ALTER TRUSTED CONTEXT sentencia

La sentencia ALTER TRUSTED CONTEXT modifica la definición de un contexto fiable en el servidor actual.

Invocación para ALTER TRUSTED CONTEXT

Esta sentencia puede incorporarse en un programa de aplicación o emitirse de forma interactiva. Es una instrucción ejecutable que puede prepararse dinámicamente solo si el comportamiento DYNAMICRULES RUN está en vigor. Para obtener más información, consulte ID de autorización y SQL dinámico.

Autorización para ALTER TRUSTED CONTEXT

El conjunto de privilegios que se define a continuación debe incluir al menos uno de los siguientes:

Autorización SYSADM
Autorización SECADM

Conjunto de privilegios : si el extracto está integrado en un programa de aplicación, el conjunto de privilegios es el conjunto de privilegios que posee el propietario del plan o paquete.

Si el estado se prepara dinámicamente, el conjunto de privilegios es la unión del conjunto de privilegios que posee cada ID de autorización del proceso. Si la declaración se ejecuta en un contexto de confianza con un rol, el conjunto de privilegios es la unión del conjunto de privilegios que posee el rol asociado con el ID de autorización principal y el conjunto de privilegios que posee cada ID de autorización del proceso.

Sintaxis para ALTER TRUSTED CONTEXT

Notas:

¹ Estas cláusulas pueden especificarse en cualquier pedido. Cada cláusula no debe especificarse más de una vez.
² Esta cláusula y las siguientes pueden especificarse en cualquier orden. Cada cláusula no debe especificarse más de una vez.
³ La ENCRYPTION (encriptación) no debe especificarse más de una vez.
⁴ El NOMBRE DE TRABAJO no debe especificarse con DIRECCIÓN, ENCRYPTION o SERVAUTH.
⁵ Cada par de nombre de atributo y valor correspondiente debe ser único.

cláusula de usuario:

opciones de uso:

descripción para ALTER TRUSTED CONTEXT

nombre_contexto

Identifica el contexto de confianza que se va a modificar. context-name debe referirse a un contexto de confianza que exista en el servidor actual.

ALTER

Especifica que se van a realizar cambios en la definición de un contexto de confianza existente.

SYSTEM AUTHID nombre-autorización

Especifica que autorización-nombre es el ID de autorización del sistema para el contexto de confianza. El ID de autorización del sistema es el ID de autorización principal del sistema Db2 que establece la conexión. Para una conexión remota, el ID de autorización se deriva del ID del sistema utilizado que proporciona la entidad externa, como un servidor de middleware. Para una conexión local, el ID de autorización del sistema se obtiene en función de las fuentes, tal y como se especifica en la Tabla 1.

Tabla 1. ID de autorización del sistema para una conexión local
Origen de la conexión local	ID de autorización del sistema
Tarea iniciada (RRSAF)	Parámetro USER en la sentencia JOB o USER RACF®.
TSO	Identificador de inicio de sesión de TSO
BATCH	Parámetro USER en la sentencia JOB

el nombre de autorización no debe estar asociado a un contexto de confianza existente.

NO DEFAULT ROLE o DEFAULT ROLE nombre del rol

Especifica si una función predeterminada está asociada a una conexión de confianza que se basa en el contexto de confianza especificado. Si una conexión de confianza para el contexto especificado está activa, el cambio entra en vigor en el siguiente intento de reutilización de la conexión o cuando se solicita una nueva conexión.

NO DEFAULT ROLE: Especifica que el contexto fiable no tiene un rol por omisión. El ID de autorización del proceso es el propietario de cualquier objeto que se cree utilizando una conexión de confianza basada en este contexto de confianza. Dicho ID de autorización debe poseer todos los privilegios necesarios para crear ese objeto.
DEFAULT ROLE nombre-rol: Especifica que el nombre de rol es el rol para el contexto de confianza. nombre-rol debe identificar un rol que exista en el servidor actual. Este rol se utiliza con el usuario en una conexión de confianza que se basa en el contexto de confianza especificado cuando el usuario no tiene un rol especificado por el usuario que esté definido como parte de la definición de este contexto de confianza.

