Методы аутентификации
СУБД ЛИНТЕР поддерживает следующие методы аутентификации пользователя БД:
-
IDENTIFIED BY < пароль >: пароль пользователя хранится в БД. Для доступа к БД необходимо вводить имя и пароль пользователя;
-
IDENTIFIED BY SYSTEM: для доступа к БД надо вводить имя и пароль, указанные при регистрации в ОС. СУБД проверяет только наличие в БД пользователя с указанным именем, а аутентификацию выполняет ОС. Успешная аутентификация означает разрешение на доступ к БД;
-
IDENTIFIED BY PROTOCOL (только в среде ОС типа UNIX и только при локальном доступе): для доступа к БД вводить имя и пароль не требуется. Предполагается, что пользователь прошел аутентификацию средствами ОС. Идентификация и аутентификация выполняются по имени пользователя ОС, от которого работает клиентское приложение. Пользователь с данным именем должен быть создан в БД;
-
IDENTIFIED BY LDAP: парольная аутентификация по LDAP-протоколу через LDAP-сервер. Для успешной аутентификации требуется наличие пользователя в БД ЛИНТЕР и в БД LDAP-сервера, при этом имя пользователя БД ЛИНТЕР должно соответствовать одному из атрибутов пользователя в БД LDAP-сервера (для аутентификации без предварительного поиска данный атрибут должен входить в состав уникального имени пользователя в БД LDAP-сервера).
В режиме без предварительного поиска сначала идет подключение к серверу LDAP_SERVER и попытка выполнить соединение с уникальным именем, сформированным как LDAP_PREFIX< имя >LDAP_SUFFIX, где < имя > и пароль вводятся пользователем. Удачное соединение означает удачную идентификацию и аутентификацию.
В режиме с предварительным поиском сначала идет подключение к серверу LDAP_SERVER и попытка выполнить соединение со специальными именем LDAP_SEARCHDN и паролем LDAP_SEARCHPW (либо анонимно, если эти учетные данные не заданы), после этого производится поиск пользователя в БД LDAP-сервера в каталоге LDAP_BASEDN с фильтром LDAP_FILTER. Чтобы для режима LDAP-аутентификации с предварительным поиском не требовалось задавать DN и пароль пользователя с правами поиска, необходимо разрешение на анонимный поиск в LDAP-базе. Найденное в результате поиска уникальное имя (если единственное) используется для попытки соединения с введенным пользователем паролем. Удачное соединение означает удачную идентификацию и аутентификацию;
-
IDENTIFIED BY KRB: идентификация и аутентификация по Kerberos-протоколу (по тикету, полученному при предварительной Kerberos-аутентификации).
Механизм идентификации и аутентификации по протоколу Kerberos:
-
при указании специального флага в команде OPEN интерфейса нижнего уровня или пустого имени пользователя в регистрационных данных ЛИНТЕР-серверу передается тикет Kerberos-сервера. Этот тикет используется ядром СУБД ЛИНТЕР для получения имени пользователя и его аутентификации с использованием механизмов Kerberos;
-
идентификация и аутентификация по Kerberos-протоколу возможны, если имя пользователя в БД Kerberos-сервера совпадает с именем пользователя БД ЛИНТЕР, и этому пользователю задан метод идентификации и аутентификации по Kerberos-протоколу. Слежение за соответствием имен пользователей в БД аутентификации Kerberos-сервера и БД ЛИНТЕР возлагается на администратора СУБД ЛИНТЕР;
-
для использования идентификации и аутентификации по Kerberos-протоколу в информационной системе должен быть установлен и настроен Kerberos-сервер (удаленный или локальный).
Примечание
Идентификация и аутентификация по Kerberos-протоколу не поддерживается для ЗОСРВ «Нейтрино».
-