DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件

核心提示： 为了进行基于 SPKM 的身份验证，通常需要： 在 DB2 UDB 服务器中：一张 X.509 证书，DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件(5)，一个 PKI（Public Key Infrastructure）环境，以及一个支持 S

为了进行基于 SPKM 的身份验证，通常需要：

在 DB2 UDB 服务器中：一张 X.509 证书，一个 PKI（Public Key Infrastructure）环境，以及一个支持 SPKM 的服务器端 GSS-API 安全插件。

在 DB2 UDB 客户机中：一张 X.509 证书，一个 PKI 环境，以及一个支持 SPKM 的客户端 GSS-API 安全插件。

为了进行基于 LIPKEY 的身份验证，通常需要：

在 DB2 UDB 服务器中：一张 X.509 证书，一个 PKI 环境，以及一个支持 LIPKEY 的服务器端 GSS-API 安全插件。DB2 服务器还需要具有对用户 ID/口令数据库的访问权，以进行客户端身份验证。通常，支持 LIPKEY 机制的 GSS-API 产品会提供用户 ID/口令数据库的详细信息。

在 DB2 UDB 客户机中：一个支持 LIPKEY 的客户端 GSS-API 安全插件。注意，客户机不需要具有任何 X.509 证书，但是可能需要具有 PKI 环境，以确认服务器的 X.509 证书。通常，这将由支持 LIPKEY 机制的 GSS-API 产品进行详细记载。

下图描绘的高级视图是，当使用支持 SPKM 或 LIPKEY 的 GSS-API 插件时，DB2 UDB 身份验证的工作原理。

图 2. 使用 SPKM 安全机制的 DB2 UDB 身份验证的高级视图

图 3. 使用 LIPKEY 安全机制的 DB2 UDB 身份验证的高级视图

由上面两图可知：身份验证是通过交换 GSS-API 令牌来实现，这对于 GSS-API 安全模型非常典型。提请大家注意的关键点是：