Sicherheitseigenschaften für anerkannte Verbindungen festlegen

Anerkannte Verbindungen sind eine Lösung, die die anfordernde Benutzer-ID an DB2 übergeben und das Verbindungspooling optimal genutzt werden kann. Unter Verwendung des anerkannten DB2-Kontextobjekts wird die anerkannte Verbindung verwendet, um die Identität, die zum Herstellen der Verbindung verwendet wird, von der Identität, die auf die Services des DB2-Servers zugreift, zu trennen. Die Verbindung wird von einem Benutzer hergestellt, dessen Berechtigungsnachweise für das Herstellen der Verbindung vom DB2-Server autorisiert wurden und dem bei der Zusicherung der Identität anfordernder Benutzer, die über die Anwendung auf den DB2-Server zugreifen, vertraut wird.

Vorbereitende Schritte

Wenn Sie die Funktionalität für vertrauenswürdige Verbindungen verwenden möchten, müssen Sie einen Datenbankserver mit DB2 Database for Linux, UNIX bzw. Windows Version 9.5 oder höher oder DB2 Database Version 9.1 oder höher z/OS verwenden. Anerkannte Verbindungen können verwendet werden, wenn der Anwendungsserver auf iSeries-Systemen installiert ist, solange eine unterstützte Version von DB2 auf einer anderen Plattform als iSeries-Systemen installiert ist und der DB2 Universal Driver verwendet wird. Weitere Supportinformationen können Sie der Liste der unterstützten Software für den Anwendungsserver entnehmen. Es muss ein vorhandener Aliasname für die J2C-Daten (J2EE Connector) existieren, um beim Herstellen einer Verbindung Benutzerberechtigungsnachweise an den DB2-Server zu übergeben, d. h., es muss mit Containerberechtigung gearbeitet werden.

Die Schritte zum Konfigurieren des Anwendungsservers für die Verwendung anerkannter Verbindungen sind im Artikel Gesicherten Kontext für DB2-Datenbanken aktivieren beschrieben.

Informationen zu diesem Vorgang

Anerkannte Verbindungen unterstützen die Weitergabe von Clientidentitäten und nutzen Verbindungspooling, um Leistungseinbußen, die durch das Schließen und erneute Öffnen von Verbindungen unter einer anderen Identität entstehen, zu reduzieren. Wenn Sie Anerkannte Verbindung verwenden (1:1-Zuordnung) für die Verbindungszuordnung auswählen, werden fünf angepasste Eigenschaften erstellt. Überprüfen Sie diese Eigenschaften, um sicherzustellen, dass die Standardwerte dieser Eigenschaften Ihren Vorstellungen entsprechen.

Vorgehensweise

  1. Klicken Sie in der Administrationskonsole auf Unternehmensanwendungen > Anwendungsname > Ressourcenreferenzen > Ressourcen.
  2. Wählen Sie die gewünschte Enterprise-Bean aus, und klicken Sie anschließend auf Zuordnungseigenschaften, um die Eigenschaften anzuzeigen, die standardmäßig definiert wurden, als Sie die anerkannte Verbindung konfiguriert haben.
  3. Vergewissern Sie sich, dass die diesen Eigenschaften zugeordneten Standardwerte für Ihre Umgebung geeignet sind.
    Tabelle 1. Sicherheitseigenschaften. In dieser Tabelle sind die Werte der Sicherheitseigenschaften aufgelistet.
    Eigenschaft Standardeinstellung Information
    com.ibm.mapping.authDataAlias ohne Der Wert, der dieser Eigenschaft zugeordnet wird, ist der Wert, den Sie in der Menüliste ausgewählt haben.
    com.ibm.mapping.propagateSecAttrs false Der Wert "false" für diese Eigenschaft gibt an, dass die Sicherheitsattribute nicht weitergegeben werden. Sie können diesen Wert in "true" ändern, um das RunAs-Subject als opakes Token im IdentityPrincipal-Objekt hinzuzufügen.
    com.ibm.mapping.targetRealmName null Wenn diese Eigenschaft nicht definiert wird oder den Wert "null" hat, verwendet der Prozess der Sicherheitslaufzeitumgebung den Namen des aktuellen Benutzerrealms. Dieser Prozess setzt voraus, dass das unternehmensweite Informationssystem (EIS, Enterprise Information System) den aktuellen Benutzerrealm verwendet. Ein Realm ist in diesem Kontext eine logische Darstellung des Benutzerrepositorys. Wenn der Anwendungsserver und der DB2-Server verschiedene Benutzerrepositorys verwenden, sollte diese Eigenschaft auf den Realmnamen des DB2-Servers gesetzt werden. Damit wird im Ziel-EIS eine Principalzuordnung oder eine Zuordnung der Berechtigungsnachweise festgelegt.
    com.ibm.mapping.unauthenticatedUser UNAUTHENTICATED Diese Eigenschaft definiert eine Benutzeridentität, die das EIS verwendet, um eine nicht authentifizierte Benutzeridentität anzugeben. Diese Eigenschaft ist unter "com.ibm.ISecurityUtilityImpl.SecConstants.java public final static String UnauthenticatedString = "UNAUTHENTICATED"" definiert.
    com.ibm.mapping.useCallerIdentityproperty false Der Wert "false" für diese Eigenschaft gibt an, dass die RunAS-Identität im IdentityPrincipal-Objekt zugesichert wird. Ändern Sie den Wert dieser Eigenschaft in "true", wenn im IdentityPrincipal-Objekt die Caller-Identität an Stelle der RunAS-Identität zugesichert werden soll.
  4. Klicken Sie auf OK, um alle aktuellen Werte zu bestätigen.
  5. Klicken Sie in der Anzeige "Ressourcenreferenzen" auf OK und Speichern, um Ihre Änderungen in der Masterkonfiguration zu speichern.

Ergebnisse

Nachdem Sie diese Schritte ausgeführt und den Anwendungsserver erneut gestartet haben, werden anerkannte Verbindungen mit den ausgewählten Zuordnungseigenschaften verwendet, um Verbindungen zum DB2-Datenbankserver herzustellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_trustedconnections
Dateiname:tsec_trustedconnections.html