WITHOUT ROLE AS OBJECT OWNER o WITH ROLE AS OBJECT OWNER AND QUALIFIER

Especifica si un rol se utiliza como propietario de objetos creados mediante una conexión de confianza basada en el contexto de confianza especificado. Si una conexión de confianza para el contexto especificado está activa, el cambio entra en vigor en el siguiente intento de reutilización de la conexión o cuando se solicita una nueva conexión.

WITHOUT ROLE AS OBJECT OWNER

Especifica que un rol no se utiliza como propietario de los objetos que se crean utilizando una conexión de confianza basada en el contexto de confianza especificado. El ID de autorización del proceso es el propietario de cualquier objeto que se cree utilizando una conexión de confianza basada en este contexto de confianza. Dicho ID de autorización debe poseer todos los privilegios necesarios para crear el objeto.

SIN FUNCIÓN DE PROPIETARIO DEL OBJETO es la opción predeterminada.

WITH ROLE AS OBJECT OWNER AND QUALIFIER

Especifica que el rol asignado por contexto es el propietario de los objetos que se crean utilizando una conexión de confianza basada en este contexto de confianza. Dicho rol debe poseer todos los privilegios necesarios para crear el objeto. El rol asignado por contexto es el rol que se define para el usuario dentro de este contexto de confianza, si se define alguno. De lo contrario, el rol es el rol predeterminado que está asociado con el contexto de confianza. El rol también se utiliza como otorgante para cualquier declaración de OTORGAMIENTO que se emita, y como revocador para cualquier declaración de REVOCACIÓN que se emita utilizando una conexión de confianza que se base en este contexto de confianza.

AND QUALIFIER: Especifica que el nombre de rol se utilizará como valor predeterminado para el registro especial CURRENT SCHEMA. El nombre del rol también se incluirá en la ruta SQL (en lugar de CURRENT SQLID).
Cuando WITH ROLE AS OBJECT OWNER AND QUALIFIER no se especifica, no hay cambios en el valor predeterminado del registro especial CURRENT SCHEMA y de la ruta de acceso SQL.

DISABLE o ENABLE

Especifica si el contexto de confianza está habilitado o deshabilitado.

DISABLE: Especifica que el contexto de confianza está desactivado. Un contexto fiable que esté inhabilitado no se tomará en consideración cuando se establezca una conexión fiable.
ENABLE: Especifica que el contexto fiable está habilitado.

NO DEFAULT SECURITY LABEL o DEFAULT SECURITY LABELseclabel-name

Especifica si una etiqueta de seguridad predeterminada está asociada a una conexión de confianza que se basa en este contexto de confianza. Si una conexión de confianza para el contexto especificado está activa, el cambio entra en vigor en el siguiente intento de reutilización de la conexión o cuando se solicita una nueva conexión.

NO DEFAULT SECURITY LABEL: Especifica que el contexto de confianza no tiene una etiqueta de seguridad predeterminada.
DEFAULT SECURITY LABEL seclabel-name: Especifica que seclabel-name es la etiqueta de seguridad predeterminada para el contexto de confianza. seclabel-name es la etiqueta de seguridad que se utiliza para la verificación de seguridad multinivel. seclabel-name debe identificar uno de los valores SECLABEL de RACF que está definido para SYSTEM AUTHID. Esta etiqueta de seguridad se utiliza en una conexión de confianza que se basa en el contexto de confianza especificado cuando el usuario no tiene una etiqueta de seguridad específica definida como parte de la definición de este contexto de confianza. En este caso, seclabel-name también debe identificar uno de los valores SECLABEL de la RACF que esté definido para el usuario.

