开发学院数据库 DB2 DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LI... 阅读

DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件

　2008-11-10 16:32:20　来源：WEB开发网　闂傚倸鍊搁崐椋庢濮橆兗缂氱憸宥堢亱闂佸湱铏庨崰鏍不椤栫偞鐓ラ柣鏇炲€圭€氾拷

闂傚倸鍊搁崐椋庣矆娓氣偓楠炲鏁撻悩鎻掔€梺姹囧灩閻忔艾鐣烽弻銉︾厵闁规鍠栭。濂告煕鎼达紕校闁靛洤瀚伴獮鎺楀箣濠靛啫浜鹃柣銏⑶圭壕濠氭煙閻愵剚鐏辨俊鎻掔墛缁绘盯宕卞Δ鍐冣剝绻涘畝濠佺敖缂佽鲸鎹囧畷鎺戭潩閹典焦鐎搁梻浣烘嚀閸ゆ牠骞忛敓锟�

婵犵數濮烽弫鍛婃叏椤撱垹绠柛鎰靛枛瀹告繃銇勯幘瀵哥畼闁硅娲熷缁樼瑹閳ь剙岣胯鐓ら柕鍫濇偪濞差亜惟闁宠桨鑳堕崝锕€顪冮妶鍡楃瑐闁煎啿鐖奸崺濠囧即閵忥紕鍘梺鎼炲劗閺呮稒绂掕缁辨帗娼忛埡浣锋闂佽桨鐒﹂幑鍥极閹剧粯鏅搁柨鐕傛嫹闂傚倸鍊搁崐椋庢濮橆兗缂氱憸宥堢亱闂佸湱铏庨崰鏍不椤栫偞鐓ラ柣鏇炲€圭€氾拷　　闂傚倸鍊搁崐鐑芥嚄閼哥數浠氱紓鍌欒兌缁垶銆冮崨鏉戠厺鐎广儱顦崡鎶芥煏韫囨洖校闁诲寒鍓熷铏圭磼濡搫顫岄梺璇茬箲濮樸劑鍩€椤掍礁鍤柛鎾跺枎椤繐煤椤忓嫬鐎銈嗘礀閹冲酣宕滄导瀛樷拺闂侇偆鍋涢懟顖涙櫠椤斿墽纾煎璺猴功缁夎櫣鈧鍠栭…閿嬩繆濮濆矈妲烽梺绋款儐閹瑰洤螞閸愩劉妲堟繛鍡楃箲濞堟﹢姊绘担椋庝覆缂傚秮鍋撴繛瀛樼矤閸撶喖宕洪埀顒併亜閹烘垵鈧綊寮抽鍕厱閻庯綆浜烽煬顒傗偓瑙勬磻閸楀啿顕ｉ崐鐕佹Ь闂佸搫妫寸粻鎾诲蓟閵娾晜鍋嗛柛灞剧☉椤忥拷

核心提示： 对于 SPKM 安全机制，DB2 UDB 客户机和 DB2 UDB 服务器是基于其所持有的 X.509 证书来完成身份验证的，DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件(6)，对于 LIPKEY 机制，X.509 证书仅用于服务器身份验证

对于 SPKM 安全机制，DB2 UDB 客户机和 DB2 UDB 服务器是基于其所持有的 X.509 证书来完成身份验证的。

对于 LIPKEY 机制，X.509 证书仅用于服务器身份验证，而客户机身份验证是通过由客户输入的用户 ID 和口令来完成的（因此将其视为一种低基础设施公钥机制）。而且，LIPKEY 机制被设计成使用户 ID、口令及身份验证结果的数据交换均在客户机和服务器之间的安全网络通道上进行。

除了将在本节列出的少数修改内容之外，开发支持 SPKM 或 LIPKEY 的 GSS-API 插件类似于开发用于 DB2 UDB 的 Kerberos 安全插件。下面的讨论假设您熟悉 DB2 UDB 安全插件编程以及与 DB2 UDB 一起发布的 Kerberos 安全插件。关于更多信息，请参阅 DB2 UDB 文档（参见参考资料）。

在开发 DB2 UDB 安全插件时，需要实现 DB2 UDB 将会调用的标准身份验证函数：db2secClientAuthPluginInit()、db2secClientAuthPluginTerm()、db2secServerAuthPluginInit()、db2secServerAuthPluginTerm()，等等。对于 GSS-API 身份验证插件，也需要实现在 DB2 UDB 文档中所提及的 GSS-API 函数：gss_init_sec_context()、gss_accept_sec_context()、gss_acquire_cred()，等等。您可在 IBMkrb5.c 中找到一个示例实现，IBMkrb5.c 与 DB2 UDB 一起发布的一个示例 Kerberos 安全插件。下面几点说明了在开发用于 DB2 UDB 支持 SPKM 或 LIPKEY 的 GSS-API 插件时需要考虑的关键问题。

获得一份支持 SPKM 或 LIPKEY 机制（或同时支持两者）的 GSS-API 产品的副本，并设置所需的 PKI 环境。

在实现用于插件的 db2secServerAuthPluginInit() 函数时：

请确保明确地获得了用于所希望的安全机制的凭证。为此，请向 gss_acquire_cred() 传递适当的机制 OID（如在 GSS-API 产品的头文件中所定义的）。注意，若指定 GSS_C_NO_OID_SET 作为所希望机制的 OID，那么 gss_acquire_cred() 将会为默认的安全机制（通常是 Kerberos）取得凭证。

上一页 1 2 3 4 5 6 7 下一页