ホスト ファイルのデータ プロバイダーのセキュリティと保護

ホスト・ファイル用 ADO.NET・プロバイダー (データ・プロバイダー) を使用して、Windows データ・コンシューマー・アプリケーションをリモート IBM ホスト・ファイル・システム・サーバーに接続できます。 データ・プロバイダーは、DDM サーバーとして機能する IBM ホスト・ファイル・サーバー製品と互換性のあるレコード・レベル入出力 (RLIO) プロトコルをサポートする分散データ管理 (DDM) クライアントとして機能します。

読み取りおよび書き込み操作用に構造化クエリ言語ステートメントを発行することで、データ プロバイダーを使用できます。 データ プロバイダーは、このトピックで後述するオプションのセキュリティ機能の 1 つ以上を使用する、インターネット プロトコル (TCP/IP) ネットワークまたはシステム ネットワーク アーキテクチャ (SNA) ハイ パフォーマンス ルーティング経由のインターネット プロトコル (HPR/IP) 経由の伝送制御プロトコルを介して、Windows クライアント アプリケーションをホスト ファイル サーバーに接続します。

セキュリティ

ユーザー アカウント

データ プロバイダー ツール、データ アクセス ツールおよびデータ リンクは、ユーザー アカウントのコンテキストで実行されます。 ユーザー アカウントは、HIS Administrators ローカル グループと HIS Runtime Users ローカル グループのメンバーである必要があります。

フォルダー アクセス制御リスト

ユーザー アカウントには、HIS Administrators ローカル グループおよび HIS Runtime Users ローカル グループに関連付けられているフォルダー アクセス制御リストの設定が必要です。

Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources

保護

Data Tools は、認証資格情報を 接続文字列 (TXT) ファイルにプレーン テキストで格納します

データ ソース ウィザードは、接続文字列 テキスト (TXT) ファイルのプレーン テキストで認証資格情報 (ユーザー名とパスワード) を格納します。 Windows Active Directory アカウントから IBM ホスト システム資格情報へのマッピングを安全に格納する Enterprise Single Sign-On (ESSO) を使用するようにデータ プロバイダーを構成することをお勧めします。 データ プロバイダーは、実行時にこれらのマッピングを取得して、リモート IBM ホスト ファイル システム サーバーに対して Windows ユーザーを安全に認証します。 データ プロバイダーは、データ コンシューマーおよびデータ ツールと連携して実行する必要があります。

データ プロバイダーでは、暗号化されていないプレーン テキストのユーザー名とパスワードが接続に使用される

データ プロバイダーは、基本認証を使用して TCP/IP または SNA ネットワーク経由でリモート ホスト ファイル システム サーバー コンピューターに接続します。ここで、ユーザー名とパスワードは暗号化されず、プレーン テキストで送信されます。 i7/OS を実行しているリモート ホスト ファイル システム サーバー コンピューターに接続するときに、Secure Sockets Layer (SSL) V3.0 または Transport Layer Security (TLS) V2.0 を使用して認証暗号化を使用するようにデータ プロバイダーを構成することをお勧めします。

データ プロバイダーでは、暗号化されていないデータが送受信される

データ プロバイダーでは、暗号化されていないデータが送受信されます。 Secure Sockets Layer (SSL) V3.0 またはトランスポート層セキュリティ (TLS) V2.0 を使用して、データ暗号化を使用するようにデータ プロバイダーを構成することをお勧めします。

データ コンシューマーおよびデータ ツールでは、セキュリティ保護されていないフォルダーとの間で接続ファイルの読み書きを行う

データ コンシューマーおよびデータ ツールでは、セキュリティ保護されていないフォルダーとの間で接続ファイルの読み書きを行います。 接続文字列 (TXT) ファイルを Host Integration Server\Data Sources またはプログラム ディレクトリに格納し、ローカル管理者権限でフォルダーをセキュリティで保護する必要があります。 データ コンシューマー アプリ構成ファイルに接続文字列を格納し、ローカル管理者権限でフォルダーをセキュリティで保護する必要があります。 接続情報をデータ コンシューマーおよびデータ ツールの Secure Store に保存してから、データ プロバイダーをデータ コンシューマーおよびデータ ツールと連携して実行する必要があります。

データ コンシューマーおよびデータ ツールでは、無効なプロパティを使用して接続を要求できる

データ コンシューマーおよびデータ ツールでは、無効な接続プロパティ値を使用して接続を要求できます。 未確認の接続文字列引数の名前値ペアを渡すのではなく、データ プロバイダーの接続オブジェクトを使用して接続を作成するデータ コンシューマーを使用する必要があります。 無効な接続試行をキャンセルするために、接続タイムアウト値を設定する必要があります。

データ コンシューマーおよびデータ ツールでは、無効なデータを使用してコマンドを要求できる

データ コンシューマーおよびデータ ツールでは、無効なデータを使用してコマンドを要求できます。 未確認のコマンド文字列をインラインのデータ値と一緒に渡すのではなく、データ プロバイダー コマンドとパラメーター オブジェクトを使用してパラメーターの種類を検証するためのコマンドを作成するデータ コンシューマーを使用する必要があります。 データ プロバイダーは、メタデータ スキーマ (HIDX) ファイルに基づいてデータを検証します。 無効なコマンド試行を取り消すには、コマンド タイムアウト値を設定する必要があります。

データ コンシューマーとデータ ツールは、セキュリティで保護されていないフォルダーとの間でメタデータ ファイルの読み取りと書き込みを行います

データ コンシューマーとデータ ツールは、セキュリティで保護されていないフォルダーとの間でメタデータ スキーマ (HIDX) ファイルの読み取りと書き込みを行うことができます。 メタデータ HIDX ファイルをコンシューマー プログラム ディレクトリまたは別のディレクトリに格納し、ローカル管理者権限でフォルダーをセキュリティで保護する必要があります。 データ プロバイダーは、接続時にメタデータ HIDX ファイルを検証します。 無効な接続試行をキャンセルするために、接続タイムアウト値を設定する必要があります。 データ・プロバイダー・メタデータ・スキーマ (HIDX) ファイルを使用せずに、システム記述の単一レコード・レイアウト IBM i ファイルの読み取り/書き込みを行うことができます。

データ コンシューマーとデータ ツールは、セキュリティで保護されていないローカル オフライン データ ファイルから読み取りと書き込みを行います

データ コンシューマーとデータ ツールは、セキュリティで保護されていないローカル オフライン データ ファイルから読み取りと書き込みを行うことができます。 オフライン データ ファイルは、コンシューマー プログラム ディレクトリまたは別のディレクトリに格納し、ローカル管理者権限でフォルダーをセキュリティで保護する必要があります。

参照

セキュリティと保護