ALTER ATTRIBUTES o ADD ATTRIBUTES

Especifica una lista de uno o más atributos de confianza de conexión para cambiar o añadir a la definición de un contexto de confianza. Los atributos de confianza de conexión se utilizan para definir el contexto de confianza. Si se especifica ALTER ATTRIBUTES y el atributo no forma parte actualmente de la definición del contexto de confianza especificado, se devuelve un error. Las especificaciones existentes para los atributos especificados se cambian al nuevo valor si se especifica ALTER. Los atributos que no se especifiquen conservarán los valores especificados anteriormente.

ADDRESS dirección-valor

Especifica la dirección de comunicación real que utiliza la conexión para comunicarse con el gestor de la base de datos. El protocolo admitido es solo para TCP/IP. Los valores de DIRECCIÓN especificados anteriormente se eliminan cuando se especifica ALTER ATTRIBUTES. El atributo ADDRESS (DIRECCIÓN) puede especificarse varias veces, pero cada valor de dirección debe ser único.

Al establecer una conexión de confianza, si se definen varios valores para el atributo ADDRESS de un contexto de confianza, se considera que una conexión candidata coincide con este atributo si la dirección que utiliza una conexión coincide con cualquiera de los valores definidos para el atributo ADDRESS del contexto de confianza.

address-value especifica una cadena constante que contiene el valor asociado al atributo de confianza ADDRESS. la dirección-valor debe ser una dirección IPv4, una dirección IPv6 o un nombre de dominio seguro con una longitud no superior a 254 bytes. No se realiza ninguna validación del valor de la dirección en el momento en que se procesa la instrucción ALTER TRUSTED CONTEXT. dirección-valor debe estar justificada a la izquierda dentro de la constante de cadena.

Una dirección IPv4 se representa como una dirección decimal con puntos. Un ejemplo de una dirección IPv4 es 9.112.46.111.
Una dirección IPv6 se representa como una dirección hexadecimal con dos puntos. Un ejemplo de dirección IPv6 es 2001:0DB8:0000:0000:0008:0800:200C:417A. Esta dirección también puede expresarse de forma comprimida como 2001:DB8::8:800:200C:417A.
Un nombre de dominio se convierte en una dirección IP por medio del servidor del nombre de dominio en el que se determina una dirección IPv4 o IPv6 resultante. Un ejemplo de nombre de dominio es www.ibm.com. La llamada de socket gethostbyname se utiliza para resolver el nombre de dominio.

ENCRYPTION valor de cifrado

Especifica el nivel mínimo de encriptación del flujo de datos (encriptación de red) para la conexión.

encryption-value especifica una cadena constante que contiene el valor asociado al atributo de confianza ENCRYPTION. el valor de cifrado debe estar justificado a la izquierda dentro de la constante de cadena. La ENCRYPTION (encriptación) no debe especificarse más de una vez en la declaración. el valor de cifrado debe ser uno de los siguientes:

NINGUNA, que especifica que no se requiere ningún nivel específico de encriptación.
LOW, que especifica que se requiere un cifrado ligero como mínimo. LOW corresponde a cifrado DRDA de 64 bits.
ALTO, que especifica que se requiere un cifrado fuerte. ALTO corresponde al cifrado SSL.

No se puede especificar ENCRYPTION si se especifica ADD ATTRIBUTES. Consulte la declaración CREAR CONTEXTO DE CONFIANZA para obtener más información sobre el atributo ENCRYPTION.

