DB2数据库安全性全面介绍

核心提示： 验证选项 因为验证可以由操作系统或第三方产品处理，所以 DB2 提供您可以在数据库管理器配置（dbm cfg）文件中使用 AUTHENTICATION 参数设置的不同验证选项，DB2数据库安全性全面介绍(3)，DB2 使用这一参数确定验证应该以何种方式、在何处发生， dbm cfg AUT

验证选项

因为验证可以由操作系统或第三方产品处理，所以 DB2 提供您可以在数据库管理器配置（dbm cfg）文件中使用 AUTHENTICATION 参数设置的不同验证选项。DB2 使用这一参数确定验证应该以何种方式、在何处发生。

dbm cfg AUTHENTICATION 参数的许多设置在逻辑上可以分组为以下四个不同类别：SERVER（服务器）、Client（客户机）、DCE、Kerberos。

服务器验证。该组提供两个主要选项：

SERVER（服务器）缺省安全性机制，指明验证应该使用服务器的操作系统在服务器上发生。如果用户标识和密码是在连接期间指定的，那么 DB2 将调用操作系统函数来验证提交的用户标识和密码。（在基于 Windows 的环境中，用户标识常被称为用户名。用户名和密码合起来常被称为用户账户。）

SERVER_ENCRYPT本质上同缺省选项是一样的，只有一点例外，即从客户机传到服务器的密码是加密的。DB2 在连接时使用单 DES（56 位）密码加密技术和 Diffie-Hellman 算法为加密算法生成密钥。RSA BSAFE 工具箱提供这一支持。

Client（客户机）验证。该组仅有的选项 CLIENT 指明验证将在客户机上发生。如果客户机驻留在原本就具有安全特性的操作系统（例如，AIX）上，那么它就是可信任客户机。通常，除 Microsoft Windows 95 和 98 被认为不可信任之外，所有客户机都是可信任的。

如果服务器接收到来自可信任客户机和不可信任客户机的请求，那么 TRUST_ ALLCLNTS 和 TRUST_CLNTAUTH 选项允许可信任客户机使用客户机验证（client authentication）获得访问权，而不可信任客户机则必须提供密码才能成功验证。请参阅 DB2 Administration Guide以了解细节。

DCE 验证选项。一些管理员愿意实现 DCE 安全性服务，原因是 DCE 提供用户和密码集中式管理，不传送明文密码和用户标识，并且向用户提供单次登录。DB2 使用第三方 DCE 产品来提供对 DCE 安全性服务的集成支持。您可以选择以下两种设置之一：