Sicurezza
Il servizio DRDA offre accesso e interoperabilità tra database multipiattaforma tramite transazioni DUW (Distributed Unit of Work) per l'elaborazione on-line e batch. Il servizio DRDA connette i programmi client del richiedente dell'applicazione IBM DB2 DRDA ai database microsoft SQL Server. Il servizio DRDA funziona come server applicazioni che supporta i protocolli e i formati DRDA (Distributed Relational Database Architecture) compatibili con i prodotti IBM che funzionano come client richiedente dell'applicazione DB2.
Il servizio DRDA risponde alle richieste di applicazioni client DB2 associate attraverso connessioni di rete TCP/IP (Transmission Control Protocol over Internet Protocol) che usano funzionalità di sicurezza facoltative descritte in questo argomento. Il servizio DRDA avvia le richieste client gestite sql out-bound tramite TDS (Tabular Data Stream) usando connessioni di rete TCP/IP o in memoria.
Il servizio DRDA elabora comandi SQL statici con parametri associati a cui il servizio DRDA esegue il mapping a istruzioni SQL CALL dinamiche associate per eseguire le stored procedure SQL Server corrispondenti. Inoltre, il servizio DRDA elabora istruzioni SQL SELECT, INSERT, UPDATE, DELETE e CALL associate associato come comandi pass-through per SQL Server.
Il servizio DRDA può autenticare le richieste client associate eseguendo il mapping di nome utente, nome utente e password o ticket Kerberos alle credenziali di Windows. Il servizio DRDA supporta l'autenticazione sicura e le opzioni di crittografia dei dati sicure.
Windows Security
Account del servizio
Il MsDrdaService.exe deve essere eseguito nel contesto di un account utente o del servizio.
L'account del servizio può essere l'account del sistema locale, del servizio locale o del servizio di rete.
L'account del servizio può essere un account utente locale.
Il servizio può essere un account utente di dominio (Dominio\Utente).
Gruppo locale
L'account del servizio deve essere membro dei gruppi locali HIS Administrators e HIS Runtime Users.
L'account del servizio deve essere membro del gruppo locale HIS Administrators.
L'account del servizio deve essere membro del gruppo locale Utenti runtime HIS.
Gli account utente finali devono essere membri del gruppo locale utenti di runtime HIS. Ad esempio, quando si esegue il mapping del nome utente DRDA AR associato che usa l'accesso Single Sign-On enterprise avviato dall'host, l'account utente di Windows mappato deve essere un membro del gruppo locale UTENTI runtime HIS.
Criteri di sicurezza locali
L'account del servizio richiede che queste impostazioni dei criteri di sicurezza locali vengano eseguite come servizio.
L'account del servizio richiede l'accesso come servizio.
L'account del servizio richiede queste impostazioni dei criteri di sicurezza locali per usare l'accesso Single Sign-On aziendale avviato dall'host.
L'account del servizio richiede Act come parte del sistema operativo.
L'account del servizio richiede Access Credential Manager come chiamante attendibile.
L'account del servizio richiede che l'opzione Abilita account computer e utente sia attendibile per la delega.
Elenco Controllo di accesso cartelle
L'account MsDrdaService richiede le impostazioni dell'elenco Controllo di accesso cartelle associate al gruppo locale His Administrators e al gruppo locale utenti di runtime HIS.
Il gruppo locale HIS Administrators dispone di queste impostazioni di Controllo di accesso cartelle.
| Cartella file | Modifica | Lettura ed esecuzione | Visualizzazione contenuto cartella | Lettura | Scrittura | Autorizzazioni speciali |
|---|---|---|---|---|---|---|
| Programmi\Microsoft Host Integration Server 2020 | Allow | Allow | Allow | |||
| Programmi\Microsoft Host Integration Server 2020\system | Allow | Allow | Allow | |||
| Programmi\Microsoft Host Integration Server 2020\traces |
Ogni account utente richiede le impostazioni dell'elenco Controllo di accesso cartelle associate al gruppo locale Utenti runtime HIS. Ad esempio, ogni utente deve avere accesso in scrittura per inserire righe in un file di traccia di testo MsDrdaService.DSTF.
Il gruppo locale Utenti runtime HIS include queste impostazioni di Controllo di accesso cartelle.
| Cartella file | Modifica | Lettura ed esecuzione | Visualizzazione contenuto cartella | Lettura | Scrittura | Autorizzazioni speciali |
|---|---|---|---|---|---|---|
| Programmi\Microsoft Host Integration Server 2020Microsoft Host Integration Server 2020 | Allow | Allow | Allow | |||
| Programmi\Microsoft Host Integration Server 2020\system | Allow | Allow | Allow | |||
| Programmi\Microsoft Host Integration Server 2020\traces | Allow | Allow | Allow | Allow |
Gruppi di sicurezza ESSO
L'account del servizio deve essere membro del gruppo locale SSO Affiliate Administrators.
L'account del servizio può essere membro del gruppo locale SSO Administrators.
Delega vincolata e Kerberos
ESSO richiede autorizzazioni elevate in Active Directory (delega vincolata Kerberos e Usa qualsiasi protocollo di autenticazione). ESSO richiede un nome di entità servizio Kerberos per il computer SQL Server a cui si connette il servizio DRDA.