JOBNAME nombre-valor del trabajo

Especifica el nombre de trabajo de la aplicación ( z/OS® ) o el nombre de la tarea iniciada (dependiendo de la fuente del espacio de direcciones) para aplicaciones locales. Los valores especificados anteriormente para JOBNAME se eliminan cuando se especifica ALTER ATTRIBUTES. El atributo JOBNAME puede especificarse varias veces, pero cada valor de nombre de trabajo debe ser único.

jobname-value especifica una constante de cadena que contiene el valor asociado con el atributo de confianza JOBNAME. jobname-value es un nombre de trabajo EBCDIC de 8 bytes o nombre de tarea iniciada. jobname-value debe estar justificado a la izquierda dentro de la constante de cadena. El último carácter del nombre puede ser un comodín (*) si el primer carácter es un carácter alfabético. Si el nombre del trabajo termina con un comodín, se tendrán en cuenta todos los nombres de trabajos que coincidan con los caracteres especificados para establecer la conexión de confianza.

La siguiente tabla enumera los posibles valores para el nombre del trabajo en función del origen del espacio de direcciones.

Tabla 2. Nombre de trabajo para conexión local
Origen del espacio de direcciones	Nombre de trabajo
RRSAF	Nombre del trabajo o nombre de la tarea iniciada
TSO	Identificador de inicio de sesión de TSO
BATCH	Nombre del trabajo en la declaración JOB

SERVAUTH valor-servicio

Especifica el nombre de un recurso en la clase SERVAUTH de la especificación de recursos de la Web ( RACF ). Este recurso es el nombre de la zona de seguridad de acceso a la red que contiene la dirección IP de la conexión que se utiliza para comunicarse con Db2. Los valores especificados anteriormente para SERVAUTH se eliminan cuando se especifica ALTER ATTRIBUTES. El atributo SERVAUTH puede especificarse varias veces, pero cada valor servauth debe ser único.

servauth-value especifica una constante de cadena que contiene el valor asociado al atributo de confianza SERVAUTH. servauth-value es un nombre de recurso SERVAUTH CLASS EBCDIC de 64 bytes RACF. servauth-value debe estar justificado a la izquierda en la constante de cadena. No se realiza ninguna validación de servauth-value en el momento en que se procesa la instrucción ALTER TRUSTED CONTEXT.

DROP ATTRIBUTES

Especifica que uno o más atributos se eliminan de la definición de un contexto de confianza. Si el atributo no está especificado actualmente como parte de la definición de un contexto de confianza, se devuelve un error. La especificación de DROP ATTRIBUTES no debe intentar eliminar todos los atributos existentes para un contexto de confianza.

ADDRESS dirección-valor: Especifica que la dirección de comunicación identificada se elimina de la definición del contexto de confianza. address-value especifica una constante de cadena que contiene el valor de un atributo de confianza ADDRESS existente.
JOBNAME nombre-valor del trabajo: Especifica que el nombre de trabajo identificado se elimina de la definición del contexto de confianza. jobname-value especifica una constante de cadena que contiene el valor de un atributo de confianza JOBNAME existente.
SERVAUTH valor-servicio: Especifica que el servicio identificado se elimina de la definición del contexto de confianza. servauth-value especifica una constante de cadena que contiene el valor de un atributo de confianza SERVAUTH existente.

ADD USE FOR

Especifica usuarios adicionales que pueden utilizar una conexión de confianza que se basa en el contexto de confianza especificado.

nombre-autorización

Especifica que la conexión de confianza puede ser utilizada por el nombre de autorización especificado. Este es el ID de autorización principal de Db2 . El nombre de la autorización no debe identificar un ID de autorización que ya esté definido para utilizar el contexto de confianza, y no debe especificarse más de una vez en la cláusula ADD USE FOR.

ROLE nombre-rol: Especifica que el nombre-rol es el rol que se utiliza cuando el nombre-autorización especificado utiliza una conexión de confianza. El nombre de rol debe identificar un rol que exista en el servidor actual. La función que se especifica explícitamente para el usuario anula cualquier función predeterminada que esté asociada con el contexto de confianza.
SECURITY LABEL seclabel-name: Especifica que seclabel-name es la etiqueta de seguridad que se utilizará para la verificación de seguridad multinivel cuando la conexión de confianza sea utilizada por el authorization-name especificado. El seclabel-name debe ser uno de los valores SECLABEL de la RACF que esté definido para el usuario. La etiqueta de seguridad que se especifica explícitamente para el usuario anula cualquier etiqueta de seguridad predeterminada que esté asociada con el contexto de confianza.

