对 DB2 数据库启用可信上下文

在应用程序中启用可信上下文,以改进应用程序服务器与 DB2® 数据库服务器进行交互的方式。对于通过应用程序来连接到 DB2 数据库的客户机,可使用可信连接来保留这些客户机的身份记录;可信连接将根据那些用户的身份来授予访问权,从而提供更安全的环境。

开始之前

在启用可信连接前,确保满足了以下先决条件:
  • 您所使用的数据库服务器正在运行 DB2 数据库 Linux版、UNIX 版和 Windows 版 V9.5 或更高版本或者 DB2 数据库 z/OS® 版 V9.1 或更高版本。有关更多支持信息,请参阅应用程序服务器所支持的软件的列表。
  • 不需要连接至数据库即可在应用程序服务器中配置可信上下文。
  • 对 DB2 数据库启用了可信上下文。
  • 启用了全局安全性。有关配置安全性的更多信息,请参阅“设置、启用和迁移安全性”主题。

关于此任务

使用可信连接,您可以执行以下操作:
  • 以调用者身份访问 DB2 数据库,而不必为每个用户都创建一个新连接。
  • 在应用程序服务器与该数据库进行交互时,保留用户的标识。
  • 通过避免向单个用户授予所有特权来加强数据库安全性。
  • 与使用 resetConnection() 方法来利用标识传播的现有模型相比,可提高性能。
注: 非可信连接不能用作可信连接。如果连接池仅包含非可信连接,但入局请求需要可信连接,那么将向数据库发送一个新请求以获取可信连接。

过程

对应用程序启用可信上下文。
  • 安装新应用程序时启用可信上下文。
    1. 对应用程序执行典型安装,直到您到达安装向导中的步骤 7:将资源引用映射至资源
    2. 步骤 7:将资源引用映射至资源指定认证方法部分中,选择使用可信连接(一对一映射)
    3. 从列表中选择一个与已经在 DB2 数据源中定义的别名相匹配的认证别名。如果定义的别名都不合适,请继续安装,并在安装应用程序后启用可信上下文。
      注: 如果没有可用的客户机身份,那么您可以指定缺省用户 (UNAUTHENTICATED) 以备使用,但该缺省标识 (UNAUTHENTICATED) 也必须存在于 DB2 数据库中。如果 com.ibm.mapping.unauthenticatedUser 设置为 null 或空字符串,那么应用程序服务器将使用缺省用户 (UNAUTHENTICATED)。有关更多信息,请参阅有关为可信连接设置安全性属性的信息。
    4. 从表中选择一个启用了可信上下文的数据源。
    5. 单击应用
    6. 编辑定制登录配置的属性。请参阅“设置可信连接的安全性属性”主题。
      注: 为使可信连接能够工作,请确保所有已认证值均设置为 none。例如,如果使用了连接到 DB2 的某个可信连接,那么测试连接按钮将不工作且操作将失败:
      The test connection operation failed for data source jdbcTestDB on server server1 
      at node wasvm04Node02 with the following exception: java.sql.SQLException: 
      [jcc][t4][10205][11234][3.59.81] Null userid is not supported. ERRORCODE=-4461, 
      SQLSTATE=42815 DSRA0010E: SQL State = 42815, Error Code = -4,461. 
      View JVM logs for further details.
    7. 完成安装向导。
  • 对已安装的应用程序启用可信上下文。
    注: 如果 DB2 数据源存在 propagateClientIdentityUsingTrustedContext 定制属性,请将其除去。如果已启用 propagateClientIdentityUsingTrustedContext,那么应用程序服务器在运行时将发出以下警告:
    IDENTITY_PROPAGATION_PROP_WARNING=DSRA7029W: The propagateClientIdentityUsingTrustedContext 
     custom property for the Datasource is no longer used, value will be ignored.
    在运行时,应用程序服务器将确定该请求是否正在使用可信上下文,并且,应用程序服务器将根据该信息来启用可信上下文。因此,应用程序服务器中的同一数据源可同时用于可信和不可信访问。
    1. 单击 WebSphere 企业应用程序 > application_name
    2. 单击资源标题下的资源引用
    3. 指定认证方法部分中,选择使用可信连接(一对一映射)
    4. 从列表中选择一个与已经在 DB2 数据源中定义的别名相匹配的认证别名。如果定义的别名都不合适,请定义一个新别名。
      1. 单击 JDBC > 数据源 > data_source_name
      2. 相关项标题下面,单击 JAAS - J2C 认证数据
      3. 单击新建
      4. 常规属性中定义该别名的属性。
      5. 单击确定
      注: 如果没有可用的客户机身份,那么您可以指定缺省用户 (UNAUTHENTICATED) 以备使用,但该缺省标识 (UNAUTHENTICATED) 也必须存在于 DB2 数据库中。如果 com.ibm.mapping.unauthenticatedUser 设置为 null 或空字符串,那么应用程序服务器将使用缺省用户 (UNAUTHENTICATED)。有关更多信息,请参阅有关为可信连接设置安全性属性的信息。
    5. 从表中选择一个启用了可信上下文的数据源。
    6. 单击应用
    7. 编辑定制登录配置的属性。请参阅“设置可信连接的安全性属性”主题。

下一步做什么

注意可信上下文未正确配置时可能出现的如下错误情况:
  • 如果您使用了 TrustedConnectionMapping 登录配置,但数据库服务器不支持可信上下文,那么应用程序服务器将发出警告。应用程序服务器随后将返回正常的非可信连接。如果将 DB2 数据库用于数据库服务器,但它不支持可信连接,那么 DB2 数据库服务器将抛出异常。
  • 如果您使用了 TrustedConnectionMapping 登录配置,并且指定了 ThreadIdentity,那么应用程序服务器将抛出以下异常:
    IDENTITY_PROPAGATION_CONFLICT2_ERROR=DSRA7028E: You cannot use the TrustedConnectionMapping 
     login configuration when the ThreadIdentity property is enabled.
  • 如果您使用了 TrustedConnectionMapping 登录配置,并且指定了 reauthentication,那么应用程序服务器将抛出以下异常:
    IDENTITY_PROPAGATION_CONFLICT1_ERROR=DSRA7025E: The reauthentication custom property for 
     the Datasource cannot be enabled when you are using the TrustedConnectionMapping login configuration.

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_trustedcontext
文件名:tdat_trustedcontext.html