主机文件的数据提供程序安全性和保护

可以使用适用于主机文件的 ADO.NET 提供程序 (数据提供程序) 将 Windows 数据使用者应用程序连接到远程 IBM 主机文件系统服务器。 数据提供程序充当分布式数据管理 (DDM) 客户端,该客户端支持记录级输入/输出 (RLIO) 协议,该协议与充当 DDM 服务器的 IBM 主机文件服务器产品兼容。

可以通过为读取和写入操作发出结构化查询语言语句来使用数据提供程序。 数据提供程序通过传输控制协议通过 Internet 协议将 Windows 客户端应用程序连接到主机文件服务器, (TCP/IP) 网络或系统网络体系结构 (SNA) 使用本主题后面介绍的一个或多个可选安全功能的 INTERNET 协议 (HPR/IP) 的高性能路由。

安全性

用户帐户

数据提供程序工具(数据访问工具和数据链接)在用户帐户的上下文中运行。 该用户帐户必须是 HIS 管理员本地组和 HIS 运行时用户本地组的成员。

文件夹访问控制列表

用户帐户需要与 HIS 管理员本地组和 HIS 运行时用户本地组关联的文件夹访问控制列表设置。

Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources

保护

Data Tools 将身份验证凭据以纯文本形式存储在 连接字符串 (TXT) 文件中

数据源向导将身份验证凭据 (用户名和密码) 以纯文本形式存储在连接字符串文本 (TXT) 文件中。 建议将数据提供程序配置为使用企业单一 Sign-On (ESSO) ,该) 安全地存储从 Windows Active Directory 帐户到 IBM 主机系统凭据的映射。 数据提供程序在运行时检索这些映射,以便安全地对远程 IBM 主机文件系统服务器的 Windows 用户进行身份验证。 你应该使用数据使用者和 Data Tools 在进程中运行数据提供程序。

数据提供程序通过使用未加密的纯文本用户名和密码来进行连接

数据提供程序使用基本身份验证通过 TCP/IP 或 SNA 网络连接到远程主机文件系统服务器计算机,其中用户名和密码未加密,以纯文本形式提交。 建议在连接到运行 i7/OS 的远程主机文件系统服务器计算机时,将数据提供程序配置为使用安全套接字层 (SSL) V3.0 或传输层安全性 (TLS) V2.0 使用身份验证加密。

数据提供程序发送和接收未加密数据

数据提供程序发送和接收未加密数据。 建议将数据提供程序配置为使用安全套接字层 (SSL) V3.0 或传输层安全性 (TLS) V2.0 使用数据加密。

数据使用者和 Data Tools 通过不安全的文件夹读取和写入连接文件

数据使用者和 Data Tools 可以通过不安全的文件夹读取和写入连接文件。 应连接字符串 (TXT) 文件存储在 Host Integration Server\Data Sources 或程序目录中,然后使用本地管理员权限保护文件夹。 应将连接字符串存储在数据使用者应用配置文件中,然后使用本地管理员权限保护文件夹。 应将连接信息保留在数据使用者和 Data Tools 安全存储中,然后使用数据使用者和 Data Tools 在进程中运行数据提供程序。

数据使用者和 Data Tools 可以请求具有无效属性的连接

数据使用者和 Data Tools 可以请求具有无效连接属性值的连接。 应通过以下方式使用可创建连接的数据使用者:使用数据提供程序连接对象,而不是传递未认证的连接字符串参数名称值对。 应设置连接超时值以取消无效的连接尝试。

数据使用者和 Data Tools 可以请求带有无效数据的命令

数据使用者和 Data Tools 可以请求带有无效数据的命令。 应通过以下方式使用可创建命令的数据使用者来验证参数类型:使用具有参数对象的数据提供程序命令,而不是传递未认证的具有内联数据值的命令字符串。 数据提供程序将根据元数据架构 (HIDX) 文件验证数据。 应设置命令超时值以取消无效的命令尝试。

数据使用者和 Data Tools 在不安全的文件夹中读取和写入元数据文件

数据使用者和数据工具可以读取和写入元数据架构 (HIDX) 文件到不安全的文件夹和从中读取和写入文件。 应将元数据 HIDX 文件存储在使用者程序目录或其他目录中,然后使用本地管理员权限保护文件夹。 数据提供程序将在连接时验证元数据 HIDX 文件。 应设置连接超时值以取消无效的连接尝试。 无需将数据提供程序元数据架构 (HIDX) 文件,即可读取/写入系统描述的单条记录布局 IBM i 文件。

数据使用者和数据工具从不安全的本地脱机数据文件读取和写入

数据使用者和 Data Tools 可以从不安全的本地脱机数据文件读取和写入数据。 应将脱机数据文件存储在使用者程序目录或其他目录中,然后使用本地管理员权限保护文件夹。

另请参阅

安全和保护