Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Datenanbieter für DB2 (Data Provider) verwenden, um Windows Data Consumer-Anwendungen mit remoteen IBM DB2 relationalen Datenbankverwaltungsservern zu verbinden. Der Datenanbieter fungiert als DRDA-Anwendungsanforderungsclient (Distributed Relational Database Architecture), der das DRDA-Protokoll und die Formate unterstützt, die mit IBM DB2-Serverprodukten kompatibel sind, die als DRDA-Anwendungsserver funktionieren.
Sie können den Datenanbieter verwenden, indem Sie strukturierte Abfragesprachenanweisungen ausgeben. Diese Anweisungen umfassen Datendefinitionssprachenanweisungen für Verwaltung und Datenmanipulationsverwaltungsanweisungen für Lese- und Schreibvorgänge. Der Datenanbieter verbindet die Windows-Clientanwendungen mit den DB2-Serverdatenbanken über ein Transmission Control Protocol/Internet Protocol (TCP/IP)-Netzwerk oder über eine Systems Network Architecture (SNA) mit Hochleistungsrouting über Internetprotokoll (HPR/IP). Dabei wird mindestens eines der optionalen Sicherheitsfeatures genutzt, die im weiteren Verlauf dieses Themas beschrieben werden.
Sicherheit
Benutzerkonto
Die Datenanbietertools, das Datenzugriffstool und Datenlinks werden im Kontext eines Benutzerkontos ausgeführt. Das Benutzerkonto muss Mitglied der lokalen Gruppen HIS-Administratoren und HIS-Runtime-Benutzer sein.
Ordnerzugriffssteuerungsliste
Für das Benutzerkonto sind die Einstellungen für die Ordnerzugriffssteuerungsliste erforderlich, die der lokalen GRUPPE der HIS-Administratoren und der lokalen GRUPPE für HIS-Runtime-Benutzer zugeordnet sind.
Program Files\Microsoft Host Integration Server 2020
Programme\Microsoft Host Integration Server 2020\system
Programme\Microsoft Host Integration Server 2020\SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Dokumente\Hostintegrationsserver\Datenquellen
Schutz
Der Datenanbieter gewährt der öffentlichen DB2-Gruppe Ausführungsrechte für DB2-Pakete.
Wenn Sie DB2-Pakete erstellen, legen das Datenzugriffstool und der Datenanbieter die Ausführungsberechtigungen für DB2-Pakete auf PUBLIC fest, einschließlich aller DB2-Benutzer. Um die Sicherheit auf Ihrem DB2-Server zu erhöhen, empfiehlt es sich, die Ausführungsberechtigungen für PUBLIC für diese Pakete zu widerrufen und nur ausgewählten DB2-Benutzern oder -Gruppen Ausführungsberechtigungen zu erteilen.
Datentools speichern die Authentifizierungsanmeldeinformationen im Nur-Text-Format in der UDL-Datei (Universal Data Link) oder in der TXT-Datei (Connection String)
Der Datenquellen-Assistent und die Datenlinks speichern die Authentifizierungsanmeldeinformationen (Benutzername und Kennwort) als Klartext in der Universal Data Link-Datei (UDL) oder in der Connection String-Datei (TXT). Es wird empfohlen, die Datenanbieter für die Verwendung von Enterprise Single Sign-On (ESSO) zu konfigurieren, die Zuordnungen von Windows Active Directory-Konten zu IBM DB2-Anmeldeinformationen sicher speichert. Die Datenanbieter rufen diese Zuordnungen zur Laufzeit ab, um Windows-Benutzer sicher bei Remote-IBM DB2-Datenbankservern zu authentifizieren. Sie sollten den Datenanbieter im selben Prozess mit den Data-Consumer und Data-Tools ausführen.
