Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare i provider di dati per DB2 (provider di dati) per connettere le applicazioni consumer di dati Windows ai server di gestione di database relazionali IBM DB2 remoti. Il provider di dati funziona come client richiedente DRDA (Distributed Relational Database Architecture) che supporta il protocollo DRDA e i formati compatibili con i prodotti server IBM DB2 che funzionano come server applicazioni DRDA.
È possibile usare il provider di dati eseguendo istruzioni del linguaggio di query strutturate. Queste istruzioni includono istruzioni del linguaggio di definizione dei dati per l'amministrazione e istruzioni di gestione della manipolazione dei dati per le operazioni di lettura e scrittura. Il provider di dati connette le applicazioni client Windows ai database del server DB2 attraverso un protocollo di controllo della trasmissione tramite una rete TCP/IP (Internet Protocol) o SNA (Systems Network Architecture) a prestazioni elevate tramite protocollo Internet (HPR/IP) che usano una o più delle funzionalità di sicurezza facoltative descritte più avanti in questo argomento.
sicurezza
Account utente
Gli strumenti del provider di dati, lo strumento di accesso ai dati e i collegamenti dati, vengono eseguiti nel contesto di un account utente. L'account utente deve essere membro dei gruppi locali HIS Administrators e HIS Runtime Users.
Elenco di controllo di accesso alle cartelle
L'account utente richiede le impostazioni dell'elenco di controllo di accesso alle cartelle associate al gruppo locale Amministratori HIS e al gruppo locale utenti di RUNTIME HIS.
Programmi\Microsoft Host Integration Server 2020
Programmi\Microsoft Host Integration Server 2020\system
Programmi\Microsoft Host Integration Server 2020\ SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Documenti\Host Integration Server\Origini dati
Protezione
Il provider di dati concede l'esecuzione sui pacchetti DB2 al gruppo pubblico DB2
Quando si creano pacchetti DB2, lo strumento di accesso ai dati e il provider di dati impostano le autorizzazioni di esecuzione per i pacchetti DB2 su PUBLIC, che include tutti gli utenti DB2. Per aumentare la sicurezza nel server DB2, è consigliabile revocare le autorizzazioni di esecuzione a PUBLIC per questi pacchetti e concedere autorizzazioni di esecuzione solo a utenti o gruppi DB2 selezionati.
Data Tools archivia le credenziali di autenticazione in testo normale nel file UDL (Universal Data Link) o nella stringa di connessione (TXT)
Il Creazione guidata Origine dati e Collegamenti dati archivia le credenziali di autenticazione (nome utente e password) in testo normale nel file UDL (Universal Data Link) o nella stringa di connessione (TXT). È consigliabile configurare i provider di dati per l'uso di Enterprise Single Sign-On (ESSO), che archivia in modo sicuro i mapping dagli account di Windows Active Directory alle credenziali IBM DB2. I provider di dati recuperano questi mapping in fase di esecuzione per autenticare in modo sicuro gli utenti di Windows nei server di database IBM DB2 remoti. È consigliabile eseguire il provider di dati in-process con Data Consumer e Data Tools.
DRDA supporta una crittografia integrata debole basata sul DES
DRDA supporta l'autenticazione predefinita e la crittografia dei dati usando tecnologie di crittografia dei dati standard (DES) a 56 bit deboli. È consigliabile configurare il provider di dati per l'uso della crittografia dei dati avanzata usando Secure Sockets Layer (SSL) V3.0 o Transport Layer Security (TLS) V2.0. Solo per la crittografia dell'autenticazione, è possibile usare Advanced Encryption Standard (AES) per supportare la crittografia a 256 bit avanzata.
Il provider di dati si connette usando testo non crittografato, testo normale, nome utente e password
Il provider di dati si connette a computer server DB2 remoti tramite una rete TCP/IP o SNA usando l'autenticazione di base, in cui il nome utente e la password non vengono crittografati e inviati in testo normale. È consigliabile configurare il provider di dati per l'uso della crittografia di autenticazione tramite Kerberos, SSL (Secure Sockets Layer) V3.0 o TLS (Transport Layer Security) V1.0 o la crittografia di autenticazione tramite AES.
Il provider di dati invia e riceve dati non crittografati
Il provider di dati invia e riceve dati non crittografati. È consigliabile configurare il provider di dati per l'uso della crittografia dei dati usando SSL (Secure Sockets Layer) V3.0 o Transport Layer Security (TLS) V1.0.
Standard di crittografia per DB2
La tabella seguente descrive gli standard di crittografia supportati per DB2.
| Crittografia | Autenticazione | Dati |
|---|---|---|
| Kerberos | Sì | No |
| SSL V3 | Sì | Sì |
| TLS V2 | Sì | Sì |
| AES | Sì | No |
Consumatori di dati e Strumenti di gestione dati leggono e scrivono file di connessione a partire da e verso cartelle non sicure
I consumatori di dati e gli strumenti per i dati possono leggere e scrivere file di connessione da e verso cartelle non sicure. È consigliabile archiviare file UDL (Universal Data Link) o stringa di connessione (TXT) nella directory Host Integration Server\Data Sources o programma e quindi proteggere la cartella con diritti di amministratore locale. È consigliabile conservare le informazioni di connessione nei documenti sicuri dei consumatori di dati e degli strumenti di dati e quindi eseguire il provider di dati nel processo con i consumatori di dati e strumenti di dati.
I consumatori di dati e gli strumenti di dati possono richiedere connessioni con proprietà non valide
I consumatori di dati e gli strumenti di dati possono richiedere connessioni con valori di proprietà di connessione non validi. È consigliabile utilizzare i Data Consumers che creano connessioni utilizzando gli oggetti di connessione del Data Provider invece di passare coppie non verificate di nome e valore degli argomenti della stringa di connessione. È consigliabile impostare un valore di timeout della connessione per annullare i tentativi di connessione non validi.
Consumatori di dati e strumenti per i dati possono richiedere comandi con dati non validi
I consumatori di dati e gli strumenti di dati possono richiedere comandi con dati non validi. È consigliabile usare i Data Consumer che creano comandi usando il comando Data Provider con oggetti parametro per la verifica dei tipi di parametro, anziché passare stringhe di comando non verificate con valori di dati inline. È consigliabile impostare un valore di timeout del comando per annullare i tentativi di comando non validi. È consigliabile usare l'unità di lavoro distribuita DRDA anziché l'unità di lavoro remota (RUW) per proteggere i consumer di dati usando transazioni di commit in due fasi.