安全性

DRDA 服務透過分散式工作單位提供跨平臺資料庫存取和互通性 (DUW 線上和批次處理的) 交易。 DRDA 服務會將 IBM DB2 DRDA 應用程式要求者用戶端程式連接到 Microsoft SQL Server 資料庫。 DRDA 服務可作為支援分散式關係資料庫架構的應用程式伺服器, () DRDA 與 IBM 產品(以 DB2 應用程式要求者用戶端運作)相容的通訊協定和格式。

DRDA 服務會使用本主題中所述的選用安全性功能,來回應跨網際網路通訊協定之傳輸控制通訊協定的系結 DB2 用戶端應用程式要求 (TCP/IP) 網路連接。 DRDA 服務會使用記憶體中或 tcp/ip 網路連接,使用表格式資料流程 (TDS) 來起始 SQL 受控用戶端要求。

DRDA 服務會處理傳入的參數化靜態 SQL 命令,DRDA 服務會將這些命令對應至傳出的動態 SQL 呼叫語句,以執行對應的 SQL Server 預存程式。 此外,DRDA 服務會將內建的動態 SQL SELECT、INSERT、UPDATE、DELETE 和 CALL 語句處理為傳遞命令,以 SQL Server。

DRDA 服務可以藉由對應使用者名稱、使用者名稱和密碼,或使用 Kerberos 票證來 Windows 認證,來驗證系結用戶端要求。 DRDA 服務支援安全的驗證和安全的資料加密選項。

Windows 安全性

服務帳戶

MsDrdaService.exe 必須在使用者或服務帳戶的內容中執行。

  1. 服務帳戶可以是本機系統、本機服務或網路服務帳戶。

  2. 服務帳戶可以是本機使用者帳戶。

  3. 服務可以是網域使用者帳戶, (Domain\User) 。

本機群組

服務帳戶必須是 HIS Administrators 和 HIS Runtime Users 本機群組的成員。

  1. 服務帳戶必須是 HIS 系統管理員本機群組的成員。

  2. 服務帳戶必須是 HIS Runtime 使用者本機群組的成員。

  3. 終端使用者帳戶必須是 HIS Runtime 使用者本機群組的成員。 例如,使用主機起始的企業單一登入對應到系結 DRDA AR 使用者名稱時,對應的 Windows 使用者帳戶必須是 HIS Runtime 使用者本機群組的成員。

本機安全性原則

服務帳戶需要這些本機安全性原則設定才能以服務方式執行。

  1. 服務帳戶需要以服務方式登入。

    服務帳戶需要這些本機安全性原則設定,才能利用主機起始的企業單一登入。

  • 服務帳戶需要作為作業系統的一部分。

  • 服務帳戶需要存取認證管理員作為受信任的呼叫端。

  • 服務帳戶需要讓電腦和使用者帳戶受到信任以進行委派。

資料夾存取控制清單

MsDrdaService 帳戶需要與 HIS Administrators 本機群組和 HIS Runtime Users 本機群組相關聯的資料夾存取控制清單設定。

HIS 系統管理員本機群組具有這些資料夾存取控制設定。

檔案資料夾 修改 讀取 & 執行 列出資料夾內容 讀取 寫入 特殊權限
Program Files\Microsoft Host Integration Server 2013 Allow Allow Allow
Program Files\Microsoft Host Integration Server 2013 \ 系統 Allow Allow Allow
Program Files\Microsoft Host Integration Server 2013 \ 追蹤

每個使用者帳戶都需要與 HIS Runtime 使用者本機群組相關聯的資料夾存取控制清單設定。 例如,每個使用者都必須有寫入權限,才能在 MsDrdaService. DSTF 文字追蹤檔中插入程式程式碼。

HIS Runtime 使用者本機群組具有這些資料夾存取控制設定。

檔案資料夾 修改 讀取 & 執行 列出資料夾內容 讀取 寫入 特殊權限
Program Files\Microsoft Host Integration Server 2013Microsoft Host Integration Server 2013 Allow Allow Allow
Program Files\Microsoft Host Integration Server 2013 \ 系統 Allow Allow Allow
Program Files\Microsoft Host Integration Server 2013 \ 追蹤 Allow Allow Allow Allow

ESSO 安全性群組

  1. 服務帳戶必須是 SSO 分支機搆系統管理員本機群組的成員。

  2. 服務帳戶可能是 SSO 系統管理員本機群組的成員。

限制委派和 Kerberos

ESSO 需要 Active Directory 中 (Kerberos 限制委派的較高許可權,並使用任何驗證通訊協定) 。 ESSO 需要 DRDA 服務所連接之 SQL Server 電腦的 Kerberos 服務主體名稱。