Informix のデータ プロバイダーのセキュリティ機能

OLE DB Provider for Informix (Data Provider) を使用して、Windows データ コンシューマー アプリケーションをリモート IBM Informix リレーショナル データベース管理サーバーに接続できます。 データ プロバイダーは、DRDA アプリケーション サーバーとして機能する IBM Informix サーバー製品と互換性のある DRDA プロトコルと形式をサポートする分散リレーショナル データベース アーキテクチャ (DRDA) アプリケーション リクエスター クライアントとして機能します。

構造化照会言語ステートメントを発行することによって、データ プロバイダーを使用できます。 これらのステートメントには、管理用のデータ定義言語ステートメントや、読み取りおよび書き込み操作用のデータ操作管理ステートメントが含まれます。 データ プロバイダーは、このトピックで後述する 1 つ以上のオプションのセキュリティ機能を使用するインターネット プロトコル (TCP/IP) ネットワーク経由で、送信制御プロトコルを介して Windows クライアント アプリケーションを Informix サーバー データベースに接続します。

セキュリティ

ユーザー アカウント

データ プロバイダー ツール、データ アクセス ツールおよびデータ リンクは、ユーザー アカウントのコンテキストで実行されます。 ユーザー アカウントは、HIS Administrators ローカル グループと HIS Runtime Users ローカル グループのメンバーである必要があります。

フォルダー アクセス制御リスト

ユーザー アカウントには、HIS Administrators ローカル グループおよび HIS Runtime Users ローカル グループに関連付けられているフォルダー アクセス制御リストの設定が必要です。

Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64 Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources

保護

Data Links は、認証資格情報 (ユーザー名とパスワード) をユニバーサル データ リンク (UDL) ファイルのプレーン テキストで格納します。 Windows Active Directory アカウントから IBM Informix 資格情報へのマッピングを安全に格納する Enterprise Single Sign-On (ESSO) を使用するようにデータ プロバイダーを構成することをお勧めします。 データ プロバイダーは、実行時にこれらのマッピングを取得して、リモート IBM Informix データベース サーバーに対して Windows ユーザーを安全に認証します。 データ プロバイダーは、データ コンシューマーおよびデータ ツールと連携して実行する必要があります。

データ プロバイダーでは、暗号化されていないプレーン テキストのユーザー名とパスワードが接続に使用される

データ プロバイダーは、基本認証を使用して TCP/IP ネットワーク経由でリモート Informix サーバー コンピューターに接続します。ここで、ユーザー名とパスワードは暗号化されず、プレーン テキストで送信されます。 Secure Sockets Layer (SSL) V3.0 またはトランスポート層セキュリティ (TLS) V2.0 を使用して認証暗号化を使用するようにデータ プロバイダーを構成することをお勧めします。

データ プロバイダーでは、暗号化されていないデータが送受信される

データ プロバイダーでは、暗号化されていないデータが送受信されます。 Secure Sockets Layer (SSL) V3.0 またはトランスポート層セキュリティ (TLS) V2.0 を使用してデータ暗号化を使用するようにデータ プロバイダーを構成することをお勧めします。

データ コンシューマーおよびデータ ツールでは、セキュリティ保護されていないフォルダーとの間で接続ファイルの読み書きを行う

データ コンシューマーおよびデータ ツールでは、セキュリティ保護されていないフォルダーとの間で接続ファイルの読み書きを行います。 Universal Data Link (UDL) ファイルを Host Integration Server\Data Sources またはプログラム ディレクトリに格納してから、ローカルな管理者権限でフォルダーをセキュリティ保護する必要があります。 接続情報をデータ コンシューマーおよびデータ ツールの Secure Store に保存してから、データ プロバイダーをデータ コンシューマーおよびデータ ツールと連携して実行する必要があります。

データ コンシューマーおよびデータ ツールでは、無効なプロパティを使用して接続を要求できる

データ コンシューマーおよびデータ ツールでは、無効な接続プロパティ値を使用して接続を要求できます。 未確認の接続文字列引数の名前値ペアを渡すのではなく、データ プロバイダーの接続オブジェクトを使用して接続を作成するデータ コンシューマーを使用する必要があります。 無効な接続試行をキャンセルするために、接続タイムアウト値を設定する必要があります。

データ コンシューマーおよびデータ ツールでは、無効なデータを使用してコマンドを要求できる

データ コンシューマーおよびデータ ツールでは、無効なデータを使用してコマンドを要求できます。 未確認のコマンド文字列をインラインのデータ値と一緒に渡すのではなく、データ プロバイダー コマンドとパラメーター オブジェクトを使用してパラメーターの種類を検証するためのコマンドを作成するデータ コンシューマーを使用する必要があります。 無効なコマンド試行を取り消すには、コマンド タイムアウト値を設定する必要があります。 . 無効なコマンド試行を取り消すには、コマンド タイムアウト値を設定する必要があります。 2 フェーズ コミット トランザクションを使用してデータ コンシューマーを保護するには、リモート作業単位 (RUW) ではなく DRDA 分散作業単位 (DUW) を使用する必要があります。