DB2 UDB 安全性: 使用 GSS-API 安全机制(SPKM/LIPKEY)的安全插件
2008-11-10 16:32:20 来源:WEB开发网对于 SPKM 安全机制,DB2 UDB 客户机和 DB2 UDB 服务器是基于其所持有的 X.509 证书来完成身份验证的。
对于 LIPKEY 机制,X.509 证书仅用于服务器身份验证,而客户机身份验证是通过由客户输入的用户 ID 和口令来完成的(因此将其视为一种低基础设施公钥机制)。而且,LIPKEY 机制被设计成使用户 ID、口令及身份验证结果的数据交换均在客户机和服务器之间的安全网络通道上进行。
除了将在本节列出的少数修改内容之外,开发支持 SPKM 或 LIPKEY 的 GSS-API 插件类似于开发用于 DB2 UDB 的 Kerberos 安全插件。下面的讨论假设您熟悉 DB2 UDB 安全插件编程以及与 DB2 UDB 一起发布的 Kerberos 安全插件。关于更多信息,请参阅 DB2 UDB 文档(参见 参考资料)。
在开发 DB2 UDB 安全插件时,需要实现 DB2 UDB 将会调用的标准身份验证函数:db2secClientAuthPluginInit()、db2secClientAuthPluginTerm()、db2secServerAuthPluginInit()、db2secServerAuthPluginTerm(),等等。对于 GSS-API 身份验证插件,也需要实现在 DB2 UDB 文档中所提及的 GSS-API 函数:gss_init_sec_context()、gss_accept_sec_context()、gss_acquire_cred(),等等。您可在 IBMkrb5.c 中找到一个示例实现,IBMkrb5.c 与 DB2 UDB 一起发布的一个示例 Kerberos 安全插件。下面几点说明了在开发用于 DB2 UDB 支持 SPKM 或 LIPKEY 的 GSS-API 插件时需要考虑的关键问题。
获得一份支持 SPKM 或 LIPKEY 机制(或同时支持两者)的 GSS-API 产品的副本,并设置所需的 PKI 环境。
在实现用于插件的 db2secServerAuthPluginInit() 函数时:
请确保明确地获得了用于所希望的安全机制的凭证。为此,请向 gss_acquire_cred() 传递适当的机制 OID(如在 GSS-API 产品的头文件中所定义的)。注意,若指定 GSS_C_NO_OID_SET 作为所希望机制的 OID,那么 gss_acquire_cred() 将会为默认的安全机制(通常是 Kerberos)取得凭证。
- ››DB2 最佳实践: 使用 DB2 pureXML 管理 XML 数据的...
- ››DB2 9.5 SQL Procedure Developer 认证考试 735 准...
- ››DB2 9.5 SQL Procedure Developer 认证考试 735 准...
- ››DB2 9.5 SQL Procedure Developer 认证考试 735 准...
- ››DB2 基础: 表空间和缓冲池
- ››DB2 XML 编程,第 1 部分: 理解 XML 数据模型
- ››DB2 pureScale 实战
- ››DB2 存储过程中如何使用 Optimization Profile
- ››DB2 pureScale 新特性 -- Member Restart
- ››DB2 Express-C 9.7.2 新增特性
- ››DB2 9.7 新特性 - 内联 LOB 的使用
- ››DB2 for Linux, UNIX, and Windows 的锁事件,第 ...
更多精彩
赞助商链接