El tipo de autentificación catalogado en la pasarela no se utiliza si la opción
DB2NODE o SQL_CONNECT_NODE de la API Set Client se ha establecido en el cliente. En
estos casos la negociación sigue siendo estrictamente entre el cliente y el servidor.
Se permiten los tipos de autentificación siguientes con DB2 Connect:
CLIENT
El nombre de usuario y la contraseña se validan en el cliente.
DATA_ENCRYPT
Permite cifrar los datos del usuario durante las comunicaciones
cliente/servidor. Este tipo de autentificación no está soportado en un
servidor de bases de datos IBM Power Systems.
KERBEROS
Permite al cliente iniciar la sesión en el servidor utilizando la
autentificación de Kerberos en lugar de la combinación tradicional de ID y
contraseña. Para utilizar este tipo de autentificación, tanto el servidor como
el cliente deben estar habilitados para Kerberos.
SERVER
El nombre de usuario y la contraseña se validan en la base de datos del
servidor System z o IBM Power Systems.
SERVER_ENCRYPT
Al igual que para la autentificación SERVER, el nombre de usuario y la
contraseña se validan en el servidor de bases de datos de System z o IBM
Power Systems, pero las contraseñas y los ID de usuario que se transfieren
se cifran en el cliente.
SERVER_ENCRYPT_AES
Los ID de usuario y las contraseñas se cifran mediante un algoritmo de
cifrado AES (Advanced Encryption Standard) en el cliente y se validan en
el servidor de bases de datos de System z.
La autentificación de Kerberos es exclusiva en que el cliente no pasa un ID de
usuario y una contraseña directamente al servidor. En lugar de esto, Kerberos
actúa como mecanismo de autentificación de otros fabricantes. El usuario especifica
un ID y una contraseña una vez en el terminal del cliente y Kerberos valida el
inicio de sesión. Después de esto, Kerberos pasa la autorización del usuario de
forma automática y segura a los servicios locales y de red solicitados. Esto significa
que el usuario no necesita volver a escribir el ID y la contraseña para iniciar la
sesión en un servidor DB2 remoto. Para utilizar el inicio de sesión único que la
autentificación de Kerberos proporciona, tanto DB2 Connect como el servidor de
bases de datos al que se conecta deben proporcionar soporte a Kerberos.
Nota: No se proporciona soporte al tipo de autentificación GSSPLUGIN.
Soporte a Kerberos
Kerberos es un protocolo de autenticación de red de otros fabricantes que utiliza
un sistema de claves secretas compartidas para autenticar de forma segura un
usuario en un entorno de red no protegido. Asegúrese de tener los requisitos
mínimos para utilizar el soporte Kerberos en su base de datos.
La capa de autenticación Kerberos que gestiona el sistema de entradas está
integrada en el mecanismo Windows 2000 Active Directory. El extremo del cliente
y del servidor de una aplicación se comunican con los módulos de cliente y de
137
Capítulo 8. Seguridad