Autenticación - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación

La autenticación es el proceso que utiliza IBM Db2 para confirmar que las credenciales presentadas para la identidad de un usuario son válidas para esa identidad de usuario. La validación real del usuario la realiza una instalación de seguridad ajena al sistema de base de datos DB2, a través de un complemento de seguridad de autenticación. La instalación de seguridad puede formar parte del sistema operativo o ser una instalación de seguridad de terceros, o puede ser un complemento personalizado para adaptarse a los niveles de seguridad personalizados. La configuración del administrador de bases de datos AUTHENTICATION define el tipo de validación de usuario. Puede modificar la AUTHENTICATION configuración en función del enfoque de instalación de seguridad que utilice.

Una vez que un usuario se autentica en la base de datos, el ID de usuario se asigna a un ID de autorización de Db2, que es el ID de usuario en mayúsculas. También se adquieren los grupos de usuarios, que se definen externamente en la instalación de seguridad. Db2 usa el ID de autorización para realizar comprobaciones de autorización en los objetos de la base de datos en función de la pertenencia al grupo (si está definida) o del rol.

Las siguientes opciones de autenticación se pueden utilizar con las bases de datos LUW de Db2.

Sistema operativo

La autenticación del sistema operativo (SO) es el enfoque de autenticación predeterminado de la base de datos de Db2 cuando la validación del usuario se realiza mediante una contraseña. La información de usuario y grupo se define en el sistema operativo. Cuando un usuario se autentica correctamente, también se adquieren los detalles de pertenencia al grupo. Este enfoque conlleva la sobrecarga de administrar toda la información de usuarios y grupos a nivel del sistema operativo. También requiere que vuelva a crear esta información cada vez que se reconstruya el servidor de la base de datos.

Kerberos

La autenticación Kerberos se utiliza cuando el cliente y el servidor están en un sistema operativo compatible con el protocolo de seguridad Kerberos. La validación del usuario se realiza mediante un vale Kerberos, lo que elimina la necesidad de enviar las credenciales del usuario a través de la red como texto claro. Este protocolo utiliza el inicio de sesión único para conectarse a un servidor de base de datos Db2 remoto. La autenticación Kerberos solo valida al usuario y no se puede adquirir la pertenencia a un grupo.

LDAP

Db2 admite la autenticación de usuarios basada en el Protocolo ligero de acceso a directorios (LDAP) y la funcionalidad de búsqueda de miembros de grupos. Puede utilizar módulos de complementos de seguridad LDAP o LDAP transparente.

Plugin de seguridad LDAP

El módulo de complemento de seguridad LDAP es una forma estándar de acceder a la información de usuarios y grupos en un servidor Microsoft Active Directory. Este enfoque requiere que todos los usuarios estén definidos en LDAP, lo que elimina la necesidad de mantener cualquier información de usuario en el sistema operativo. Puede centralizar la administración de la información de usuarios y miembros de grupos. Los módulos de complementos están disponibles para la autenticación del lado del servidor, la autenticación del lado del cliente y la búsqueda de grupos. Cada módulo se puede configurar en función de sus requisitos. Con este enfoque, no se pueden definir algunos usuarios en el sistema operativo y otros en LDAP. Es importante mantener una alta disponibilidad del servidor LDAP (por ejemplo AWS Directory Service for Microsoft Active Directory) para garantizar la autenticación ininterrumpida de los usuarios en la base de datos de Db2.

 

El complemento de seguridad LDAP se encuentra entre la base de datos de Db2 y el directorio del servidor LDAP.

LDAP transparente

El enfoque LDAP transparente integra LDAP en el nivel del sistema operativo, de modo que las solicitudes de autenticación del sistema operativo y de Db2 utilizan el mismo mecanismo. En este enfoque, se configura el servidor Db2 para autenticar a los usuarios y adquirir sus grupos a través del sistema operativo. A continuación, el sistema operativo realizará la autenticación a través del servidor LDAP. El LDAP transparente se puede habilitar con una configuración mínima de Db2 configurando el registro en el DB2AUTH valor. OSAUTHDB Este enfoque es más sólido que el complemento LDAP porque Db2 puede seguir autenticando a los usuarios localmente a nivel del sistema operativo si se produce una interrupción imprevista en el servidor LDAP.

Desde la base de datos, el complemento de seguridad del sistema operativo se comunica con el sistema operativo y el directorio del servidor LDAP.

Complemento personalizado

Puede desarrollar sus propios módulos de complementos de seguridad personalizados e implementarlos para validar los usuarios y buscar miembros de grupos. La validación de los usuarios se puede realizar mediante las credenciales de usuario o la interfaz genérica de programación de aplicaciones del servicio de seguridad (GSSAPI).

Token

A partir de la versión 11.5.4 de Db2, puede realizar la autenticación sin el nombre de usuario y la contraseña mediante la autenticación de inicio de sesión único (SSO) con el token web JSON (JWT). Los tokens están firmados digitalmente por su proveedor de identidad externo (IdP). Db2 está configurado para confiar en el IdP externo y usar su clave pública para verificar el token. El cliente envía el token, representado como una cadena y un tipo de token, al servidor de la base de datos, que a su vez valida la autenticación y establece una conexión correcta en función de la validez del token. Recomendamos encarecidamente habilitar el TLS para proteger el JWT mientras se envía a través de la red. Db2 no puede aceptar el JWT en un formato cifrado.

El siguiente diagrama muestra el flujo de trabajo de JWT.

""
  1. Los usuarios se autentican mediante el inicio de sesión único desde sus navegadores web.

  2. El IdP devuelve un JWT firmado al navegador.

  3. El JWT se envía a la aplicación a través de HTTPS o SAML 2.0.

  4. La autenticación en la base de datos Db2 utiliza el token JWT.