EXTERNAL SECURITY PROFILE nombre-perfil

Especifica que la conexión de confianza puede ser utilizada por los ID de autorización principales de Db2 que están autorizados a utilizar el nombre de perfil especificado en RACF. el nombre del perfil no debe estar ya definido para utilizar el contexto de confianza, y no debe especificarse más de una vez en la ADD USE FOR cláusula. Si se permite que un ID de autorización utilice más de un nombre de perfil especificado, la función que se especifica para el nombre de perfil puede asociarse al proceso si la autenticación del usuario cumple la definición de AUTENTICACIÓN. Este rol puede tener privilegios adicionales que están disponibles para el proceso.

Después de especificar un perfil de seguridad externo, cualquier usuario al que se le permita el acceso al perfil RACF puede utilizar el contexto de confianza, además de cualquier usuario que se especifique utilizando la ADD USE FOR cláusula authorization-name.

ROLE nombre-rol: Especifica que el nombre de rol es el rol que se utiliza cuando una conexión de confianza es utilizada por cualquier ID de autorización que esté autorizado a utilizar el nombre de perfil especificado en RACF. El nombre de rol debe identificar un rol que exista en el servidor actual. La función que se especifica explícitamente para el perfil anula cualquier función predeterminada que esté asociada con el contexto de confianza.
SECURITY LABEL seclabel-name: Especifica que seclabel-name es la etiqueta de seguridad que se utilizará para la verificación de seguridad multinivel cuando la conexión de confianza sea utilizada por cualquier ID de autorización que esté autorizada a utilizar el profile-name especificado en RACF. El seclabel-name debe ser uno de los valores SECLABEL de la RACF que esté definido para el usuario. La etiqueta de seguridad que se especifica explícitamente para el perfil anula cualquier etiqueta de seguridad predeterminada que esté asociada con el contexto de confianza.

PUBLIC

Especifica que cualquier usuario puede utilizar una conexión de confianza basada en el contexto de confianza especificado. PUBLIC no debe estar ya definido para utilizar el contexto de confianza y no debe especificarse más de una vez en la ADD USE FOR cláusula.

Todos los usuarios que utilizan una conexión de confianza definida como PÚBLICA utilizan los privilegios asociados al rol predeterminado para el contexto de confianza asociado. Si el rol predeterminado no está definido para el contexto de confianza, no hay ningún rol asociado a los usuarios que utilizan una conexión de confianza basada en el contexto de confianza especificado.

Si se define la etiqueta de seguridad predeterminada para el contexto de confianza, todos los usuarios que utilicen el contexto de confianza deben tener definida la etiqueta de seguridad como uno de los valores SECLABEL de RACF para el usuario. La etiqueta de seguridad predeterminada se utiliza para la verificación de seguridad multinivel con todos los usuarios que utilizan el contexto de confianza.

Las especificaciones para un usuario se determinan en el siguiente orden de prioridad:

nombre-autorización
PERFIL DE SEGURIDAD EXTERNA perfil-nombre
PUBLIC

Por ejemplo, supongamos que se define un contexto de confianza con uso para JOE CON AUTENTICACIÓN, PERFIL DE SEGURIDAD EXTERNO PERFIL SIN AUTENTICACIÓN (con JOE y SAM autorizados a utilizar el PERFIL DE SEGURIDAD RACF ) y PÚBLICO CON AUTENTICACIÓN. Si JOE utiliza la conexión de confianza, se requiere autenticación. Si SAM utiliza la conexión de confianza, no se requiere autenticación. Sin embargo, si SALLY utiliza la conexión de confianza, se requiere autenticación.

