27_SH43-0144-00 (1038594), страница 54
Текст из файла (страница 54)
Это может привести к ошибке авторизации при повторномсвязывании.Аутентификация DCE, выполняемая DB2, передает билеты DCE, полученные спомощью интерфейса Generic Security Services Application Programming Interface(GSSAPI) среды OSF DCE. Таким образом, вся аутентификация для системызащиты DCE происходит в слое протокола базы данных. Некоторые механизмысвязи могут обеспечивать дополнительную защиту слоя связи, возможно, неинтегрированную с DCE.
Если аутентификация слоя связи может оставатьсяполностью независимой от аутентификации слоя протокола базы данных,никакие ограничения не поддерживаются. Однако прежде чем связь будетуспешно установлена, требуется выполнение критериев аутентификации как слояпротокола базы данных, так и слоя связи. Если механизмы аутентификации слояпротокола базы данных и слоя протокола связи взаимодействуют, ихиспользование может быть ограничено, поскольку некоторые сочетания создаютбрешь в защите.Аутентификация DCE может использоваться в сочетании с поддержкой TCPIPSOCKS; однако эти два механизма защиты будут работать независимо друг отдруга.
Отсюда следует, что пользователю, возможно, придется не только242Руководство администратора: Реализацияобеспечить допустимый контекст регистрации DCE, но и регистрировать влокальной операционной системе ID пользователя, удовлетворяющийкритериям сервера SOCKS.Аутентификация DCE может использоваться в сочетании с именованнымиконвейерами NT, однако эти два механизма защиты будут работать независимодруг от друга.
Пользователю придется не только обеспечить допустимыйконтекст регистрации DCE, но и регистрировать на домене NT ID пользователя,удовлетворяющий критериям поддержки именованных конвейеров NT.Чтобы не допустить возможных недоразумений, когда для аутентификациииспользуются и принципалы DCE, и ID пользователей локальной операционнойсистемы, как в двух приведенных выше примерах, можно использоватьинтегрированную регистрацию DCE. В этом случае при регистрации в системепользователь автоматически регистрируется и на соответствующем принципалеDCE. Подробности о том, как использовать эту возможность, смотрите вдокументации DCE для вашей платформы. Обратите внимание на то, что этотподход предполагает одно и то же имя для принципала DCE и ID локальнойоперационной системы.
Это может привести к тому, что значение, котороесодержится в зашифрованном билете DCE, передается в то же время внезашифрованном виде в слое связи.Аутентификация DCE может использоваться только совместно со связью APPC,когда параметр SECURITY имеет значение NONE. Это делается для того, чтобыне посылать незашифрованный принципал и/или пароль на слое связи прииспользовании шифрованного маркера DCE для того же принципала на слоепротокола базы данных. Система защиты DCE на слое APPC в настоящее времяне поддерживается DB2.Обработка аутентификации базы данных объединенияЕсли вы установили функцию распределенного объединения данных и задалидля переменной конфигурации менеджера баз данных federated значение ’YES’,ваша система DB2 работает как система объединения.
Настройкааутентификации баз данных в системе объединения слегка отличается отстандартных определений DB2. Кроме того, в системе объединения нужноучитывать требования аутентификации источников данных. В общем случаеисточники данных (DB2, Oracle, DB2 для OS/390 и так далее) настроены так, чтотребуют аутентификации. Поэтому нужно убедиться, что запрашиваемые ID ипароли могут передаваться источникам данных. DB2 предлагает несколькометодов поддержки аутентификации в источниках данных, и все они описаны вэтом разделе.Настройка аутентификацииSERVERЗадает, что клиенты, устанавливающие связь с DB2, для полученияГлава 5.
Управление доступом к базам данных243доступа предоставляют ID пользователя и пароль. В этом случае IDпользователя и пароль доступны для передачи источникам данных.Передаваемой источникам данных информацией можно управлять спомощью опций сервера и отображений пользователей, но информацияаутентификации будет доступна для передачи источникам данных.CLIENTЗадает, что аутентификация производится на разделе базы данных привызове программы с использованием средств защиты операционнойсистемы. Никакие пароли не становятся доступными для прямойпередачи источникам данных. В этом случае, если источник данныхтребует аутентификации, нужно создать одно или несколькоотображений пользователей. Надо убедиться, что заданы опции сервера,обеспечивающие передачу источнику данных корректной информацииID пользователя и пароля.Будьте крайне осторожны, используя аутентификацию CLIENT.Прибегайте к этой форме аутентификации только в безопасных сетях.Пользователь имеет полномочия SYSADM для базы данныхобъединения, если соблюдены следующие условия:v Задан тип аутентификации CLIENT.v Пользователь имеет на клиенте статус root.v Пользователь знает имя авторизации SYSADM.v Пользователь определяет имя авторизации на клиенте, совпадающеес именем SYSADM на DB2.DCSЗадает, что аутентификация производится на источнике данных, а не вDB2.
