更改开始

为具有sysplex负载均衡功能的客户端启用基于MFA的身份验证凭证缓存

Sysplex组认证支持在 Db2 数据共享环境中使用多重认证(MFA)和 RACF® PassTickets

准备工作

  • 更改开始对于未启用sysplex工作负载平衡或无缝故障转移的客户,请参阅为未启用sysplex工作负载平衡的客户启用MFA和 RACF PassTickets 凭证缓存中描述的替代方法。更改结束
  • Db2 提供的MFA支持基于 IBM Z® Multi-Factor Authentication 产品,该产品可增强登录安全性,满足法规和行业要求,并提供集中且简化的管理。 如果使用 IBM Z Multi-Factor Authentication ,则必须已在 MVS 或整个 z/OS® sysplex 上配置,并且必须根据客户端从远程应用程序提供用户身份验证凭据的方式进行配置。
  • 如果您使用的是 RACF PassTickets

关于本任务

MFA和 RACF PassTickets 是两种不同的登录认证方法,用于验证用户身份。 需要额外的认证凭证,以确保用户的账户在其中一个凭证被发现时不会受到损害。

sysplex组身份验证可消除 Db2 客户端启用sysplex工作负载平衡或无缝故障转移时出现的连接身份验证失败,可通过以下任一方法启用:
  • 非Java客户端的 IBM® 数据服务器驱动程序配置文件(db2dsdriver.cfg )中<wlb>部分的 enableWLB 关键字
  • enablesysplexWLB JDBC 数据库属性

如果没有sysplex组身份验证,连接身份验证请求将失败,因为执行sysplex工作负载平衡和无缝故障转移的驱动程序会尝试代表原始客户端应用程序连接与数据共享组的多个成员进行连接。 这些额外的连接尝试会失败,因为附加的身份验证凭证已过期或无效,因为它仅对初始连接请求有效,不能用于后续连接请求。

过程

  1. 确保 ICSF 加载库 SCSFMOD0 位于运行 Db2 的 LPAR 的 LINKLIST 中。
  2. 对于您要为其启用 sysplex 组身份验证的数据共享组的每个成员,请确保 Db2 正在运行,且其 Db2 子系统参数 (ZPARM) 模块中的 AUTHEXIT_CACHEREFRESH ( DSN6SPRM ) 设置为 ALL。

若要使用 RACF PassTickets 作为密码,而无需使用 IBM Multi-Factor Authentication for z/OS ,请在 RACF 上完成以下附加步骤:

  1. 启用 Db2 作为服务数据共享组,该组可通过定义PTKTDATA配置文件接收带有连接认证令牌的 PassTickets ,该配置文件允许 Db2 数据共享组的成员在分布式客户端访问时评估密码是否为 PassTicket。 如果此权限配置文件不存在,当 PassTicket 使用超过10分钟时,将出现授权失败。
    RDEFINE PTKTDATA IRRPTAUTH.applname.* 
    RDEFINE PTKTDATA IRRPTAUTH.applname.userid
    其中:
    • applname 是数据共享组中每个成员的通用LU或IPNAME。 数据共享组的所有成员必须使用相同的通用LU或IPNAME进行定义。
    • userid 是一个星号(*)或特定的客户用户ID,您希望将其加入服务数据共享组,并使用 PassTicket 作为密码进行身份验证。

    在启动服务 Db2 数据共享组成员时,此配置文件必须可供系统中的所有系统使用。

  2. 输入以下命令之一,允许在DDF地址空间(ssnmDIST 中STARTED配置文件中指定的用户ID读取您在步骤3中创建的配置文件:
    
PERMIT IRRPTAUTH.applname.* CLASS(PTKTDATA) -
     ID(dist_userid) ACCESS(READ)
    
PERMIT IRRPTAUTH.applname.userid CLASS(PTKTDATA) -
     ID(dist_userid) ACCESS(READ)

    其中, dist_userid 是用户在 DDF 地址空间 (ssnmDIST) 中STARTED配置文件中指定的用户ID。如果您为同一 Db2 数据共享组中的成员 ssnmDIST 地址空间指定了不同的STARTED用户ID,则必须为每个用户ID授予PTKTDATA配置文件的读取权限

  3. 发出SETROPTS命令,启用您在之前步骤中创建的PTKTDATA配置文件:
    SETROPTS RACLIST(PTKTDATA) REFRESH
    注:
    • 当客户端在认证请求中超过两小时未使用特定的 PassTicket-based 认证令牌时,该令牌将过期并从缓存中删除。
    • 如果 Db2 收到 RACF ALTUSER REVOKE或DELUSER命令,且授权ID与缓存中的授权ID条目匹配,则整个数据共享组中的该条目将过期。

示例

以下示例显示了 RACF 命令:为任何用户ID定义 SYEC1GLU 的PTKTDATA配置文件;授予 DDF地址空间(ssnmDIST STARTED配置文件用户ID(SYSDSP)对该PTKTDATA配置文件的读取权限;启用新的PTKTDATA配置文件:
RDEFINE PTKTDATA IRRPTAUTH.SYEC1GLU.*
PERMIT IRRPTAUTH.SYEC1GLU.* CLASS(PTKTDATA) -
     ID(SYSDSP) ACCESS(READ)
SETROPTS RACLIST(PTKTDATA) REFRESH
更改结束