根据《循序渐进DB2》(牛新庄)第13章内容整理
身份认证(authentication)
1.什么时候进行身份认证
DB2身份认证 控制数据库安全性策略的以下方面:
- 谁有权访问实例或数据库
- 在哪里以及如何校验用户的 密码
在发出attach和connect命令时,它借助于底层操作系统的安全特性实现对DB2用户的身份认证。attach命令用来连接实例。connect命令用来连接实例中的数据库。
下面的示例展示了DB2对发出这些命令的用户进行身份验证的不同方式,这些示例在数据库管理程序配置文件中使用默认的身份认证类型SERVER。最后一个示例说明了如何使用DB2修改服务器操作系统上的密码。
用创建DB2实例时的用户ID登录到安装DB2的机器上。发出以下命令:
[db2inst1@db22 ~]$ db2 connect to sample
Database Connection Information
Database server = DB2/LINUXX8664 11.1.1.1
SQL authorization ID = DB2INST1
Local database alias = SAMPLE这里,虽然没有显示的提供用户名和密码,但是隐式地执行了身份认证。使用登录机器的用户ID,并假设这个ID和密码已经经过了操作系统的检验。
显示的命令为:
db2 connect to sample user db2inst1 using password dbpwd2.DB2身份认证类型
2.1 客户机、服务器
2.2 身份认证类型
DB2能够根据用户是试图连接数据库,还是执行实例连接和实例级操作,指定不同的身份认证机制。在默认情况下,实例对于所有实例级和连接级请求使用一种身份认证类型,这由数据库管理配置参数AUTHENTICATION来指定。DB2 V9.1中引入了数据库管理程序配置参数SRVCON_AUTH。这个参数专门处理对数据库的连接。例如,如果在DBM CFG中进行以下设置:
DB2 GET DBM CFG
Server Connection Authencation (SRVCON_AUTH) = KERBEROS
Database manager authentication (AUTHENTICATION) = SERVER_ENCRYPT那么在连接实例时会使用SERVER_ENCRYPT。但是在连接数据库时会使用KERBEROS身份认证。如果服务器是没有正确的初始化KERBEROS,但是提供了有效的用户ID/口令,那么运行这个用户连接实例,但是不允许他连接数据库。身份认证类型确定在何处验证用户ID/口令对。所支持的主要身份验证类型有:- SERVER
- SERVER_ENCRYPT
- KERBEROS
- KRB_SERVER_ENCRYPT
- CLIENT
身份认证是在服务器和客户机处同时设置的。
服务器
每个实例仅允许一种类型的身份认证,也就是说,设置适用于该实例下定义的所有数据库。在数据库管理器配置文件中使用AUTHENTICATION参数指定该设置。
db2 update database manager congiguration authentication auth_type客户机
在客户机上编目的各数据库拥有自己的身份认证类型,使用catalog database 命令指定。
db2 update database db_name at node node_name authentication auth_type1)使用SERVER选项进行行身份认证
使用SERVER选项时,用户ID和口令将发送到服务器进行校验。考虑以下示例:
(1)用户使用用户名peter和口令peterpwd登录到工作站
(2)peter随后使用用户ID db2user和口令db2pwd连接到SAMPLE数据库,这是在远程DB2服务器上定义的。
(3)db2user和 db2pwd在DB2服务器上被校验。
若您想避免用户ID和口令在网络上被窃听,可使用SERVER_ENCRYPT身份认证类型,这样用户ID和口令就都会被加密.
2)使用Kerberos进行身份验证
是一种外部安全性协议,它使用通用密码术创建共享的加密密钥。Kerberos安全协议作为第三方用户身份认证服务执行身份认证,它使用传统的密码术创建一个共享的密钥。这个密钥成为用户的凭证,在请求本地或网络服务时在所有情况下都使用它检验用户身份。Kereros提供了安全的身份认证机制,这是因为用户ID和口令不再需要以明文形式通过网络传输。通过使用Kerberos安全协议,可以实现对远程DB2数据库服务器的单点登录。
如上所述,Kerberos身份认证在DB2中是使用插件架构实现的。默认的Kerberos插件的源代码在samples/security/plugins目录中,称为IBMkrb5.c。在DB2中使用Kerberos之前,必须在客户机和服务器上同时启用和支持Kerberos。为此,必须满足以下条件:
- 客户机和服务器必须属于同一个域(用windows术语来说,是可信域)
- 必须设置适当的主体(Kerberos中的用户ID)
- 必须创建服务器的keytab文件,实例所有者必须能够读这个文件
- 所有机器必须有同步的时钟
DB2客户机和服务器均支持Kerberos安全协议时,即可使用Kerberos身份认证类型。某些客户机可能并不支持Kerberos,但依然需要访问DB2服务器。为确保所有类型的客户机都能安全的连接,将DB2服务器的身份认证类型设置为KRB_SERVER_ENCRYPT.这允许所有启用了Kerberos的客户机使用Kerberos进行身份验证,而其他客户机使用SERVER_ENCRYPT身份牙周,如下图所示:
| 客户机设置 | 服务器设置 | 客户机/服务器解决方案 |
|---|---|---|
| kerberos | KRB_SERVER_ENCRYPT | KERBEROS |
| Any other setting | KRB_SERVER_ENCRYPT | KRB_SERVER_ENCRYPT |
设置Kerberos身份认证
为了在DB2中启用Kerberos身份认证,必须先告诉客户机在哪里寻找将使用的Kerberos插件,在客户机上,运行以下命令:
db2 update dbm cfg using CLNT_KRB_PLUGIN IBMkrb5 在上面的示例中,使用默认的Kerberos插件。如果使用的Kerberos需要实现特殊功能,DBA可以通过修改这个插件来执行特殊功能。
还可以告诉客户机它正在针对哪个服务器主体进行身份认证。这个选项可以避免Kerberos身份认证的第一步,即客户机寻找他要连接的实例所在的服务器主体。在客户机上对数据库进行编目时可以指定AUTHENTICATION参数。它的格式是:
DB2 CATALOG DB dbname AT NODE N1 AUTHENTIVATION KERBEROS TARGET PRINCIPAL service/host@REALM
