DB2 データベースに対するトラステッド・コンテキストの使用可能化

アプリケーションでトラステッド・コンテキストを使用可能にして、 アプリケーション・サーバーと DB2® データベース・サーバーとの対話方法を改善します。 アプリケーションを介して DB2 データベースに接続するクライアントの ID レコードを保持するには、 トラステッド接続を使用します。トラステッド接続では、ユーザーの ID を基にアクセスの許可が行われるので、よりセキュアな環境を提供することができます。

始める前に

トラステッド接続を使用可能にする前に、以下の前提条件が満たされていることを 確認してください。
  • Linux、UNIX、および Windows の各オペレーティング・システム用の DB2 Database バージョン 9.5 以降、または z/OS® 用の DB2 Database バージョン 9.1 以降を実行しているデータベース・サーバーを使用している。サポート情報について詳しくは、 アプリケーション・サーバーのサポート対象ソフトウェアのリストを参照してください。
  • アプリケーション・サーバーでトラステッド・コンテキストを構成するのに、 データベースに接続している必要はありません。
  • DB2 データベースでトラステッド・コンテキストが有効になっている。
  • グローバル・セキュリティーが有効になっている。セキュリティーの構成については、『セキュリティーのセットアップ、有効化、および移行 (Setting up, enabling and migrating security)』を参照してください。

このタスクについて

トラステッド接続では次のことができます。
  • 呼び出し元の ID を使用して DB2 データベースにアクセスできるので、 すべてのユーザーに新規接続を作成する必要がなくなる。
  • アプリケーション・サーバーがデータベースと対話する際に、 ユーザーの ID を保持できる。
  • 1 人のユーザーにすべての特権を付与しないようにすることで、 データベースのセキュリティーを強化できる。
  • resetConnection() メソッドを使用して ID の伝搬を利用する際のパフォーマンスが、 既存のモデルと比べて優れている。
注: 非トラステッド接続をトラステッド接続として 使用することはできません。接続プールに入っているのが非トラステッド接続だけのときに、 トラステッド接続に対する要求があった場合、トラステッド接続に対する新しい要求がデータベースに送信されます。

