Zur Anpassung des Authentifizierungsverhaltens des
DB2-Sicherheitssystems können Sie
eigene Plug-ins für die Authentifizierung mithilfe der GSS-API entwickeln oder ein Plug-in bei einem Fremdanbieter
erwerben.
Vorbereitende Schritte
Bei anderen Plug-in-Typen als Kerberos müssen die Plug-in-Namen auf dem Client und dem Server sowie
der Plug-in-Typ übereinstimmen.
Die Plug-ins auf dem Client und dem Server brauchen nicht von demselben Anbieter zu stammen, jedoch müssen
sie kompatible GSS-API-Token generieren und verarbeiten. Jede Kombination von Kerberos-Plug-ins, die auf dem
Client und auf dem Server implementiert sind, ist akzeptabel, da Kerberos-Plug-ins standardisiert sind. Verschiedene Implementierungen weniger standardisierter GSS-API-Mechanismen, wie zum Beispiel
x.509-Zertifikate, sind jedoch möglicherweise nur teilweise mit
DB2-Datenbanksystemen
kompatibel. Abhängig von ihrer geplanten Verwendung müssen alle GSS-API-Authentifizierungs-Plug-ins
entweder im Client-Plug-in-Verzeichnis oder im Server-Plug-in-Verzeichnis platziert werden. Wenn ein Plug-in
im Client-Plug-in-Verzeichnis platziert wird, wird es für die Überprüfung bei der lokalen Authentifizierung
sowie bei Versuchen eines Clients, eine Verbindung mit dem Server herzustellen, verwendet. Wenn das Plug-in
im Server-Plug-in-Verzeichnis platziert wird, wird es verwendet, um eingehende Verbindungen zum Server zu
verarbeiten und zu überprüfen, ob eine Berechtigungs-ID vorhanden und gültig ist, wenn die Anweisung GRANT
ohne Angabe des Schlüsselworts USER oder GROUP abgesetzt wird.
Anmerkung: Sie müssen den
DB2-Server und alle Anwendungen,
die die Plug-ins verwenden, stoppen, bevor Sie eine neue Version eines vorhandenen Plug-ins
implementieren. Undefiniertes Verhalten, einschließlich Traps, kann auftreten, wenn ein Prozess ein Plug-in
zu dem Zeitpunkt verwendet, zu dem eine neue Version (mit demselben Namen) über das Plug-in kopiert
wird. Diese Einschränkung gilt nicht, wenn Sie ein Plug-in zum ersten Mal implementieren oder wenn das
Plug-in nicht im Gebrauch ist.
Nachdem Sie GSS-API-Authentifizierungs-Plug-ins erworben haben, die
für Ihr Datenbankverwaltungssystem geeignet sind, können Sie sie implementieren.
Vorgehensweise
- Führen Sie die folgenden Schritte auf dem Server aus, um ein GSS-API-Authentifizierungs-Plug-in auf dem
Datenbankserver zu implementieren:
- Kopieren Sie die Bibliothek des GSS-API-Authentifizierungs-Plug-ins in das
Server-Plug-in-Verzeichnis. Sie können viele GSS-API-Plug-ins in dieses Verzeichnis kopieren.
- Aktualisieren Sie den Konfigurationsparameter srvcon_gssplugin_list des Datenbankmanagers
mit einer geordneten, durch Kommata begrenzten Liste der Namen der im GSS-API-Plug-in-Verzeichnis installierten
Plug-ins.
- Anschließend haben Sie zwei Möglichkeiten:
- Setzen Sie den Konfigurationsparameter srvcon_auth des Datenbankmanagers
auf den Wert GSSPLUGIN oder GSS_SERVER_ENCRYPT, um den Server zur Verwendung der
Authentifizierungsmethode GSSAPI PLUGIN zu konfigurieren. Alternativ:
- Setzen Sie den Konfigurationsparameter srvcon_auth des Datenbankmanagers auf
den Wert NOT_SPECIFIED und den Konfigurationsparameter authentication auf den Wert
GSSPLUGIN oder GSS_SERVER_ENCRYPT, um den Server zur Verwendung der Authentifizierungsmethode GSSAPI PLUGIN
zu konfigurieren.
- Führen Sie die folgenden Schritte auf jedem Client aus, um ein GSS-API-Authentifizierungs-Plug-in auf
Datenbankclients zu implementieren:
- Kopieren Sie die Bibliothek des GSS-API-Authentifizierungs-Plug-ins in das
Client-Plug-in-Verzeichnis. Sie können viele GSS-API-Plug-ins in dieses Verzeichnis kopieren. Der Client
wählt ein GSS-API-Plug-in zur Authentifizierung während einer CONNECT- oder ATTACH-Operation aus, indem
er das erste, in der Plug-in-Liste des Servers enthaltene GSS-API-Plug-in verwendet, das auf dem Client
verfügbar ist.
- Optional: Katalogisieren Sie die Datenbanken, auf die der Client zugreifen soll, indem Sie angeben, dass
der Client nur ein GSS-API-Authentifizierungs-Plug-in als Authentifizierungsverfahren akzeptiert. Beispiel:
CATALOG DB testdb AT NODE testnode AUTHENTICATION GSSPLUGIN
- Führen Sie die folgenden Schritte zur Implementierung der Berechtigung auf einem Client, Server oder Gateway
durch ein GSS-API-Authentifizierungs-Plug-in aus:
- Kopieren Sie die Bibliothek des GSS-API-Authentifizierungs-Plug-ins in das Client-Plug-in-Verzeichnis
auf dem Client, Server oder Gateway.
- Aktualisieren Sie den Konfigurationsparameter local_gssplugin des Datenbankmanagers
mit dem Namen des Plug-ins.
- Setzen Sie den Konfigurationsparameter authentication des Datenbankmanagers
auf den Wert GSSPLUGIN oder GSS_SERVER_ENCRYPT.
DB2 10.5 for Linux, UNIX and Windows