返回
db2 9数据库服务器管理之db2安全性

db2 9数据库服务器管理之db2安全性

ID:18273941

大小:548.50 KB

页数:10页

时间:2018-09-16

db2 9数据库服务器管理之db2安全性_第1页
db2 9数据库服务器管理之db2安全性_第2页
db2 9数据库服务器管理之db2安全性_第3页
db2 9数据库服务器管理之db2安全性_第4页
db2 9数据库服务器管理之db2安全性_第5页
资源描述:

《db2 9数据库服务器管理之db2安全性》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、DB29数据库服务器管理之DB2安全性http://database.51cto.com/art/200711/60963.htm2007-11-2714:46佚名天极网DB2安全性是通过组合外部安全性服务与内部DB2授权机制来处理的。外部安全性服务对希望访问DB2服务器的用户进行身份验证,DB2外部的安全性软件负责处理身份验证。本文详细讲解了权限管理知识,供大家参考!DB2安全性概述DB2安全性是通过组合外部安全性服务与内部DB2授权机制来处理的。外部安全性服务对希望访问DB2服务器的用户进行身份验证,DB2外部的安全性软件负责处理身份验证。该软件可以是操作系统的安全性设施,

2、也可是Kerberos等独立产品。成功校验了用户ID和口令后,内部DB2进程将接管控制,并确保用户有权执行所请求的操作。图1身份验证类型身份验证类型确定在何处验证用户ID/口令对。所支持的身份验证类型有:SERVER(默认)SERVER_ENCRYPTKERBEROSKRB_SERVER_ENCRYPTCLIENT身份验证类型是在服务器和客户机处同时设置的。服务器每个实例仅允许一种类型的身份验证,也就是说,设置适用于该实例下定义的所有数据库。在数据库管理器配置文件中使用AUTHENTICATION参数指定该设置。db2updatedatabasemanagerconfigura

3、tionauthenticationauth_type客户机在客户机处编目的各数据库拥有自己的身份验证类型,使用catalogdatabase命令指定。db2catalogdatabasedb_nameatnodenode_nameauthenticationauth_type使用SERVER选项进行身份验证使用SERVER选项时,用户ID和口令将发送到服务器进行校验。考虑以下示例。图21、用户使用用户名peter和口令peterpwd登录到工作站。2、peter随后使用用户IDdb2user和口令db2pwd连接到SAMPLE数据库,这是在远程DB2服务器上定义的。3、db2

4、user和db2pwd通过网络发送到服务器。4、db2user和db2pwd在DB2服务器上校验。若您想保护用户ID和口令免于被窃听,可使用身份验证类型SERVER_ENCRYPT,这样用户ID和口令就都会被加密。使用Kerberos进行身份验证Kerberos是一种外部安全性设施,它使用通用密码术创建共享的加密密钥。Kerberos提供了安全的身份验证机制,这是因为用户ID和口令不再需要以明文形式通过网络传输。通过使用加密密钥,它使单点登录到远程DB2服务器成为可能。以下示意图展示了Kerberos身份验证在DB2中的工作原理。图3DB2客户机和服务器均支持Kerberos安

5、全协议时,即可使用KERBEROS身份验证类型。某些客户机可能并不支持Kerberos,但依然需要访问DB2服务器。为确保所有类型的客户机均能安全地连接,将DB2服务器的身份验证类型设置为KRB_SERVER_ENCRYPT。这将允许所有启用了Kerberos的客户机使用Kerberos进行身份验证,而其他客户机则使用SERVER_ENCRYPT身份验证。下面给出了与Kerberos相关的不同的客户机与服务器身份验证设置摘要。图4在客户机上进行身份验证这一选项允许在客户机上进行身份验证。用户成功登录到客户机后,即可轻松连接到数据库,而无需再次提供口令。图5这里有一个重要问题需要

6、理解:存在不具有可靠的安全性设施的客户机系统,例如Windows9x和ClassicMacOS。它们叫做不受信任的客户机。任何人只要可以访问这些系统,就可以不经过身份验证直接连接到DB2服务器。谁知道他们会执行怎样的破坏性操作(例如,删除一个数据库)?为提供允许受信任的客户机自行执行身份验证、同时强制不受信任的客户机在服务器处进行身份验证的灵活性,引入了另外两种数据库管理器配置参数:TRUST_ALLCLNTSTRUST_CLNTAUTH这两个参数仅在身份验证设置为CLIENT时被评估。信任客户机TRUST_ALLCLNTS确定信任哪种类型的客户机。参数有以下可能值:◆YES信

7、任所有客户机。这是默认设置。身份验证将在客户机处执行。但有一个例外,我们将在介绍TRUST_CLNTAUTH时更详细地予以讨论。◆NO仅信任具备可靠的安全性设施的客户机(受信任的客户机)。若不受信任的客户机连接,则必须提供用户ID和口令,以便在服务器进行身份验证。◆DRDAONLY仅信任在iSeries或zSeries平台上运行的客户机(例如,DRDA客户机)。其他任何客户机都必须提供用户ID和口令。设想一个场景,DB2服务器将身份验证设置为CLIENT、TRUST_ALLCLNTS设置为Y

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。