/390 子系統, 具有將每一個應用系統要求程式的 CCSID 轉換為您的 DB2 Universal Database for OS/390 子系統的安裝 CCSID 的能力。 請參閱代表資料,取得詳細資訊。


[ 頁面頂端 | 前一頁 | 下一頁 | 目錄 | 索引 ]