REPLACE USE FOR

Especifica un cambio en el usuario especificado o en el usuario PÚBLICO para quien puede usar el contexto de confianza.

nombre-autorización

Especifica el nombre de autorización que se cambia para el uso del contexto de confianza. El contexto de confianza debe estar ya definido para permitir su uso por nombre de autorización, y nombre de autorización no debe especificarse más de una vez en la cláusula REPLACE USE FOR. La información asociada con el nombre de autorización se cambia como se indica.

ROLE nombre-rol: Especifica que el nombre de rol es el rol que se utiliza cuando una conexión de confianza utiliza el contexto de confianza especificado. El nombre de rol debe identificar un rol que exista en el servidor actual. La función que se especifica explícitamente para el usuario anula cualquier función predeterminada que esté asociada con el contexto de confianza.
SECURITY LABEL seclabel-name: Especifica que seclabel-name es la etiqueta de seguridad que se utilizará para la verificación de seguridad multinivel cuando la conexión de confianza sea utilizada por el authorization-name especificado. El seclabel-name debe ser uno de los valores SECLABEL de la RACF que esté definido para el usuario. La etiqueta de seguridad que se especifica explícitamente para el usuario anula cualquier etiqueta de seguridad predeterminada que esté asociada con el contexto de confianza.

EXTERNAL SECURITY PROFILE nombre-perfil

Especifica el nombre de perfil para cambiar los atributos para el uso de la conexión de confianza. El contexto de confianza ya debe estar definido para permitir el uso de profile-name. nombre-perfil no debe especificarse más de una vez en la REPLACE USE FOR cláusula. La información asociada al nombre de perfil se cambia como se indica.

ROLE nombre-rol: Especifica que el nombre de rol es el rol que se utiliza cuando una conexión de confianza es utilizada por cualquier ID de autorización que esté autorizado a utilizar el nombre de perfil especificado en RACF. El nombre de rol debe identificar un rol que exista en el servidor actual. La función que se especifica explícitamente para el perfil anula cualquier función predeterminada que esté asociada con el contexto de confianza.
SECURITY LABEL seclabel-name: Especifica que seclabel-name es la etiqueta de seguridad que se utilizará para la verificación de seguridad multinivel cuando la conexión de confianza sea utilizada por cualquier ID de autorización que esté autorizada a utilizar el profile-name especificado en RACF. El seclabel-name debe ser uno de los valores SECLABEL de la RACF que esté definido para el usuario. La etiqueta de seguridad que se especifica explícitamente para el usuario anula cualquier etiqueta de seguridad predeterminada que esté asociada con el contexto de confianza.

PUBLIC

Especifica que los atributos para el uso de la conexión de confianza por parte de PUBLIC deben cambiarse. PUBLIC debe estar ya definido para utilizar el contexto de confianza, y PUBLIC no debe especificarse más de una vez en la cláusula REPLACE USE FOR.

WITHOUT AUTHENTICATION o WITH AUTHENTICATION

Especifica si el uso de la conexión de confianza requiere la autenticación del usuario.

WITHOUT AUTHENTICATION: Especifica que el uso de una conexión de confianza por parte del usuario no requiere autenticación. SIN AUTENTICACIÓN es el valor predeterminado.
WITH AUTHENTICATION: Especifica que el uso de una conexión de confianza requiere el token de autenticación con el ID de autorización para autenticar al usuario.

DROP USE FOR

Especifica la(s) persona(s) que ya no puede(n) utilizar el contexto fiable. Los usuarios que se eliminan de la definición del contexto de confianza son los usuarios especificados (o PÚBLICOS) a los que se les permite actualmente utilizar el contexto de confianza. Si se especifica que se eliminarán varios usuarios y uno o más de ellos no se pueden eliminar, se eliminan los usuarios que se pueden eliminar y se devuelve una advertencia. Si no se puede eliminar a ninguno de los usuarios especificados de la definición del contexto de confianza, se devuelve un error.

nombre-autorización: Especifica el nombre de autorización que ya no podrá utilizar este contexto de confianza.
EXTERNAL SECURITY PROFILE nombre-perfil: Elimina la capacidad del nombre de perfil especificado para utilizar el contexto de confianza.
PUBLIC: Especifica que los usuarios PÚBLICOS ya no podrán utilizar este contexto de confianza. El ID de autorización del sistema y los ID de autorización individuales que se hayan habilitado explícitamente pueden seguir utilizando el contexto de confianza.