手順

アプリケーションのトラステッド・コンテキストを使用可能にします。
  • 新規アプリケーションをインストールする場合はトラステッド・コンテキストを使用可能にします。
    1. インストール・ウィザードの「ステップ 7: リソースへのリソース参照をマップ」が表示されるまでは、 アプリケーションの通常インストールを実行します。
    2. ステップ 7: リソースへのリソース参照をマップ」の 「認証方式の指定」セクションで、 「トラステッド接続の使用 (1 対 1 のマッピング)」を選択します。
    3. リストから、DB2 データ・ソースで定義済みの別名と 一致する認証別名を選択します。適切な別名が定義されていない場合は、 インストールを続行して、アプリケーションのインストール後にトラステッド・コンテキストを 使用可能にします。
      注: クライアント ID が入手できない場合に使用するデフォルトの (非認証の) ユーザーを指定することもできますが、 そのデフォルト (非認証の) ID も DB2 データベースに存在していなければなりません。com.ibm.mapping.unauthenticatedUser が null または空ストリングに設定されている場合、 アプリケーション・サーバーはデフォルトの (非認証) ユーザーを使用します。詳しくは、 トラステッド接続のセキュリティー・プロパティーの設定に関する情報を参照してください。
    4. トラステッド・コンテキストが使用可能になっている表からデータ・ソースを選択します。
    5. 適用」をクリックします。
    6. カスタム・ログイン構成のプロパティーを編集します。『トラステッド接続のセキュリティー・プロパティーの設定』を参照してください。
      注: トラステッド接続が 機能するには、認証のすべての値が none に設定され ている必要があります。例えば、トラステッド接続を使用して DB2 に接続した場合、以下のとおり、「テスト接続」ボタンは機能しなくなり、操作は失敗します。
      The test connection operation failed for data source jdbcTestDB on server server1 
      at node wasvm04Node02 with the following exception: java.sql.SQLException: 
      [jcc][t4][10205][11234][3.59.81] Null userid is not supported. ERRORCODE=-4461, 
      SQLSTATE=42815 DSRA0010E: SQL State = 42815, Error Code = -4,461. 
      View JVM logs for further details.
    7. インストール・ウィザードを終了します。
  • インストール済みのアプリケーションでトラステッド・コンテキストを使用可能にします。
    注: DB2 データ・ソースの propagateClientIdentityUsingTrustedContext カスタム・プロパティーがあれば、 このプロパティーを除去します。propagateClientIdentityUsingTrustedContext が有効になっている場合は、アプリケーション・サーバーが実行時に以下の警告を出します。
    IDENTITY_PROPAGATION_PROP_WARNING=DSRA7029W: The propagateClientIdentityUsingTrustedContext 
     custom property for the Datasource is no longer used, value will be ignored.
    アプリケーション・サーバーは、実行時に要求がトラステッド・コンテキストを使用しているかどうかを判別し、 その情報を基にトラステッド・コンテキストを使用可能にします。したがって、トラステッド・アクセスおよび非トラステッド・アクセスの両方に対して アプリケーション・サーバー内の同一のデータ・ソースを使用できます。
    1. Websphere エンタープライズ・アプリケーション」>「application_name」をクリックします。
    2. リソース」見出しで「リソース参照」をクリックします。
    3. 認証方式の指定」セクションで、 「トラステッド接続の使用 (1 対 1 のマッピング)」を選択します。
    4. リストから、DB2 データ・ソースで定義済みの別名と 一致する認証別名を選択します。適切な別名が定義されていない場合は、 新しい別名を定義します。
      1. JDBC」>「データ・ソース」>「data_source_name」とクリックします。
      2. 関連項目」見出しから「JAAS - J2C 認証データ」をクリックします。
      3. 「新規」をクリックします。
      4. 一般プロパティー」で別名のプロパティーを定義します。
      5. 「OK」をクリックします。
      注: クライアント ID が入手できない場合に使用するデフォルトの (非認証の) ユーザーを指定することもできますが、 そのデフォルト (非認証の) ID も DB2 データベースに存在していなければなりません。com.ibm.mapping.unauthenticatedUser が null または空ストリングに設定されている場合、 アプリケーション・サーバーはデフォルトの (非認証) ユーザーを使用します。詳しくは、 トラステッド接続のセキュリティー・プロパティーの設定に関する情報を参照してください。
    5. トラステッド・コンテキストが使用可能になっている表からデータ・ソースを選択します。
    6. 適用」をクリックします。
    7. カスタム・ログイン構成のプロパティーを編集します。『トラステッド接続のセキュリティー・プロパティーの設定』を参照してください。

次のタスク

トラステッド・コンテキストの構成が適切でないと、次のようなエラー状態が 発生することがあります。
  • TrustedConnectionMapping ログイン構成を使用しており、データベース・サーバーがトラステッド・コンテキストをサポートしていない場合は、 アプリケーション・サーバーから警告が発行されます。その後、アプリケーション・サーバーは通常の非トラステッド接続を返します。 データベース・サーバーに DB2 データベースを使用していて、 トラステッド接続がサポートされていない場合は、DB2 データベース・サーバーから例外がスローされます。
  • TrustedConnectionMapping ログイン構成を使用しており、ThreadIdentity が指定されている場合は、アプリケーション・サーバーから 以下の例外がスローされます。
    IDENTITY_PROPAGATION_CONFLICT2_ERROR=DSRA7028E: You cannot use the TrustedConnectionMapping 
     login configuration when the ThreadIdentity property is enabled.
  • TrustedConnectionMapping ログイン構成を使用しており、再認証が指定されている場合は、アプリケーション・サーバーから 以下の例外がスローされます。
    IDENTITY_PROPAGATION_CONFLICT1_ERROR=DSRA7025E: The reauthentication custom property for 
     the Datasource cannot be enabled when you are using the TrustedConnectionMapping login configuration.

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_trustedcontext
ファイル名:tdat_trustedcontext.html