Acceso remoto de Db2

Cuando el servidor no es el subsistema local de Db2 , se realizan múltiples comprobaciones de seguridad.

  • El gestor de seguridad local del servidor verifica el ID y la contraseña de autorización primaria de Db2. Una verificación posterior determina si el ID de autorización tiene permiso para acceder a Db2.
  • Las opciones de seguridad para los protocolos SNA o TCP/IP se comprueban en la base de datos de comunicaciones (CDB).

DDF da soporte a los protocolos de comunicaciones TCP/IP y SNA en un entorno distribuido. Db2 , como solicitante o servidor, elige cómo enviar o aceptar mecanismos de autenticación, en función del protocolo de red que se utilice. Db2 utiliza mecanismos de seguridad SNA para conexiones de red SNA y mecanismos de seguridad DRDA para conexiones de red TCP/IP o Kerberos.

Las opciones de seguridad de DRDA proporcionan el siguiente soporte para cifrar datos confidenciales:

  • Los servidores Db2 for z/OS® pueden proporcionar cifrado y descifrado de datos de alta velocidad seguros.
  • Los solicitantes de Db2 for z/OS tienen la opción de cifrar los ID de usuario y las contraseñas cuando los solicitantes se conectan a servidores remotos. Los peticionarios también pueden cifrar datos sensibles de seguridad cuando se comunican con servidores de modo que los datos estén seguros cuando se transmiten por la red.

Puede utilizar RACF® o un subsistema de seguridad similar para realizar la autenticación. RACF puede:

  • Verificar un ID de autorización remoto asociado a una conexión mediante la comprobación del ID con su contraseña.
  • Verificar si el ID de autorización tiene permiso para acceder a Db2 a través de una conexión remota.
  • Verificar si el ID de autorización tiene permiso para acceder a Db2 desde un sitio remoto específico.
  • Generar pases, una alternativa a las contraseñas, en el lado transmisor. Un PassTicket permite a un usuario acceder a un sistema host sin enviar la contraseña de RACF a través de la red.

Seguridad Kerberos

Como servidor, Db2 da soporte a la seguridad de Kerberos para autenticar usuarios remotos. Los mecanismos de autenticación son tiquets de Kerberos cifrados en lugar de ID de usuario y contraseñas.

Puede establecer un soporte de autenticación de Kerberos ( Db2 for z/OS ) a través del servidor de seguridad de z/OS. Kerberos es también una opción de seguridad de red para clientes de Db2 Connect .

Base de datos de comunicaciones

La base de datos de comunicaciones de Db2 contiene un conjunto de tablas de catálogo de Db2 que le permiten controlar aspectos de las solicitudes remotas. Db2 utiliza esta base de datos para obtener información sobre conexiones con sistemas remotos.

Acceso de estación de trabajo

Cuando un cliente de estación de trabajo accede a un servidor Db2 for z/OS, Db2 Connect pasa toda la información de autenticación del cliente al servidor. Los clientes de estación de trabajo pueden cifrar los ID de usuario y contraseñas cuando emiten una sentencia CONNECT. La autenticación de Database connection services (DCS) debe establecerse en DCS_ENCRYPT.

Un tipo de autenticación para cada instancia determina la verificación del usuario. El tipo de autenticación se almacena en el archivo de configuración del gestor de bases de datos en el servidor. Se permiten los siguientes tipos de autenticación con Db2 Connect:

CLIENT
El ID de usuario y la contraseña se validan en el cliente.
SERVIDOR
El ID de usuario y la contraseña se validan en el servidor de bases de datos.
SERVER_ENCRYPT
El ID de usuario y la contraseña se validan en el servidor de bases de datos y las contraseñas se cifran en el cliente.
KERBEROS
El cliente se registra en el servidor utilizando autenticación de Kerberos.