authentication - Type d'authentification (paramètre de configuration)

Ce paramètre indique et détermine comment et où l'authentification d'un utilisateur a lieu.

Important: Le type d'authentification SERVER_ENCRYPT est obsolète et le type d'authentification SERVER_ENCRYPT_AES ne fonctionnera pas en mode FIPS strict lorsque des modules cryptographiques certifiés FIPS 140-3 seront introduits dans une future version de Db2. Pour plus d'informations sur l'obsolescence, voir Méthodes d'authentification pour votre serveur.
Important: Le type d'authentification DATA_ENCRYPT est obsolète et pourrait être supprimé dans une édition ultérieure. Pour crypter les données en transit entre les clients et les bases de données, nous vous recommandons d'utiliser la fonction de cryptage de la base de données Db2 les bases de données, nous vous recommandons d'utiliser la prise en charge par le système de base de données de Transport Layer Security (TLS) Db2 système de base de données de Transport Layer Security (TLS). Pour plus d'informations, voir Chiffrement des données en transit
Type de configuration
Gestionnaire de base de données
S'applique à
  • Serveur de base de données avec clients locaux et éloignés
  • Client
  • Serveur de base de données avec clients locaux
  • Serveur de base de données partitionnée avec clients locaux et distants
Type de paramètre
Configurable
Valeur par défaut [plage]
SERVEUR [CLIENT; SERVEUR; CHIFFRE_SERVEUR; CHIFFRE_DONNEES; DATA_ENCRYPT_CMP; KERBEROS; CHIFFRE_SERVEUR_KRB; GSSPLUGIN; CHIFFRE_SERVEUR_GSSS ]

Si la valeur du paramètre authentication est SERVER, l'ID utilisateur et le mot de passe sont envoyés du client au serveur afin que l'authentification puisse avoir lieu sur le serveur. La valeur SERVER_ENCRYPT fournit le même comportement que la valeur SERVER , sauf que les ID utilisateur et les mots de passe envoyés sur le réseau doivent être chiffrés.

En commençant par le site Db2 Cancun Release ( Db2® 10.5.0.4 ), pour que le serveur Db2 serveur n'accepte pas le mécanisme de sécurité CLEAR_TEXT_PASSWORD_SECURITY lorsque le type d'authentification est SERVER_ENCRYPT, définissez la variable de registre Db2 DB2AUTH la variable de registre à JCC_ENFORCE_SECMEC au niveau du serveur.

Définissez la variable de registre DB2AUTH sur JCC_NOENFORCE_SECMEC_MSG sur le serveur afin d'imprimer le message d'avertissement suivant dans le fichier db2diag.log (pour chaque connexion) lorsque Db2 accepte le mécanisme de sécurité CLEAR_TEXT_PASSWORD_SECURITY des clients Java lorsque le type d'authentification est CHIFFRE_SERVEUR:Connection accepted as SERVER ( JCC_NOENFORCE_SECMEC_MSG ).

Une autre nouvelle valeur est introduite dans Db2 11.1.3.3, JCC_NOENFORCE_SECMEC_NOMSG, pour représenter le comportement de configuration par défaut pour le type d'authentification SERVER_ENCRYPT qui doit accepter les mécanismes de sécurité mais ne pas afficher d'avertissement dans db2diag.log.

Pour utiliser AES, installez les fichiers "Java Cryptography Extension (JCE) Unlimited Strength Compétence Policy" à partir d' Oracle.

Pour une configuration de conformité aux normes (définie dans la rubrique Conformité aux normes ), SERVER est la seule valeur prise en charge.

La valeur DATA_ENCRYPT signifie que le serveur accepte les schémas d'authentification SERVER chiffrés et le chiffrement des données utilisateur. L'authentification fonctionne de la même manière que SERVER_ENCRYPT.

Les données utilisateur suivantes sont chiffrées lorsque vous utilisez le type d'authentification DATA_ENCRYPT :

  • Instructions SQL et XQuery
  • Données de variable de programme SQL
  • Données de sortie du serveur traitant une instruction SQL ou XQuery et incluant une description des données
  • Tout ou partie des données de l'ensemble de réponses résultant d'une requête
  • Diffusion en flux d'objets LOB
  • descripteurs SQLDA

La valeur DATA_ENCRYPT_CMP signifie que le serveur accepte les schémas d'authentification SERVER chiffrés et le chiffrement des données utilisateur. De plus, ce type d'authentification assure la compatibilité avec les produits antérieurs qui ne prennent pas en charge le type d'authentification DATA_ENCRYPT . Ces produits sont autorisés à se connecter avec le type d'authentification SERVER_ENCRYPT , sans chiffrer les données utilisateur. Les produits prenant en charge le nouveau type d'authentification doivent l'utiliser. Ce type d'authentification est valide uniquement dans le fichier de configuration du gestionnaire de base de données du serveur et n'est pas valide pour la commande CATALOG DATABASE .

Vous ne pouvez pas définir le paramètre authentication sur DATA_ENCRYPT si vous définissez le paramètre alternate_auth_enc sur AES_CMP ou AES_ONLY.

La valeur CLIENT indique que toutes les authentifications ont lieu sur le client. Aucune authentification n'a besoin d'être effectuée sur le serveur.
Attention: avec l'édition de Db2 11.5.9, le type d'authentification CLIENT est obsolète. N'utilisez pas ce type d'authentification à l'avenir, car il n'est pas sécurisé dans de nombreuses situations et pourrait être supprimé dans une version ultérieure.

La valeur KERBEROS signifie que l'authentification est effectuée sur un serveur Kerberos à l'aide du protocole de sécurité Kerberos . Avec un type d'authentification KRB_SERVER_ENCRYPT sur le serveur et les clients qui prennent en charge le système de sécurité Kerberos , le type d'authentification système effectif est KERBEROS. Si les clients ne prennent pas en charge le système de sécurité Kerberos , le type d'authentification du système est équivalent à SERVER_ENCRYPT.

La valeur GSSPLUGIN signifie que l'authentification est effectuée à l'aide d'un mécanisme de sécurité GSSAPI externe. Avec le type d'authentification GSS_SERVER_ENCRYPT sur le serveur et les clients qui prennent en charge le mécanisme de sécurité GSSPLUGIN , le type d'authentification système effectif est GSSPLUGIN si les clients prennent en charge l'un des plug-in du serveur. Si les clients ne prennent pas en charge le mécanisme de sécurité GSSPLUGIN , le type d'authentification du système est équivalent à SERVER_ENCRYPT.

Recommandation: En règle générale, la valeur par défaut (SERVER) est appropriée pour les clients locaux. Si des clients distants se connectent au serveur de base de données, SERVER_ENCRYPT est la valeur suggérée pour protéger l'ID utilisateur et le mot de passe.
Remarque: SERVER_ENCRYPT protégera uniquement la paire ID utilisateur-mot de passe. Si vous êtes préoccupé par le fait que d'autres données en texte clair soient utilisées, utilisez SSL.