根据《循序渐进DB2》（牛新庄）第13章内容整理

身份认证（authentication）

1.什么时候进行身份认证

  DB2身份认证 控制数据库安全性策略的以下方面：

• 谁有权访问实例或数据库
• 在哪里以及如何校验用户的 密码

  在发出attach和connect命令时，它借助于底层操作系统的安全特性实现对DB2用户的身份认证。attach命令用来连接实例。connect命令用来连接实例中的数据库。
  下面的示例展示了DB2对发出这些命令的用户进行身份验证的不同方式，这些示例在数据库管理程序配置文件中使用默认的身份认证类型SERVER。最后一个示例说明了如何使用DB2修改服务器操作系统上的密码。

  用创建DB2实例时的用户ID登录到安装DB2的机器上。发出以下命令：

[db2inst1@db22 ~]$ db2 connect to sample

   Database Connection Information

 Database server        = DB2/LINUXX8664 11.1.1.1
 SQL authorization ID   = DB2INST1
 Local database alias   = SAMPLE

这里，虽然没有显示的提供用户名和密码，但是隐式地执行了身份认证。使用登录机器的用户ID，并假设这个ID和密码已经经过了操作系统的检验。
显示的命令为：

db2 connect to sample user db2inst1 using  password dbpwd

2.DB2身份认证类型

2.1 客户机、服务器

2.2 身份认证类型

  DB2能够根据用户是试图连接数据库，还是执行实例连接和实例级操作，指定不同的身份认证机制。在默认情况下，实例对于所有实例级和连接级请求使用一种身份认证类型，这由数据库管理配置参数AUTHENTICATION来指定。DB2 V9.1中引入了数据库管理程序配置参数SRVCON_AUTH。这个参数专门处理对数据库的连接。例如，如果在DBM CFG中进行以下设置：

    DB2 GET DBM CFG
    Server Connection Authencation (SRVCON_AUTH) = KERBEROS
    Database manager authentication (AUTHENTICATION) = SERVER_ENCRYPT

那么在连接实例时会使用SERVER_ENCRYPT。但是在连接数据库时会使用KERBEROS身份认证。如果服务器是没有正确的初始化KERBEROS,但是提供了有效的用户ID/口令，那么运行这个用户连接实例，但是不允许他连接数据库。身份认证类型确定在何处验证用户ID/口令对。所支持的主要身份验证类型有：

• SERVER
• SERVER_ENCRYPT
• KERBEROS
• KRB_SERVER_ENCRYPT
• CLIENT

身份认证是在服务器和客户机处同时设置的。
服务器
  每个实例仅允许一种类型的身份认证，也就是说，设置适用于该实例下定义的所有数据库。在数据库管理器配置文件中使用AUTHENTICATION参数指定该设置。

db2 update database manager congiguration authentication auth_type

客户机
  在客户机上编目的各数据库拥有自己的身份认证类型，使用catalog database 命令指定。

db2 update database db_name  at node node_name authentication auth_type

1)使用SERVER选项进行行身份认证

  使用SERVER选项时，用户ID和口令将发送到服务器进行校验。考虑以下示例：
（1）用户使用用户名peter和口令peterpwd登录到工作站
（2）peter随后使用用户ID db2user和口令db2pwd连接到SAMPLE数据库，这是在远程DB2服务器上定义的。
（3）db2user和 db2pwd在DB2服务器上被校验。
  若您想避免用户ID和口令在网络上被窃听，可使用SERVER_ENCRYPT身份认证类型，这样用户ID和口令就都会被加密.

2)使用Kerberos进行身份验证

  是一种外部安全性协议，它使用通用密码术创建共享的加密密钥。Kerberos安全协议作为第三方用户身份认证服务执行身份认证，它使用传统的密码术创建一个共享的密钥。这个密钥成为用户的凭证，在请求本地或网络服务时在所有情况下都使用它检验用户身份。Kereros提供了安全的身份认证机制，这是因为用户ID和口令不再需要以明文形式通过网络传输。通过使用Kerberos安全协议，可以实现对远程DB2数据库服务器的单点登录。

如上所述，Kerberos身份认证在DB2中是使用插件架构实现的。默认的Kerberos插件的源代码在samples/security/plugins目录中，称为IBMkrb5.c。在DB2中使用Kerberos之前，必须在客户机和服务器上同时启用和支持Kerberos。为此，必须满足以下条件：

• 客户机和服务器必须属于同一个域（用windows术语来说，是可信域）
• 必须设置适当的主体（Kerberos中的用户ID）
• 必须创建服务器的keytab文件，实例所有者必须能够读这个文件
• 所有机器必须有同步的时钟
    DB2客户机和服务器均支持Kerberos安全协议时，即可使用Kerberos身份认证类型。某些客户机可能并不支持Kerberos，但依然需要访问DB2服务器。为确保所有类型的客户机都能安全的连接，将DB2服务器的身份认证类型设置为KRB_SERVER_ENCRYPT.这允许所有启用了Kerberos的客户机使用Kerberos进行身份验证，而其他客户机使用SERVER_ENCRYPT身份牙周，如下图所示：

设置Kerberos身份认证
   为了在DB2中启用Kerberos身份认证，必须先告诉客户机在哪里寻找将使用的Kerberos插件，在客户机上，运行以下命令：

db2 update dbm cfg using CLNT_KRB_PLUGIN IBMkrb5

  在上面的示例中，使用默认的Kerberos插件。如果使用的Kerberos需要实现特殊功能，DBA可以通过修改这个插件来执行特殊功能。
  还可以告诉客户机它正在针对哪个服务器主体进行身份认证。这个选项可以避免Kerberos身份认证的第一步，即客户机寻找他要连接的实例所在的服务器主体。在客户机上对数据库进行编目时可以指定AUTHENTICATION参数。它的格式是：

DB2 CATALOG DB dbname AT NODE N1 AUTHENTIVATION KERBEROS TARGET PRINCIPAL service/host@REALM

3在客户机上进行身份认证