Gesicherten Kontext für DB2-Datenbanken aktivieren

Aktivieren Sie den gesicherten Kontext in Ihren Anwendungen, um die Art der Interaktion zwischen dem Anwendungsserver und DB2-Datenbankservern zu verbessern. Durch Verwendung von gesicherten Verbindungen können Sie die Identitätsdatensätze der Clients, die Verbindungen zu einer DB2-Datenbank über Ihre Anwendungen herstellen, beibehalten. Gesicherte Verbindungen können eine Umgebung mit höherer Sicherheit bereitstellen, indem sie den Zugriff auf der Basis der Identität dieser Benutzer erteilen.

Vorbereitende Schritte

Bevor Sie gesicherte Verbindungen zulassen, vergewissern Sie sich, dass folgende Voraussetzungen erfüllt werden:
  • Sie verwenden einen Datenbankserver, der DB2 Database for Linux, UNIX bzw. Windows Version 9.5 oder höher oder DB2 Database Version 9.1 oder höher für z/OS verwendet. Weitere Supportinformationen können Sie der Liste der unterstützten Software für den Anwendungsserver entnehmen.
  • Eine Verbindung zur Datenbank ist nicht erforderlich, damit der gesicherte Kontext im Anwendungsserver konfiguriert werden kann.
  • Der gesicherte Kontext ist für die DB2-Datenbank aktiviert.
  • Die globale Sicherheit ist aktiviert. Weitere Informationen zum Konfigurieren der Sicherheit finden Sie im Artikel "Sicherheit konfigurieren, aktivieren und migrieren".

Informationen zu diesem Vorgang

Gesicherte Verbindungen bieten Ihnen folgende Möglichkeiten:
  • Der Zugriff auf die DB2-Datenbank erfolgt über die Identität des Callers (Aufrufenden). Daher muss nicht für jeden Benutzer eine neue Verbindung erstellt werden.
  • Die Identität des Benutzers wird beibehalten, wenn der Anwendungsserver mit der Datenbank interagiert.
  • Die Datenbanksicherheit wird erhöht, da es nicht mehr erforderlich ist, alle Berechtigungen einem einzelnen Benutzer zu erteilen.
  • Die Leistung wird im Vergleich zum vorhandenen Modell, bei dem die Methode resetConnection()verwendet wird, um die Weitergabe der Identität zu nutzen, verbessert.
Anmerkung: Nicht gesicherte Verbindungen können nicht als gesicherte Verbindungen verwendet werden. Wenn der Verbindungspool nur nicht gesicherte Verbindungen enthält und eine Anforderung nach einer gesicherten Verbindung eingeht, dann wird eine neue Anforderung an die Datenbank für gesicherte Verbindungen gesendet.

