セキュリティ設定

UDB DRDA AR using SNA (直接接続)

DB2 ConnectからDRDAにSNA接続する場合、関連するセキュリティパラメータが2つある。1つは、ノードレベルで設定されるSECURITYパラメータであり、もう1つはデータベースレベルで設定されるAUTHENTICATIONパラメータである、それぞれのパラメータの意味は以下の通り:

SECURITY=NONE
DRDA接続では設定することができない
SECURITY=SAME
IDのみが接続に使用される。但し、これを使用するためには、VTAM APPL定義でSECACPT=ALREDYV、LUNAMESテーブルでUSERSECURITY='A'を指定する必要がある。
SECURITY=PROGRAM
IDとPASSWORDが接続に使用される
AUTHENTICATION=CLIENT
認証はクライアントで行われる。サーバにパスワードが送られないため、SECURITY=PROGRAMは使用できない。
AUTHENTICATION=SERVER
原則として認証はクライアントで行われるが、SECURITY=PROGRAMであれば、DRDA側でも認証が行われる。
AUTHENTICATION=DCS
認証は常にDRDAサーバで行われる 。コネクションにパスワードが載らないため、SECURITY=SAMEは使用できない

これらの関係を図示すると以下のようになる:

AR AUTHENTICATIONAR SECURITYAS ALREADYV認証場所
-NONE-(使用不可能)
CLIENTSAME必要AR
CLIENTPROGRAM-(使用不可能)
SERVERSAME必要AR
SERVERPROGRAM不要AR・AS両方
DCSSAME-(使用不可能)
DCSPROGRAM不要AS

UDB DRDA AR using SNA (gateway接続)

gateway接続の場合には、CAEクライアント→GATEWAYとGATEWAY→DRDA ASという2つの接続が行われることになる。ここで、CAEからDB2 UDBに接続する場合は、SECURITYパラメータは(たとえAPPCを使用していても)無視され、 AUTHENTICATIONパラメータでのSERVER指定とDCS指定は同一となる。但し、基本的にはCAEクライアントとGATEWAYのAUTHENTICATIONパラメータは同一であるべきである。

これらの関係を図示すると以下のようになる。

CAE AUTHENTICATIONAR AUTHENTICATIONAR SECURITYAS ALREADYV認証場所
--NONE-(使用不可能)
CLIENTCLIENTSAME必要AR
CLIENTCLIENTPROGRAM-(使用不可能)
CLIENTSERVER--(使用不可能)
CLIENTDCS--(使用不可能)
SERVER (or DCS)CLIENT--(使用不可能)
SERVER (or DCS)SERVERSAME必要AR
SERVER (or DCS)SERVERPROGRAM不要AR・AS両方
DCS (or SERVER)DCSSAME-(使用不可能)
DCS (or SERVER)DCSPROGRAM不要AS

UDB DRDA AR using TCP/IP (直接接続)

TCP/IPには、SNAとは異なり、プロトコルそれ自体の認証機構が無い。このため、AUTHENTICATIONパラメータのみで動作が定まる。但し、パスワードの無い接続を許可するためには、DSNTIP4パネルのTCP/IP already verified securityをYESに設定しておく必要がある。

AUTHENTICATION=CLIENT
認証はクライアントで行われる。
AUTHENTICATION=SERVER
原則として認証はクライアントで行われる。TCP/IPではプロトコルに認証情報が乗らないため、DRDA ASサーバ側で認証が行われることは無い。
AUTHENTICATION=DCS
認証は常にDRDAサーバで行われる。

これらの関係を図示すると以下のようになる:

AR AUTHENTICATIONAS DSNTIP4認証場所
CLIENTYESAR
SERVERYESAR
DCSYES or NOAS

UDB DRDA AR using TCP/IP (GATEWAY接続)

TCP/IPでも、UDB CAEとGATEWAYのAUTHENTICATION設定はあわせておく必要がある。これらの関係を図示すると以下のようになる:

CAE AUTHENTICATIONAR AUTHENTICATIONAS DSNTIP4認証場所
CLIENTCLIENTYESCAE CLIENT
SERVERSERVERYESDB2 CONNECT GATEWAY
DCSDCSYES or NODRDA AS

UDB DRDA AS

DB2 UDBをDRDAでのASとして使用しようとする場合、使用するSNAサブシステムによってはSERVER認証を行えない場合がある(Windows NTのすべてのサブシステムなど)。このため、サーバ側認証が必要な場合には、DCS認証を使用する必要がある。

一方、TCP/IPでの接続を行う場合、DCS接続とSERVER接続は同等になる。