Notas para MODIFICAR CONTEXTO DE CONFIANZA

Prevalencia de los requisitos de nombre de autorización y autenticación : si el nombre de autorización especificado en la cláusula SYSTEM AUTHID es el mismo nombre de autorización especificado en las cláusulas ADD o REPLACE USE FOR, el rol o la etiqueta de seguridad especificados para el nombre de autorización prevalecen sobre el valor predeterminado y el valor especificado para el nombre de perfil EXTERNAL SECURITY PROFILE (si se especifica uno). Si el nombre de autorización especificado en la cláusula SYSTEM AUTHID tiene permitido utilizar uno de los nombres de perfil especificados y no se especifica en ADD o REPLACE USE para el nombre de autorización, el rol o la etiqueta de seguridad especificados para ese nombre de perfil tienen prioridad sobre el valor predeterminado.

Se requiere autenticación para SYSTEM AUTHID si la cláusula AUTHENTICATION se especifica en las cláusulas ADD o REPLACE USE FOR, o si el parámetro del subsistema TCP/IP Already Verified se establece en NO. Por ejemplo, si el nombre de autorización es el mismo que el nombre de autorización especificado en la cláusula SYSTEM AUTHID y se especifica la cláusula WITHOUT AUTHENTICATION, pero el parámetro del subsistema TCP/IP Already Verified está establecido en NO, se requiere autenticación para SYSTEM AUTHID cuando se establece la conexión remota de confianza. Si el nombre de autorización es SYSTEM AUTHID y se especifica la cláusula WITH AUTHENTICATION, pero el parámetro del subsistema TCP/IP Already Verified se establece en YES, la autenticación sigue siendo necesaria para SYSTEM AUTHID.

Orden de precedencia para usuarios de una conexión de confianza : Las especificaciones para un usuario se determinan en el siguiente orden de precedencia:

nombre-autorización
EXTERNAL SECURITY PROFILE nombre-perfil
PUBLIC

Por ejemplo, supongamos que se define un contexto de confianza con uso para JOE CON AUTENTICACIÓN, PERFIL DE SEGURIDAD EXTERNO PERFIL SIN AUTENTICACIÓN y PÚBLICO CON AUTENTICACIÓN. Los usuarios JOE y SAM tienen permiso para usar el PERFIL DE RACF. Si JOE utiliza la conexión de confianza, se requiere autenticación. Si SAM utiliza la conexión de confianza, no se requiere autenticación. Sin embargo, si el usuario SALLY utiliza la conexión de confianza, se requiere autenticación.

Consideraciones de la cláusula user-clause SYSTEM AUTHID : si el nombre de autorización que se especifica en la cláusula SYSTEM AUTHID es el mismo que el nombre de autorización que se especifica en la cláusula user-clause authorization-name, el rol o la etiqueta de seguridad que se especifica para authorization-name tiene prioridad sobre el valor predeterminado. El valor que se especifica para el nombre de perfil, se permite utilizar el perfil. Si el nombre de autorización especificado en la cláusula SYSTEM AUTHID puede utilizar uno de los nombres de perfil y no está definido en authorization-name, el rol o la etiqueta de seguridad especificados para ese nombre de perfil tienen prioridad sobre el valor predeterminado.