Vorgehensweise

Aktivieren Sie den gesicherten Kontext für Ihre Anwendungen.
  • Aktivieren Sie den gesicherten Kontext, wenn Sie eine neue Anwendung installieren.
    1. Führen Sie im Installationsassistenten eine Standardinstallation für die Anwendung durch, bis Sie zu Schritt 7: Ressourcenreferenzen zu Ressourcen zuordnen gelangen.
    2. Wählen Sie in Schritt 7: Ressourcenreferenzen zu Ressourcen zuordnen im Abschnitt Authentifizierungsmethode angeben die Option Anerkannte Verbindungen verwenden (1:1-Zuordnung) aus.
    3. Wählen Sie einen Authentifizierungsaliasnamen in der Liste aus, der mit einem bereits in der DB2-Datenquelle definierten Aliasnamen übereinstimmt. Falls kein passender Aliasname definiert ist, setzen Sie die Installation fort und aktivieren Sie den gesicherten Kontext nach der Installation der Anwendung.
      Anmerkung: Sie können angeben, dass ein Standardbenutzer (UNAUTHENTICATED) verwendet wird, wenn keine Clientidentität verfügbar ist, aber diese Standard-ID (UNAUTHENTICATED) muss in der DB2-Datenbank vorhanden sein. Wenn die Eigenschaft "com.ibm.mapping.unauthenticatedUser" auf null oder auf eine leere Zeichenfolge gesetzt ist, verwendet der Anwendungsserver den Standardbenutzer (UNAUTHENTICATED). Weitere Informationen finden Sie in dem Artikel zum Festlegen von Sicherheitseigenschaften für gesicherte Verbindungen.
    4. Wählen Sie in der Tabelle eine Datenquelle aus, für die der gesicherte Kontext aktiviert ist.
    5. Klicken Sie auf Anwenden.
    6. Editieren Sie die Eigenschaften der angepassten Anmeldekonfiguration. Lesen Sie den Artikel "Sicherheitseigenschaften für gesicherte Verbindungen festlegen".
      Anmerkung: Stellen Sie sicher, dass alle Authentifizierungwerte auf none gesetzt sind, damit die gesicherten Verbindungen funktionieren. Wenn Sie beispielsweise eine gesicherte Verbindung mit DB2 hergestellt haben, funktioniert die Schaltfläche Verbindung testen nicht und die Operation scheitert:
      Der Verbindungstest für die Datenquelle data source jdbcTestDB in Server server1
      auf Knoten wasvm04Node02 ist mit der folgenden Ausnahme fehlgeschlagen: java.sql.SQLException:
      [jcc][t4][10205][11234][3.59.81] Null userid is not supported. ERRORCODE=-4461, 
      SQLSTATE=42815 DSRA0010E: SQL State = 42815, Error Code = -4,461. 
      Suchen Sie in den JVM-Protokollen nach weiteren Details. 
    7. Beenden Sie den Installationsassistenten.
  • Aktivieren Sie den gesicherten Kontext für eine bereits installierte Anwendung.
    Anmerkung: Entfernen Sie die angepasste Eigenschaft "propagateClientIdentityUsingTrustedContext" für die DB2-Datenquelle, falls angegeben. Wenn die Eigenschaft "propagateClientIdentityUsingTrustedContext" aktiviert ist, gibt der Anwendungsserver zur Laufzeit die folgende Warnung aus:
    IDENTITY_PROPAGATION_PROP_WARNING=DSRA7029W: The propagateClientIdentityUsingTrustedContext custom property for the Datasource is no longer used, value will be ignored.
    Der Anwendungsserver bestimmt zur Laufzeit, ob die Anforderung einen gesicherten Kontext verwendet, und aktiviert den gesicherten Kontext auf der Basis dieser Informationen. Deshalb kann für gesicherte und nicht gesicherte Zugriff dieselbe Datenquelle im Anwendungsserver verwendet werden.
    1. Klicken Sie auf WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter Ressourcen auf Ressourcenreferenzen.
    3. Wählen Sie im Abschnitt Authentifizierungsmethode angeben die Option Anerkannte Verbindungen verwenden (1:1-Zuordnung) aus.
    4. Wählen Sie einen Authentifizierungsaliasnamen in der Liste aus, der mit einem bereits in der DB2-Datenquelle definierten Aliasnamen übereinstimmt. Falls kein passender Aliasname definiert ist, definieren Sie einen neuen.
      1. Klicken Sie auf JDBC > Datenquellen > Datenquellenname.
      2. Klicken Sie unter Zugehörige Elemente auf JAAS - J2C-Authentifizierungsdaten.
      3. Klicken Sie auf Neu.
      4. Definieren Sie die Eigenschaften für die Aliasnamen unter Allgemeine Eigenschaften.
      5. Klicken Sie auf OK.
      Anmerkung: Sie können angeben, dass ein Standardbenutzer (UNAUTHENTICATED) verwendet wird, wenn keine Clientidentität verfügbar ist, aber diese Standard-ID (UNAUTHENTICATED) muss in der DB2-Datenbank vorhanden sein. Wenn die Eigenschaft "com.ibm.mapping.unauthenticatedUser" auf null oder auf eine leere Zeichenfolge gesetzt ist, verwendet der Anwendungsserver den Standardbenutzer (UNAUTHENTICATED). Weitere Informationen finden Sie in dem Artikel zum Festlegen von Sicherheitseigenschaften für gesicherte Verbindungen.
    5. Wählen Sie in der Tabelle eine Datenquelle aus, für die der gesicherte Kontext aktiviert ist.
    6. Klicken Sie auf Anwenden.
    7. Editieren Sie die Eigenschaften der angepassten Anmeldekonfiguration. Lesen Sie den Artikel "Sicherheitseigenschaften für gesicherte Verbindungen festlegen".

Nächste Schritte

Beachten Sie, dass folgende Fehlerbedingungen auftreten können, wenn der gesicherte Kontext nicht ordnungsgemäß konfiguriert ist:
  • Der Anwendungsserver gibt eine Warnung aus, wenn Sie die Anmeldekonfiguration "TrustedConnectionMapping" verwenden und der Datenbankserver gesicherte Kontexte nicht unterstützt. Anschließend gibt der Anwendungsserver eine normale, nicht gesicherte Verbindung zurück. Wenn Sie eine DB2-Datenbank für den Datenbankserver verwenden und diese gesicherten Verbindungen nicht unterstützt, löst der DB2-Datenbankserver eine Ausnahme aus.
  • Der Anwendungsserver löst die folgende Ausnahme aus, wenn Sie die Anmeldekonfiguration "TrustedConnectionMapping" verwenden und "ThreadIdentity" angegeben ist:
    IDENTITY_PROPAGATION_CONFLICT2_ERROR=DSRA7028E: You cannot use the TrustedConnectionMapping login configuration when the ThreadIdentity property is enabled.
  • Der Anwendungsserver löst die folgende Ausnahme aus, wenn Sie die Anmeldekonfiguration "TrustedConnectionMapping" verwenden und "reauthentication" angegeben ist:
    IDENTITY_PROPAGATION_CONFLICT1_ERROR=DSRA7025E: The reauthentication custom property for the Datasource cannot be enabled when you are using the TrustedConnectionMapping login configuration.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_trustedcontext
Dateiname:tdat_trustedcontext.html