DATA_ENCRYPT
KERBEROS
La autentificación de Kerberos es exclusiva en que el cliente no pasa un ID de
usuario y una contraseña directamente al servidor. En lugar de esto, Kerberos
actúa como mecanismo de autentificación de otros fabricantes. El usuario introduce
un ID y una contraseña una vez en la terminal del cliente y Kerberos valida el
inicio de sesión. Después de esto, Kerberos pasa la autorización del usuario de
forma automática y segura a los servicios locales y de red solicitados. Esto significa
que el usuario no necesita volver a escribir el ID y la contraseña para iniciar la
sesión en un servidor DB2 remoto. Para utilizar el inicio de sesión único que la
autentificación de Kerberos proporciona, tanto DB2 Connect como el servidor de
bases de datos al que se conecta deben proporcionar soporte a Kerberos.
Conceptos relacionados:
v "Tipos de seguridad soportados con DB2 Connect" en la página 57
Información relacionada:
v "Consejos y sugerencias adicionales sobre la seguridad en OS/390 y z/OS" en la
v "Consideraciones sobre la seguridad en DB2 Connect para DB2 para OS/390 y
Soporte a Kerberos
La capa de autentificación de Kerberos que gestiona el sistema de entradas está
integrado en el mecanismo de Windows 2000 Active Directory. El extremo del
cliente y del servidor de una aplicación se comunican con los módulos de cliente y
de servidor SSP (Security Support Provider) de Kerberos respectivamente. La
interfaz SSPI (Security Support Provider Interface) proporciona una interfaz de alto
nivel para el SSP de Kerberos y otros protocolos de seguridad.
Instalación normal:
Para configurar DB2 con la autentificación de Kerberos, debe instalarse:
v Una política de autorización para DB2 (como un servicio) en el Active Directory
v Una relación de confianza entre los centros de distribución de claves de
En el caso de ejemplo más simple, debe configurarse por lo menos una relación de
confianza KDC, esto es, la relación entre el KDC que controla la estación de trabajo
cliente y el sistema iSeries, OS/390 o z/OS. OS/390 Versión 2 Release 10 o z/OS
Versión 1 Release 2 proporciona a Kerberos el proceso de las entradas a través del
recurso RACF que permite que el sistema principal actúe como un KDC de UNIX.
DB2 Connect proporciona, como es habitual, la funcionalidad del direccionador en
el valor de tres niveles. Cuando se utiliza la seguridad de Kerberos, no presupone
48
Guía del usuario
Permite cifrar los datos del usuario durante las comunicaciones
cliente/servidor.
Permite al cliente iniciar la sesión en el servidor utilizando la
autentificación de Kerberos en lugar de la combinación tradicional de ID y
contraseña. Para utilizar este tipo de autentificación, tanto el servidor como
el cliente deben estar habilitados para Kerberos.
página 55
z/OS" en la página 55
que esté compartido en una red y
Kerberos (KDC)