DRDA unterstützt schwache integrierte Verschlüsselung basierend auf DES
DRDA unterstützt integrierte Authentifizierung und Datenverschlüsselung unter Verwendung der schwachen 56-Bit Data Encryption Standard (DES) Technologien. Es wird empfohlen, den Datenanbieter so zu konfigurieren, dass eine starke Datenverschlüsselung mithilfe von SSL (Secure Sockets Layer) V3.0 oder TLS (Transport Layer Security) V2.0 verwendet wird. Zum Verschlüsseln der Authentifizierung können Sie den Advanced Encryption Standard (AES) verwenden, um eine starke 256-Bit-Verschlüsselung zu unterstützen.
Der Datenanbieter verbindet sich mithilfe unverschlüsselter Klartext-, Benutzername- und Passwortübertragung.
Der Datenanbieter verbindet sich mit Remote-DB2-Servercomputern über ein TCP/IP- oder SNA-Netzwerk unter Verwendung der Basisauthentifizierung, wobei der Benutzername und das Kennwort nicht verschlüsselt sind und im Klartext übermittelt werden. Es wird empfohlen, den Datenanbieter für die Verwendung der Authentifizierungsverschlüsselung mithilfe von Kerberos, Secure Sockets Layer (SSL) V3.0 oder TLS (Transport Layer Security) V1.0 oder Authentifizierungsverschlüsselung mit AES zu konfigurieren.
Datenanbieter sendet und empfängt unverschlüsselte Daten
Der Datenanbieter sendet und empfängt unverschlüsselte Daten. Es wird empfohlen, den Datenanbieter so zu konfigurieren, dass die Datenverschlüsselung mithilfe von SSL (Secure Sockets Layer) V3.0 oder TLS (Transport Layer Security) V1.0 verwendet wird.
Verschlüsselungsstandards für DB2
In der folgenden Tabelle werden unterstützte Verschlüsselungsstandards für DB2 beschrieben.
| Verschlüsselung | Authentifizierung | Daten |
|---|---|---|
| Kerberos | Ja | No |
| SSL V3 | Ja | Ja |
| TLS V2 | Ja | Ja |
| AES (Advanced Encryption Standard) | Ja | No |
Datenverbraucher und Datentools lesen und schreiben Verbindungsdateien aus und in unsicheren Ordnern.
Datenverbraucher und Datentools können Verbindungsdateien in und aus unsicheren Ordnern lesen und schreiben. Sie sollten UDL-Dateien (Universal Data Link) oder Verbindungszeichenfolgendateien (TXT) im Host Integration Server\Datenquellen oder in einem Programmverzeichnis speichern und dann den Ordner mit lokalen Administratorrechten sichern. Sie sollten die Verbindungsinformationen in den sicheren Speichern von Datenverbrauchern und Datentools speichern und dann den Datenanbieter im Prozess mit den Datenverbrauchern und Datentools ausführen.
Datenkonsumenten und Datentools können Verbindungen mit ungültigen Eigenschaften anfordern
Datenverbraucher und Datentools können Verbindungen mit ungültigen Verbindungswerte anfordern. Sie sollten die Datenkonsumenten verwenden, die Verbindungen mithilfe der Datenanbieterverbindungsobjekte erstellen, anstatt nicht überprüfte Nameswertpaare für Verbindungszeichenfolgenargumente zu übergeben. Sie sollten einen Timeoutwert für die Verbindung festlegen, um ungültige Verbindungsversuche abzubrechen.
Datenverbraucher und Datentools können Befehle mit ungültigen Daten anfordern
Datenverbraucher und Datentools können Befehle mit ungültigen Daten anfordern. Verwenden Sie die Datenverbraucher, die Befehle mithilfe des Befehls "Datenanbieter" mit Parameterobjekten erstellen, um Parametertypen zu überprüfen, anstatt nicht überprüfte Befehlszeichenfolgen mit Inlinedatenwerten zu übergeben. Sie sollten einen Befehlstimeoutwert festlegen, um ungültige Befehlsversuche abzubrechen. Sie sollten verteilte DRDA-Arbeitseinheiten (DUW) anstelle von Remotearbeitseinheiten (RUW) verwenden, um die Datenverbraucher mit Zwei-Phasen-Commit-Transaktionen zu schützen.