DB2에서 신뢰되는 연결

신뢰 연결을 통해 애플리케이션 서버는 DB2® 신뢰 컨텍스트 오브젝트를 사용하여 연결을 여는 DB2 서버가 신임을 신뢰하는 사용자와의 연결을 설정할 수 있습니다. 이 사용자는 신뢰 컨텍스트를 설정하여 재인증 절차 없이 DB2 서버에서 다른 사용자 ID를 사용할 수 있습니다. 또한 이를 사용하면 단일 사용자에게 모든 권한을 지정하지 않아도 되므로 DB2 데이터베이스 보안이 강화됩니다. 신뢰 연결을 구현하면 클라이언트 ID가 전파되며 동시에 연결 풀링을 사용하므로 다른 ID와의 연결을 닫고 다시 열지 않아도 됩니다.

제한사항: 신뢰 연결 기능을 사용하려면 Linux, UNIX 및 Windows용 DB2 데이터베이스 버전 9.5 이상 또는 z/OS®용 DB2 데이터베이스 버전 9.1 이상을 사용해야 합니다. 지원되는 DB2 버전이 iSeries 시스템 이외의 플랫폼에 설치되고 DB2 유니버셜 드라이버를 사용할 때 버전 7.0이 iSeries 시스템에 설치된 경우 신뢰 연결을 사용할 수 있습니다. 자세한 지원 정보는 애플리케이션 서버에 지원되는 소프트웨어 목록을 참조하십시오.

연결 관리자는 새 연결을 설정하기 위한 상당한 비용을 줄이기 위해 처음에 연결을 열기 위해 사용한 신임이 각 연결을 추적하는 연결 풀을 유지합니다. 애플리케이션에 연결이 필요한 경우 연결 관리자는 신임 오브젝트를 사용하여 연결 풀에서 사용 가능한 연결을 찾습니다. 사용 가능한 연결이 없고 최대 연결 수에 도달하지 않은 경우 연결 풀 관리자는 해당 신임 오브젝트를 사용하여 새 연결을 엽니다. 이 연결 맵핑은 애플리케이션 서버가 사용하는 기본 연결 맵핑으로서 다대일(many-to-one) 신임 맵핑이라고도 합니다. 일반적으로 RunAs ID와 다른 주제의 신임 오브젝트를 사용하여 연결을 열기 때문입니다. 이러한 단순 맵핑은 쉬운 연결 풀링을 지원하지만 호출자 ID가 데이터베이스 서버에 전파되지 않습니다.

호출자 ID를 데이터베이스 서버에 전파하려면 JAAS(Java™ Authentication and Authorization Service) 로그인 모듈에 플러그인하면 됩니다. 이 방법을 사용하면 데이터베이스 서버 보안 범주에 적합한 사용자 신임으로 애플리케이션 서버 사용자 신임을 맵핑합니다. 이 방법은 호출자 ID를 유지하지만 연결 풀링은 사용하지 않습니다.

데이터소스에 연결하기 위해 기본 맵핑 또는 JAAS 맵핑 대신 신뢰 연결이 사용됩니다. 신뢰 연결은 클라이언트 ID 전파를 지원하며 연결 풀링을 사용하여 다른 ID로 연결을 닫고 다시 열지 않아도 됩니다. 신뢰 연결은 DB2 신뢰 컨텍스트 오브젝트를 사용합니다.

DB2 신뢰 컨텍스트는 데이터베이스 관리자가 정의하는 오브젝트로서 시스템 권한 ID와 한 세트의 신뢰 속성이 포함됩니다. 신뢰 속성은 연결을 신뢰 연결로 간주하기 위해 필요한 연결 특성을 식별합니다. 데이터베이스 연결과 신뢰 컨텍스트 간의 관계는 DB2 서버 연결이 작성될 때 설정됩니다. 신뢰 컨텍스트가 정의되고 DB2 데이터베이스 서버에 대한 초기 신뢰 연결이 작성되면 애플리케이션 서버가 전체 재인증 절차를 수행하지 않고 다른 사용자로부터의 해당 데이터베이스 연결을 사용할 수 있습니다. 이는 사용자 ID와 함께 인증 토큰이 필요하기 때문입니다. 데이터베이스는 사용자를 인증한 다음 해당 사용자 대신 데이터베이스 요청 처리를 허용하기 전에 사용자에게 데이터베이스에 액세스할 수 있는 권한이 있는지 확인합니다.
[z/OS]제한사항: z/OS 서버의 경우 사용자 ID는 RACF®(Resource Access Control Facility) ID여야 합니다.

신뢰 연결을 사용하면 DB2 신뢰 컨텍스트의 보안 구현 추가를 지원하기 위해 필요한 플러그인 지점이 제공됩니다. 신뢰 연결은 연결을 설정하는 데 사용되는 ID와 백엔드 서버 서비스에 액세스하는 ID를 구분합니다. 이 연결은 DB2 서버가 신임을 신뢰하는 사용자가 연결을 열기 위해 설정합니다. 동일한 사용자는 다른 사용자의 ID를 신뢰할 수도 있습니다. 이러한 신뢰는 단일 사용자에게 모든 권한을 부여하지 않아도 되므로 데이터베이스 보안을 강화하는 데도 도움이 됩니다.

애플리케이션이 데이터베이스 연결을 요청하는 경우 연결 관리자는 대기 상태의 신뢰 연결을 찾아 백엔드 서버에 대한 사용자 ID를 신뢰할 수 있습니다. 백엔드 서버에서 수행되는 모든 조작은 신뢰 사용자 ID에서 수행됩니다. 백엔드 서버가 애플리케이션 서버의 저장소와 다른 사용자 저장소를 사용하는 경우에도 ID 맵핑을 사용해야 합니다.

새 맵핑 구성 TrustedConnectionMapping이 신뢰 연결을 구현합니다. TrustedConnectionMapping 구성은 다음 요소가 포함된 자원 오브젝트에 RunAs 주제를 맵핑합니다.
  • 이 자원 주제가 나타내는 자원 프린시펄 오브젝트
  • 개인용 신임 세트의 PasswordCredential 오브젝트
  • 프린시펄 세트의 IdentityPrincipal 오브젝트
프린시펄 오브젝트는 RunAs ID를 나타냅니다. PasswordCredential 오브젝트에는 신뢰 연결을 설정하기 위해 자원 어댑터가 사용할 사용자 ID와 비밀번호가 포함됩니다. IdentityPrincipal 오브젝트에는 기본적으로 RunAs ID가 포함되지만 호출자 ID를 사용하도록 변경할 수 있습니다. IdentityPrincipal 오브젝트에는 또한 요청을 처음 보낸 사용자를 나타내는 원래 사용자 ID, 사용자 ID가 정의된 레지스트리 세트를 나타내는 선택적 범주 이름 및 사용자의 직렬화된 보안 컨텍스트인 선택적 보안 토큰이 포함됩니다.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_trustedconnections
파일 이름:csec_trustedconnections.html