db2 c语言,DB2数据库安全（二）——身份认证

根据《循序渐进DB2》(牛新庄)第13章内容整理

身份认证(authentication)

1.什么时候进行身份认证

DB2身份认证 控制数据库安全性策略的以下方面：谁有权访问实例或数据库

在哪里以及如何校验用户的 密码

在发出attach和connect命令时，它借助于底层操作系统的安全特性实现对DB2用户的身份认证。attach命令用来连接实例。connect命令用来连接实例中的数据库。

下面的示例展示了DB2对发出这些命令的用户进行身份验证的不同方式，这些示例在数据库管理程序配置文件中使用默认的身份认证类型SERVER。最后一个示例说明了如何使用DB2修改服务器操作系统上的密码。

用创建DB2实例时的用户ID登录到安装DB2的机器上。发出以下命令：[db2inst1@db22 ~]$ db2 connect to sample Database Connection Information Database server = DB2/LINUXX8664 11.1.1.1 SQL authorization ID = DB2INST1 Local database alias = SAMPLE

这里，虽然没有显示的提供用户名和密码，但是隐式地执行了身份认证。使用登录机器的用户ID，并假设这个ID和密码已经经过了操作系统的检验。

显示的命令为：db2 connect to sample user db2inst1 using password dbpwd

2.DB2身份认证类型

2.1 客户机、服务器

2.2 身份认证类型

DB2能够根据用户是试图连接数据库，还是执行实例连接和实例级操作，指定不同的身份认证机制。在默认情况下，实例对于所有实例级和连接级请求使用一种身份认证类型，这由数据库管理配置参数AUTHENTICATION来指定。DB2 V9.1中引入了数据库管理程序配置参数SRVCON_AUTH。这个参数专门处理对数据库的连接。例如，如果在DBM CFG中进行以下设置：DB2 GET DBM CFG Server Connection Authencation (SRVCON_AUTH) = KERBEROS Database manager authentication (AUTHENTICATION) = SERVER_ENCRYPT那么在连接实例时会使用SERVER_ENCRYPT。但是在连接数据库时会使用KERBEROS身份认证。如果服务器是没有正确的初始化KERBEROS,但是提供了有效的用户ID/口令，那么运行这个用户连接实例，但是不允许他连接数据库。身份认证类型确定在何处验证用户ID/口令对。所支持的主要身份验证类型有：SERVER

SERVER_ENCRYPT

KERBEROS

KRB_SERVER_ENCRYPT

CLIENT

身份认证是在服务器和客户机处同时设置的。

服务器

每个实例仅允许一种类型的身份认证，也就是说，设置适用于该实例下定义的所有数据库。在数据库管理器配置文件中使用AUTHENTICATION参数指定该设置。db2 update database manager congiguration authentication auth_type

客户机

在客户机上编目的各数据库拥有自己的身份认证类型，使用catalog database 命令指定。db2 update database db_name at node node_name authentication auth_type

1)使用SERVER选项进行行身份认证

使用SERVER选项时，用户ID和口令将发送到服务器进行校验。考虑以下示例：

(1)用户使用用户名peter和口令peterpwd登录到工作站

(2)peter随后使用用户ID db2user和口令db2pwd连接到SAMPLE数据库，这是在远程DB2服务器上定义的。

(3)db2user和 db2pwd在DB2服务器上被校验。

若您想避免用户ID和口令在网络上被窃听，可使用SERVER_ENCRYPT身份认证类型，这样用户ID和口令就都会被加密.

2)使用Kerberos进行身份验证

是一种外部安全性协议，它使用通用密码术创建共享的加密密钥。Kerberos安全协议作为第三方用户身份认证服务执行身份认证，它使用传统的密码术创建一个共享的密钥。这个密钥成为用户的凭证，在请求本地或网络服务时在所有情况下都使用它检验用户身份。Kereros提供了安全的身份认证机制，这是因为用户ID和口令不再需要以明文形式通过网络传输。通过使用Kerberos安全协议，可以实现对远程DB2数据库服务器的单点登录。

如上所述，Kerberos身份认证在DB2中是使用插件架构实现的。默认的Kerberos插件的源代码在samples/security/plugins目录中，称为IBMkrb5.c。在DB2中使用Kerberos之前，必须在客户机和服务器上同时启用和支持Kerberos。为此，必须满足以下条件：客户机和服务器必须属于同一个域(用windows术语来说，是可信域)

必须设置适当的主体(Kerberos中的用户ID)

必须创建服务器的keytab文件，实例所有者必须能够读这个文件

所有机器必须有同步的时钟

DB2客户机和服务器均支持Kerberos安全协议时，即可使用Kerberos身份认证类型。某些客户机可能并不支持Kerberos，但依然需要访问DB2服务器。为确保所有类型的客户机都能安全的连接，将DB2服务器的身份认证类型设置为KRB_SERVER_ENCRYPT.这允许所有启用了Kerberos的客户机使用Kerberos进行身份验证，而其他客户机使用SERVER_ENCRYPT身份牙周，如下图所示：客户机设置服务器设置客户机/服务器解决方案kerberosKRB_SERVER_ENCRYPTKERBEROS

Any other settingKRB_SERVER_ENCRYPTKRB_SERVER_ENCRYPT

设置Kerberos身份认证

为了在DB2中启用Kerberos身份认证，必须先告诉客户机在哪里寻找将使用的Kerberos插件，在客户机上，运行以下命令：db2 update dbm cfg using CLNT_KRB_PLUGIN IBMkrb5

在上面的示例中，使用默认的Kerberos插件。如果使用的Kerberos需要实现特殊功能，DBA可以通过修改这个插件来执行特殊功能。

还可以告诉客户机它正在针对哪个服务器主体进行身份认证。这个选项可以避免Kerberos身份认证的第一步，即客户机寻找他要连接的实例所在的服务器主体。在客户机上对数据库进行编目时可以指定AUTHENTICATION参数。它的格式是：DB2 CATALOG DB dbname AT NODE N1 AUTHENTIVATION KERBEROS TARGET PRINCIPAL service/host@REALM

3在客户机上进行身份认证