配置应用程序服务器和 DB2 以便通过 Kerberos 进行认证

WebSphere® Application Server 和 DB2 服务器都进行 Kerberos 认证配置之后,可以使用 Kerberos 认证机制。Kerberos 认证可以提供单点登录 (SSO) 端到端可互操作解决方案并保留原始请求者身份。

开始之前

在应用程序服务器中,您可以对 DB2 数据源、应用程序服务器和应用程序进行配置,以使 DB2 数据源和应用程序服务器在以端到端方式使用委派 Kerberos 凭证进行应用程序数据库访问的情况下进行互操作。要利用 DB2 Kerberos 认证(此认证使用来自应用程序服务器的委派凭证,在本主题中,将此称为选项 1),您需要将 DB2 和应用程序服务器都配置为使用 Kerberos 作为认证机制。请参阅“对安全性的 Kerberos (KRB5) 认证机制支持”主题,以了解如何将 Kerberos 设置为此版本的应用程序服务器的认证机制。

应用程序服务器的 XARecovery 和 TestConnection 设施无法向数据源提供委派 Kerberos 凭证。另外,还可能存在应用程序服务器安全性组件无法为指定的连接请求提供委派 Kerberos 凭证的情况。为了应对这些情况,您可以使用在本主题中称为选项 2 的 Kerberos 认证来配置 DB2 连接。对于此选项,必须向 JDBC 驱动程序提供用户标识和密码,此驱动程序将使用该用户标识和密码来获取它自己的 Kerberos 凭证。要使用此选项,必须在应用程序服务器上配置 J2C 认证数据别名,此别名定义 DB2 JDBC 驱动程序用于请求获取 Kerberos 凭单授权凭单 (TGT) 的用户标识和密码。TGT 用于向 DB2 服务器进行 Kerberos 认证。对于应用程序服务器而言,这与典型的用户标识和密码认证非常相似。

您必须使用支持 Kerberos 认证并以类型 4 方式操作的 DB2 JDBC 驱动程序。受支持的 JDBC 驱动程序是:
  • IBM Data Server Driver for JDBC and SQLJ(在应用程序服务器中,将其标识为 DB2 using IBM JCC 驱动程序)
  • IBM DB2 JDBC 通用驱动程序体系结构(在应用程序服务器中,将其标识为 DB2 通用 JDBC 驱动程序提供程序)

关于此任务

请使用下列步骤来配置应用程序服务器和 DB2,以便通过 Kerberos 进行认证:

过程

  1. 对 DB2 服务器进行 Kerberos 认证配置。 请参阅 DB2 信息中心中的 DB2 Kerberos 安全性文档,例如“Kerberos 认证详细信息”主题。IBM developerWorks Web 站点提供了另一个对您很有帮助的参考,即“DB2 UDB Security, Part 6”。请验证 DB2 Kerberos 认证功能是否工作正常。
  2. 将应用程序服务器配置为使用 Kerberos 安全性。 请参阅“使用管理控制台将 Kerberos 配置为认证机制”主题。请验证应用程序服务器 Kerberos 认证功能是否工作正常。
  3. 将应用程序服务器中的 DB2 数据源配置为使用 Kerberos 认证。 此任务分为两个步骤,首先,您需要配置应用程序服务器中的资源适配器配置以便将 Kerberos 凭证和密码凭证传递给 JDBC 驱动程序;接着,需要配置 JDBC 驱动程序以便在连接到 DB2 服务器时使用 Kerberos 认证。有关完成这些步骤的更多信息,请参阅“使用管理控制台来配置数据源”主题。
    表 1. 定制属性和值. 配置 DB2 数据源时,您必须特别注意安全性设置和定制属性。
    名称
    kerberosServerPrincipal
    注: 除了连接到正在 z/OS 平台上运行的 DB2 服务器(例如 DB2 LUW 版 V8 FP11)以外,此属性是可选的。

    user@REALM

    service_name/hostname@REALM

    SecurityMechanism
    注: 此属性的值为 11 时,表示 JDBC 驱动程序在连接到 DB2 服务器时需要使用 Kerberos 认证。
    11
    1. 对于选项 2,应该将“映射配置别名”配置为“DefaultPrincipalMapping”或者另一个不会生成 GSSCredentials 的登录配置,并将“容器管理的认证别名”设置为引用 JDBC 驱动程序用来进行 Kerberos 登录的别名。 如果未配置组件管理的认证别名,那么 testConnection 设施也将使用此别名。
    2. 对于选项 1(委派 Kerberos 凭证),应该将“映射配置别名”配置为“KerberosMapping”。 这表示应用程序服务器中的资源适配器应该向 DB2 JDBC 驱动程序提供委派凭证。testConnection 设施和 XA 事务恢复设施无法提供委派 Kerberos 凭证,但可以恢复为选项 2 认证。如果您不需要使用那些功能,可以对每个认证别名选择。如果使用 testConnection,并且配置了有效的认证别名, 那么将记录参考消息 DSRA8221I。此消息表示 testConnection 无法提供 Kerberos 凭证。如果未配置任何别名,那么 testConnection 将失败,并且 JDBC 驱动程序将报告 Kerberos 凭证无效错误。
      要点: 如果配置了 KerberosMapping,但安全性组件无法为特定连接请求提供 Kerberos 凭证,那么可以将资源适配器配置成恢复使用“缺省主体映射”的连接认证。要配置此回退,请从容器管理的认证别名列表中选择别名。要禁用此回退,请从容器管理的认证别名列表中选择
  4. 要启用 Kerberos 映射(选项 1),您还必须指定容器管理的认证。要指定容器管理的认证,应用程序必须使用资源引用来查找数据源。 资源引用必须指定 KerberosMapping 作为登录配置。如果对资源引用指定了登录配置,那么对于通过该资源引用进行的应用程序访问,指定的登录配置将优先于您对数据源指定的映射配置别名值。另外,还可以对资源引用指定容器管理的认证别名。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_db2kerberos
文件名:tdat_db2kerberos.html