Si se requiere autenticación para SYSTEM AUTHID, ya sea especificando la cláusula AUTHENTICATION en la cláusula user o estableciendo el valor del parámetro del subsistema TCP/IP Already Verified en NO, el requisito de autenticación tiene prioridad al establecer una conexión remota de confianza. Por ejemplo, si el nombre de autorización es el mismo que el nombre de autorización especificado para SYSTEM AUTHID y se especifica la cláusula WITHOUT AUTHENTICATION, pero el parámetro del subsistema TCP/IP Already Verified está establecido en NO, se requiere un token de autenticación para SYSTEM AUTHID cuando se establece la conexión remota de confianza. Si el nombre de autorización es SYSTEM AUTHID y se especifica la cláusula WITH AUTHENTICATION, pero el parámetro del subsistema TCP/IP Already Verified está establecido en YES, se sigue requiriendo un token de autenticación para SYSTEM AUTHID.

Orden de las operaciones : El orden en el que se aplican las cláusulas de la declaración ALTERAR CONTEXTO CONFIADO es el siguiente:

DROP ATTRIBUTES
DROP USE FOR
ALTER
ADD ATTRIBUTES
ADD USE FOR
REPLACE USE FOR

Efecto de los cambios en las conexiones confiables existentes: si existen conexiones confiables para el contexto confiable que se modifica, las conexiones continúan usando la definición sin cambios del contexto confiable hasta que se finalice la conexión o se intente reutilizarla. Si el contexto de confianza se desactiva mientras hay conexiones de confianza activas basadas en este contexto de confianza, las conexiones se seguirán utilizando hasta que se terminen o se intente reutilizarlas. Si se modifican los atributos de confianza, las conexiones de confianza que existan en el momento en que se modifique el contexto de confianza seguirán utilizándose.

Cuando se producen cambios en un contexto de confianza : Los cambios en la definición de un contexto de confianza surten efecto después de que se confirme la instrucción ALTER TRUSTED CONTEXT. Si la instrucción ALTER TRUSTED CONTEXT da lugar a un error o se revierte, el contexto de confianza no se modifica.

Privilegios de rol : si no hay ningún rol asociado al usuario o al contexto de confianza, solo se aplicarán los privilegios asociados al usuario. Esto es lo mismo que no utilizar un contexto de confianza.

Ejemplos para ALTER TRUSTED CONTEXT

Ejemplo 1 : La siguiente declaración actualiza el rol predeterminado del contexto de confianza CTX1:

   ALTER TRUSTED CONTEXT CTX1
       ALTER DEFAULT ROLE CTXROLE2;

Ejemplo 2 : La siguiente declaración cambia el contexto de confianza de CTX3 para permitir su uso para BILL, y también pone el contexto de confianza en estado desactivado:

   ALTER TRUSTED CONTEXT CTX3
        DISABLE
        ADD USE FOR BILL;

Ejemplo 3 : La siguiente declaración cambia el contexto de confianza de CTX4 para permitir que el usuario JOE definido anteriormente utilice el contexto de confianza sin autenticación. La declaración también añade el uso para PUBLIC con autenticación y TOM con un rol de SPLROLE:

   ALTER TRUSTED CONTEXT CTX4
      REPLACE USE FOR JOE WITHOUT AUTHENTICATION
      ADD USE FOR PUBLIC WITH AUTHENTICATION,
      TOM ROLE SPLROLE;

Ejemplo 4 : La siguiente declaración cambia el REMOTECTX para que utilice una dirección de correo electrónico ( IPv4 ) diferente a la que se definió originalmente. También cambia la configuración de cifrado de NINGUNA a BAJA. Después de que se procese la instrucción ALTER, la conexión se considerará de confianza solo cuando se establezca desde 9.12.155.200 con un cifrado bajo. La conexión ya no se considerará de confianza si se establece desde las direcciones definidas anteriormente:

   ALTER TRUSTED CONTEXT REMOTECTX
      ALTER ATTRIBUTES (ADDRESS '9.12.155.200',
                        ENCRYPTION 'LOW');