27_SH43-0144-00 (1038594), страница 52
Текст из файла (страница 52)
Если не задана аутентификация клиента,клиент проходит аутентификацию по методу, выбранному на сервере.Если аутентификация клиента - DCS или SERVER, клиент проходитаутентификацию, передавая DB2 Connect ID пользователя и пароль.Если аутентификация клиента - DCS_ENCRYPT илиSERVER_ENCRYPT, клиент проходит аутентификацию, передавая IDпользователя и зашифрованный пароль.Если у клиента задано DCS_ENCRYPT, а на сервере - DCS, будетвозвращена ошибка несоответствия уровней аутентификации.DCEЗадает, что аутентификация пользователя производится с помощьюслужб защиты DCE.
Дополнительную информацию о защите DCEсмотрите в разделе “Использование служб защиты DCE дляаутентификации пользователей” на стр. 237.DCE_SERVER_ENCRYPTЗадает, что сервер принимает аутентификацию DCE или зашифрованныесхемы аутентификации типа SERVER. Если аутентификация клиента DCE или не задана, аутентификация клиента производится с помощьюслужб защиты DCE. Дополнительную информацию о защите DCEсмотрите в разделе “Использование служб защиты DCE дляаутентификации пользователей” на стр. 237.Если аутентификация клиента - SERVER или DCS, клиент проходитаутентификацию, передавая серверу ID пользователя и пароль. Еслиаутентификация клиента - SERVER_ENCRYPT или DCS_ENCRYPT,клиент проходит аутентификацию, передавая ID пользователя изашифрованный пароль.
Нельзя задать тип аутентификации клиентаDCE_SERVER_ENCRYPT. Если задан тип аутентификации экземпляраDCE_SERVER_ENCRYPT, все локальные прикладные программы будутиспользовать как схему аутентификации DCE. Это относится также ковсем командам утилит, не требующим соединения с базой данных илиподключения к экземпляру.Тип аутентификации DCE_SERVER_ENCRYPT не только объединяеттипы аутентификации DCE и SERVER_ENCRYPT, но также смягчаетодно из ограничений при использовании групп с DCE. Когда задан типаутентификации DCE_SERVER_ENCRYPT, предполагается, что когдасписок групп запрашивается не в момент аутентификации, его выдаетбазовая операционная система, а не DCE. Как администратор, выможете задать на сервере пользователя с соответствующим коротким234Руководство администратора: Реализацияименем DCE, чтобы обеспечить поддержку списка групп, неограничиваясь временем аутентификации.|||||||||||KERBEROSИспользуется, когда и клиент, и сервер DB2 работают в операционныхсистемах, где поддерживается протокол защиты Kerberos.
Протоколзащиты Kerberos выполняет аутентификацию как дополнительнаяслужба аутентификации, используя обычное шифрование для созданияобщего секретного ключа. Этот ключ становится паролем пользователяи используется для проверки личности пользователя во всех случаях,когда требуются локальные или сетевые службы.
Этот ключ устраняетнеобходимость передавать имя пользователя и пароль по сети какоткрытый текст. Протокол защиты Kerberos позволяет своимисредствами регистрироваться на удаленном сервере DB2.|||||||KRB_SERVER_ENCRYPTЗадает, что сервер принимает аутентификацию KERBEROS илизашифрованные схемы аутентификации типа SERVER. Еслиаутентификация клиента - KERBEROS, клиент проходитаутентификацию с помощью служб защиты Kerberos. Еслиаутентификация клиента не KERBEROS, тип аутентификации в системебудет эквивалентен SERVER_ENCRYPT.|||Примечание: Типы аутентификация Kerberos поддерживаются только наклиентах и серверах, работающих в среде Windows 2000.Примечания:1.
Выбираемый вами тип аутентификации имеет значение лишь в тех случаях,когда к базе данных обращаются удаленные клиенты или используютсявозможности базы данных объединения. Большинство пользователей,обращающихся к базе данных через локальных клиентов, проходятаутентификацию на том компьютере, на которой находится база данных.Исключения возможны при использовании служб защиты DCE.Информацию о поддержке и использовании удаленных клиентов смотрите ввашем руководстве Quick Beginnings.2.
Избегайте опасности случайно заблокировать экземпляр при измененииинформации аутентификации, поскольку доступ к файлу конфигурациизащищен информацией, содержащейся в самом файле конфигурации.Доступом к экземпляру управляют следующие параметры файлаконфигурации менеджера баз данных:v AUTHENTICATION *v SYSADM_GROUP *v TRUST_ALLCLNTSv TRUST_CLNTAUTHv SYSCTRL_GROUPГлава 5.
