Para customizar o comportamento de autenticação do sistema de segurança Db2® , você pode desenvolver seus próprios plug-ins de autenticação usando o GSS-API, ou comprar um de um terceiro.
Antes de iniciar
No caso de tipos de plug-in diferentes de Kerberos, você deve ter nomes de plug-in correspondentes no cliente e no servidor juntamente com o mesmo tipo de plug-in. Os plug-ins no cliente e no servidor não precisam ser do mesmo fornecedor, mas eles devem gerar e consumir tokens GSS-API compatíveis. Qualquer combinação de plug-ins Kerberos implementados no cliente e no servidor é aceitável desde que os plug-ins do Kerberos sejam padronizados. No entanto, diferentes implementações de mecanismos GSS-API menos padronizados, tais como os certificados x.509, podem ser apenas parcialmente compatíveis com os sistemas de banco de dados Db2 . Dependendo de seu uso pretendido, todos os plug-ins de autenticação GSS-API devem ser colocados no diretório de plug-in do cliente ou no diretório de plug-in do servidor. Se um plug-in for colocado no diretório de plug-in do cliente, ele será usado para verificação de autorização local e quando um cliente tentar se conectar com o servidor. Se o plug-in for colocado no diretório de plug-in do servidor, ele será usado para manipulação de conexões recebidas para o servidor e para verificar se um ID de autorização existe e é válido sempre que a instrução GRANT for emitida sem especificar a palavra-chave USER ou GROUP.Nota: Você deve parar o servidor Db2 ou quaisquer aplicativos usando os plug-ins antes de implementar uma versão new de um plug-in existente . O comportamento indefinido incluindo armadilhas ocorrerá se um processo ainda estiver usando um plug-in quando uma nova versão (com o mesmo nome) for copiada sobre ele. Essa restrição não é efetivada quando você implementa um plugin pela primeira vez ou quando o plug-in não está em uso.
Depois de adquirir plug-ins de autenticação GSS-API que são adequados para o seu sistema de gerenciamento de banco de dados, você pode implementá-los.
Procedimento
- Para implementar um plug-in de autenticação GSS-API no servidor de banco de dados, execute as seguintes etapas no servidor:
- Copie a biblioteca de plug-in de autenticação GSS-API no diretório de plug-in do servidor.
Você pode copiar inúmeros plug-ins do GSS-API para este diretório.
- Atualize o parâmetro de configuração do gerenciador de banco de dados srvcon_gssplugin_list com uma lista ordenada e delimitada por vírgula dos nomes dos plug-ins instalados no diretório de plug-in GSS-API.
- Ou:
- Configurar o parâmetro de configuração do gerenciador de banco de dados srvcon_auth para GSSPLUGIN ou GSS_SERVER_ENCRYPT é uma maneira de ativar o servidor para usar o método de autenticação GSSAPI PLUGIN. Ou:
- Configurar o parâmetro de configuração do gerenciador de banco de dados srvcon_auth para NOT_ESPECIFICADO e configurar authentication para GSSPLUGIN ou GSS_SERVER_ENCRYPT é uma maneira de ativar o servidor para usar o método de autenticação GSSAPI PLUGIN.
- Para implementar um plug-in de autenticação GSS-API em clientes de banco de dados, execute as seguintes etapas em cada cliente:
- Copie a biblioteca de plug-in de autenticação GSS-API no diretório de plug-in do cliente.
Você pode copiar inúmeros plug-ins do GSS-API para este diretório. O cliente seleciona um plug-in GSS-API para autenticação durante uma operação CONNECT ou ANEXA, selecionando o primeiro plug-in GSS-API contido na lista de plug-in do servidor que está disponível no cliente.
- Opcional: Catálogo os bancos de dados que o cliente irá acessar, indicando que o cliente só aceitará um plug-in de autenticação GSS-API como o mecanismo de autenticação.
Por exemplo:
CATALOG DB testdb AT NODE testnode AUTHENTICATION GSSPLUGIN
- Para autorização local em um cliente, servidor ou gateway usando um plugue de autenticação GSS-API, execute as seguintes etapas:
- Copie a biblioteca de plug-in de autenticação GSS-API no diretório de plug-in do cliente no cliente, servidor ou gateway.
- Atualize o parâmetro de configuração do gerenciador de banco de dados local_gssplugin com o nome do plug-in.
- Configure o parâmetro de configuração do gerenciador de banco de dados authentication para GSSPLUGIN, ou GSS_SERVER_ENCRYPT.