В этом случае аутентификация происходит в обход стандартногопроцесса DB2. ID пользователей и пароли передаются прямоисточникам данных в зависимости от настройки опций сервера.Аутентификация производится только на источниках данных семействOracle и DB2.Будьте осторожны, когда задан тип аутентификации DCS.Аутентификация не производится ни у клиента, ни в DB2.
Любойпользователь, который знает имя аутентификации SYSADM, можетполучить полномочия SYSADM для сервера объединения.DCE244Если задан тип аутентификации DCE, только ID пользователя доступендля передачи источникам данных. Пароли недоступны. Если источникданных требует обработать аутентификацию (ID пользователя ипароль), нужно определить отображение пользователей, котороепередаст пароль (и, возможно, ID пользователя) источнику данных.Если источник данных доверяет связи с DB2, отображенияпользователей не требуются, поскольку источнику данных можетпередаваться ID, полученный из внешней системы защиты.Руководство администратора: РеализацияВозможны другие настройки аутентификации DB2, и некоторые могутприводить к тому, что пароль DB2 станет доступен для передачи источникамданных. Если настройки аутентификации DB2 и клиента приводят к передачепароля DB2, этот пароль становится доступен для дополнительных процессоваутентификации в источниках данных.
Дополнительную информацию смотритев Табл. 4 на стр. 233.Передача ID и паролей источникам данныхЕсть четыре способа регулировать передачу информации аутентификацииисточникам данных - параметры аутентификации DB2, отображенияпользователей, опции сервера и параметры защиты APPC:Параметры аутентификацииЗадача этого раздела - объяснить, как параметры аутентификации влияют напроцесс глобальной аутентификации в системе объединения (определения дляпараметров аутентификации содержатся в разделе “Настройка аутентификации”на стр. 243).
Так, если задан тип аутентификации DB2 SERVER или DCS, длясоединения требуется ID пользователя и пароль. Поэтому ID пользователя ипароль становятся доступны для передачи на источники данных. Если задан типаутентификации DCE или CLIENT, и аутентификация не производится в системеDB2, содержащей объединенную базу данных, доступен только ID пользователя.Если процесс аутентификации источника данных требует пароля (или,возможно, другого ID пользователя и пароля), нужно создать отображениепользователей.
Если задан тип аутентификации CLIENT и параметрtrust_clntauth SERVER, возможно, чтобы пароль посылался DB2 и был доступендля передачи источникам данных.Отображения пользователейDB2 может посылать либо имя авторизации, используемое для соединения сDB2, либо имя авторизации, определенное в DB2. Отображения пользователейхранят имена авторизации, определенные в DB2. Они создаются с помощьюоператора CREATE USER MAPPING.Отображения пользователей обладают гибкостью: можно отобразить ID вновый ID и пароль, а можно просто в пароль.
С их помощью можно восполнитьнедостающую информацию или изменить ID и пароль на значения, приемлемыена источнике данных.Чтобы создать или изменить отображение пользователей, нужно, чтобы у васбыли полномочия SYSADM или DBADM или чтобы ваш ID аутентификациисовпадал с именем авторизации, заданном в операторе.Пример оператора отображения пользователей:CREATE USER MAPPING FOR "SHAWN" SERVER DB21 OPTIONS (REMOTE_AUTHID "SHAWNBCA",REMOTE_PASSWORD "MAPLELEAF")Глава 5. Управление доступом к базам данных245здесь ID аутентификации DB2 (SHAWN) отображается в удаленный IDSHAWNBCA и удаленный пароль MAPLELEAF для сервера с именем DB21.Если потребность в передаче строки связана только с различием между именемавторизации (или паролем) на DB2 и именем авторизации (или паролем) висточнике данных, рассмотрите возможность обойтись опциями сервера, чтобыдобиться нужной настройки, не создавая новые ID и пароли.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
