Bibliotecas de saída de buffer de

Com as bibliotecas de saída de buffer de comunicação, é possível examinar os buffers de comunicação para fornecer soluções como auditoria ou outras soluções de segurança que são baseadas no conteúdo dos buffers.

Importante: O tipo de autenticação DATA_ENCRYPT é reprovado e pode ser removido em um release futuro. Para criptografar dados em trânsito entre clientes e Db2 recomendamos que você use o suporte do sistema de banco de dados Db2 suporte do sistema de banco de dados ao Transport Layer Security (TLS). Para obter mais informações, consulte Criptografia de dados em trânsito

Db2 fornece acesso a cada buffer recebido de clientes, e cada buffer prestes a ser enviado para os clientes. Os buffers são fornecidos antes de serem criptografados com autenticação DATA_ENCRYPT ou TLS. Db2 usa o protocolo DRDA para se comunicar entre clientes e o servidor. Os buffers de comunicação que são transmitidos para a biblioteca de saída de buffer de comunicação são formatados de acordo com o protocolo DRDA. A biblioteca de saída de buffer de comunicação deve entender o protocolo DRDA que é usado para comunicação.

Db2 fornece os buffers independentemente do protocolo de comunicação. As bibliotecas de saída de buffer de comunicação funcionam de forma consistente com o TCPIP (IPv4 e IPv6), TLS, Inter-Process Communication (IPC), e denominado pipe.

Além dos buffers, o Db2 também disponibiliza informações de identidade, incluindo o nome de usuário e ID de autorização de sessão estabelecidos para a conexão com o banco de dados. Essas informações são úteis para cenários que envolvem plug-ins do GSS-API, como Kerberos. Nesse cenário, não há um nome de usuário padrão, mas sim bilhetes genéricos a partir dos quais o gerenciador de banco de dados deriva o nome de usuário. Este detalhe não está disponível unicamente olhando para o buffer de comunicação.

O gerenciador de banco de dados garante que apenas bibliotecas confiáveis são carregadas. As bibliotecas devem ser instaladas em um local específico que pode ser modificado por apenas o proprietário da instância. Além disso, apenas um usuário com autoridade SYSADM pode habilitar a biblioteca. Este nível de autoridade é o mesmo que é necessário para ativar a criptografia (DATA_ENCRYPT ou TLS).

A biblioteca de saída de buffer de comunicação pode finalizar uma conexão se qualquer buffer fornecido contém dados que a biblioteca considera prejudicial. Ambos os dados que são enviados para o servidor, e dados que são devolvidos ao cliente estão incluídos. Por exemplo, a biblioteca de saída de buffer de comunicação pode detectar que os dados retornados de uma instrução select são inadequados para o cliente receber. Um código de retorno da biblioteca indica para o gerenciador de banco de dados que a conexão deve ser finalizada. Os gerentes de banco de dados param isso ou qualquer outro buffers de comunicação para o cliente e finaliza a conexão.

Nota: Os fornecedores de terceiros tipicamente fornecem essas bibliotecas de saída de buffer de comunicação. Db2 faz fornecer amostras de bibliotecas no diretório sqllib/samples/security/commexit . Você pode optar por desenvolver suas próprias bibliotecas com as amostras como guia.