Управление доступом к базам данных235v SYSMAINT_GROUP* отмечает два самых важных параметра, чаще всего порождающихпроблемы.Есть несколько мер предосторожности. Если вы случайно заблокировалисистему DB2, на всех платформах доступна опция защиты от сбоев,позволяющая отменить обычные проверки защиты DB2 и изменить файлконфигурации менеджера баз данных при помощи обладающего высокимипривилегиями пользователя локальной системы защиты.
Этот пользовательвсегда имеет полномочия изменять файл конфигурации менеджера базданных и, следовательно, может исправить ошибки. Однако этот обходзащиты позволяет изменять файл конфигурации менеджера баз данныхтолько локально. Нельзя использовать этот прием удаленно и для другихкоманд DB2. Идентификатор этого пользователя:v на платформах UNIX: владелец экземпляраv на платформах NT: один из членов локальной группы “администраторов”v на платформах OS/2: администратор UPMv на других платформах нет локальной системы защиты, поэтому всепользователи все равно должны проходить проверку локальной защиты3. Дополнительную информацию о системе защиты Windows NT смотрите вразделе “Приложение E.
Как DB2 for Windows NT работает с защитойWindows NT” на стр. 471.Особенности аутентификации для удаленных клиентовПри регистрации базы данных в каталоге для удаленного доступа типаутентификации может быть задан в записи каталога баз данных.Для баз данных, к которым обращается оператор DB2 Connect: Если значение незадано, принимается аутентификация SERVER.Для баз данных, к которым обращаются удаленно, но без DB2 Connect: Типаутентификации не требуется. Однако если он не задан, клиент должен сначалаобратиться к серверу, чтобы получить значение; только после этого начинаетсяпроцесс аутентификации. Если тип аутентификации задан, аутентификацияможет начаться немедленно, если переданное значение совпадает с имеющимсяна сервере.
Если обнаружено несовпадение, DB2 попытается выполнитьвосстановление, в результате чего могут возникнуть новые процессы дляустранения расхождений или же ошибка, если восстановление DB2 невозможно.В случае несовпадения правильным считается значение на сервере.236Руководство администратора: РеализацияОсобенности распределенной базы данныхВ распределенной базе данных во всех разделах должен быть определен один итот же набор пользователей и групп. Если определения не будут совпадать,пользователь может после авторизации получить разные права в разныхразделах. Рекомендуется обеспечить согласованность всех разделов.Использование служб защиты DCE для аутентификации пользователейХороший вариант системы защиты для распределенной вычислительной среды службы защиты DCE, обеспечивающие:v Централизованное управление пользователями и паролями.v Отсутствие передачи паролей и ID пользователей открытым текстом.v Единовременную регистрацию для пользователей.DB2 поддерживает контексты регистрации DCE по умолчанию, контекстырегистрации связи и делегированные контексты.
Контекст регистрации поумолчанию применяется, когда пользователь производит dce_регистрацию наклиенте. Дальнейшие команды DB2 имеют доступ к этому контексту и могутвыполнять аутентификацию пользователя без его дополнительных действий (тоесть без ввода ID пользователя и пароля). Контекст регистрации связиприменяется для сеанса DB2, использующего ID пользователя и пароль,переданные операторами CONNECT или ATTACH с условием USER/USING.Наконец, делегированный контекст регистрации применяется, когда клиент DB2используется как часть прикладной программы сервера DCE. Прикладнаяпрограмма сервера DCE (которая также является клиентом DB2) принимаетзапросы от программы клиента DCE, из которой берутся первоначальныесведения о пользователе.
Если клиент DCE и сервер DCE правильно настроены ипозволяют серверу DCE быть делегатом для клиента DCE, DB2 получитделегированный маркер, который перенаправит серверу DB2. Это позволяетсерверу DB2 использовать для обработки запросов исходную информацию оклиенте DCE, а не информацию о сервере DCE. Сведения о том, какиспользовать делегированный контекст регистрации, смотрите в документацииDCE для вашей платформы.Примечание: DCE поддерживается продуктами разных производителей.
ЧтобыUDB DB2 for Windows NT могла работать с продуктом DCE IBMдля служб защиты, поставляются две библиотеки DLL:db2dces.ibm и db2dcec.ibm. (Эти файлы DLL подходят только дляWindows NT.) Если вы приобрели и используете как службызащиты продукт DCE IBM, нужно скопировать два файла сименами db2dces.dll и db2dcec.dll соответственно. Если высобираетесь приобрести продукт другого производителя DCE,обратитесь к службам поддержки этого производителя и службамГлава 5.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
