DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件

核心提示：简介DB2 UDB 提供一种框架，用于编写定制的安全插件，DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件，管理员可使用这些插件进行 DB2 UDB 身份验证，该框架是在 DB2 UDB V8.2 中引入的，用来提供以下功能： 组检索插件：检索给定用户的组成员信息， 客户机身

简介

DB2 UDB 提供一种框架，用于编写定制的安全插件，管理员可使用这些插件进行 DB2 UDB 身份验证。该框架是在 DB2 UDB V8.2 中引入的，也支持基于通用安全服务应用程序编程接口（Generic Security Service Application Programming Interface，GSS-API）的插件身份验证。

许多 DB2 UDB 管理员利用 GSS-API 插件进行基于 Kerberos 的身份验证。由于 NFS V4（Network File System Version 4, [IETF RFC-3530]）的顺利开发，以及 RFC 要求使用较新的 GSS-API 机制，如 SPKM（Simple Public Key Mechanism, [IETF RFC-2025]）和 LIPKEY（A Low Infrastructure Public Key Mechanism Using SPKM, [IETF RFC-2847]），DB2 UDB 很快会具有支持这些新的安全机制的 GSS-API 产品。

DB2 UDB 安全性系列文章 第 2 部分 介绍并解释了用于身份验证的 DB2 UDB 安全插件架构。本文将进一步介绍有关新的 GSS-API 安全机制的信息。然后还将描述：如何通过使用新的具有可定制的 DB2 UDB 安全插件的 GSS-API 安全机制来实现基于公钥技术的身份验证。

用于身份验证的 DB2 UDB 安全插件

身份验证是使用安全机制对用户提供的凭证进行确认的过程，这已在 DB2 安全系列文章的 第 1 部分 中进行了讨论。在 DB2 UDB 中，用户和组身份验证由 DB2 UDB 的外部设备以插件的形式来管理，如操作系统、域控制器或者 Kerberos 安全系统。

安全插件是 DB2 UDB 所加载的动态可加载库，用来提供以下功能：

组检索插件：检索给定用户的组成员信息。

客户机身份验证插件：管理 DB2 客户机上的身份验证。

服务器身份验证插件：管理 DB2 服务器上的身份验证。

DB2 UDB 支持两种插件身份验证机制：