Sicurezza

Il servizio DRDA fornisce l'accesso al database multipiattaforma e l'interoperabilità tramite transazioni DUW (Distributed Unit of Work) per l'elaborazione on-line e batch. Il servizio DRDA connette i programmi client del richiedente applicazione DRDA IBM DB2 Microsoft SQL Server database. Il servizio DRDA funziona come server applicazioni che supporta i protocolli e i formati DRDA (Distributed Relational Database Architecture) compatibili con i prodotti IBM che funzionano come client richiedenti di applicazioni DB2.

Il servizio DRDA risponde alle richieste dell'applicazione client DB2 in ingresso attraverso Transmission Control Protocol tramite connessioni di rete TCP/IP (Internet Protocol) che usano funzionalità di sicurezza facoltative descritte in questo argomento. Il servizio DRDA avvia le richieste client SQL gestite usando il flusso di dati tabulare (TDS) usando connessioni di rete TCP/IP o in memoria.

Il servizio DRDA elabora i comandi SQL statici associati mappati dal servizio DRDA alle istruzioni CALL SQL dinamiche non associate per eseguire le stored procedure SQL Server corrispondenti. Inoltre, il servizio DRDA elabora le istruzioni SQL select, INSERT, UPDATE, DELETE e CALL associate come comandi pass-through per SQL Server.

Il servizio DRDA può autenticare le richieste client associate tramite il mapping di nome utente, nome utente e password o ticket Kerberos Windows credenziali. Il servizio DRDA supporta l'autenticazione sicura e le opzioni di crittografia dei dati protette.

Windows Security

Account del servizio

Il MsDrdaService.exe deve essere eseguito nel contesto di un account utente o di servizio.

  1. L'account del servizio può essere l'account Sistema locale, Servizio locale o Servizio di rete.

  2. L'account del servizio può essere un account utente locale.

  3. Il servizio può essere un account utente di dominio (Dominio\Utente).

Gruppo locale

L'account del servizio deve essere membro dei gruppi locali HIS Administrators e HIS Runtime Users.

  1. L'account del servizio deve essere membro del gruppo HIS administrators locale.

  2. L'account del servizio deve essere membro del gruppo locale HIS Utenti runtime.

  3. Gli account utente finali devono essere membri del gruppo locale HIS Utenti runtime. Ad esempio, quando si esegue il mapping del nome utente di DRDA AR associato utilizzando l'accesso Single Sign-On di Enterprise avviato dall'host, l'account utente Windows mappato deve essere membro del gruppo locale HIS Runtime Users.

Criteri di sicurezza locali

L'account del servizio richiede queste impostazioni dei criteri di sicurezza locali per l'esecuzione come servizio.

  1. L'account del servizio richiede l'accesso come servizio.

    L'account del servizio richiede queste impostazioni dei criteri di sicurezza locali per usare l'accesso Single Sign-On avviato dall'host Enterprise.

  • L'account del servizio richiede l'azione come parte del sistema operativo.

  • L'account del servizio richiede l'accesso Gestione credenziali come chiamante attendibile.

  • L'account del servizio richiede l'abilitazione degli account computer e utente come attendibili per la delega.

Elenco Controllo di accesso cartella

L'account MsDrdaService richiede le impostazioni elenco Controllo di accesso cartelle associate al gruppo locale administrators HIS e al gruppo locale HIS utenti di runtime.

Il HIS locale Administrators include queste impostazioni Controllo di accesso locale.

Cartella file Modifica Esecuzione in & lettura Visualizzazione contenuto cartella Lettura Scrittura Autorizzazioni speciali
Programmi\Microsoft Host Integration Server 2013 Consenti Consenti Consenti
Programmi\Microsoft Host Integration Server 2013\system Consenti Consenti Consenti
Programmi\Microsoft Host Integration Server 2013\traces

Ogni account utente richiede le impostazioni elenco Controllo di accesso cartella associate al gruppo locale HIS utenti di runtime. Ad esempio, ogni utente deve avere accesso in scrittura per inserire righe in un file di traccia di testo MsDrdaService.DSTF.

Il HIS locale degli utenti di runtime include queste impostazioni Controllo di accesso cartella.

Cartella file Modifica Esecuzione in & lettura Visualizzazione contenuto cartella Lettura Scrittura Autorizzazioni speciali
Programmi\Microsoft Host Integration Server 2013Microsoft Host Integration Server 2013 Consenti Consenti Consenti
Programmi\Microsoft Host Integration Server 2013\system Consenti Consenti Consenti
Programmi\Microsoft Host Integration Server 2013\traces Consenti Consenti Consenti Consenti

Gruppi di sicurezza ESSO

  1. L'account del servizio deve essere membro del gruppo locale SSO Affiliate Administrators.

  2. L'account del servizio può essere membro del gruppo locale Amministratori SSO.

Delega vincolata e Kerberos

ESSO richiede autorizzazioni elevate in Active Directory (delega vincolata Kerberos e Usa qualsiasi protocollo di autenticazione). ESSO richiede un nome dell'entità servizio Kerberos per SQL Server computer a cui si connette il servizio DRDA.