Configuration de connexions SQL Server
Le service DRDA communique avec amont bases de données SQL Server locales ou distantes à l’aide du fournisseur ADO.NET Framework pour SQL Server. L’accès au client SQL sous-jacent SQL Server via une connexion en mémoire ou sur un réseau à l’aide de canaux nommés ou TCP/IP. Le client SQL prend en charge les fonctionnalités de chiffrement et de basculement facultatives pour améliorer la sécurité et la fiabilité. Le service DRDA prend en charge des fonctionnalités facultatives d’authentification unique et de regroupement pour améliorer la sécurité et les performances. Vous pouvez modifier le fichier MsDrdaService.exe.config pour indiquer au service DRDA comment gérer le client SQL pour SQL Server connexions.
Réseau
Le service DRDA se connecte à SQL Server en utilisant le fournisseur Microsoft ADO.NET Framework pour SQL Server et le client SQL sous-jacent. L’élément de base de données du fichier MsDrdaService.exe.config contient les paramètres réseau pour la gestion des connexions clientES SQL hors limites. Le type de base de données est Microsoft.HostIntegration.Drda.RDB.SqlDatabase, qui définit les paramètres réseau pour les connexions clientes SQL hors limites.
Chaîne de connexion
L’attribut connectionString définit la liste des paires nom-valeur d’argument à utiliser par le service DRDA pour définir un fournisseur de données Microsoft ADO.NET Framework pour SQL Server objet de connexion. Cet attribut requis accepte une valeur de chaîne . La valeur par défaut est Data Source=localhost ; Integrated Security=true ; MultipleActiveResultSets=true.
| Élément | Description |
|---|---|
| Nom de l’application | La propriété Nom de l’application indique au client SQL le nom de l’application à associer à la connexion. Cette propriété facultative accepte une valeur de chaîne . La valeur par défaut est une chaîne vide. |
| Connect Timeout | La propriété Connect Timeout indique au client SQL la durée (en secondes) d’attente d’une connexion au serveur avant de mettre fin à la tentative et de générer une erreur. Cette propriété facultative accepte une valeur entière . Les valeurs valides sont supérieures ou égales à 0 et inférieures ou égales à 2147483647.La valeur par défaut est 15 secondes. |
| Source de données | La propriété Source de données définit le nom ou l’adresse réseau du instance de SQL Server auquel se connecter à l’aide de TCP/IP ou de canaux nommés. Cette propriété requise accepte une valeur de chaîne . La valeur par défaut est une chaîne vide. Pour TCP/IP, la valeur mise en forme commence par un préfixe « tcp : », suivi d’un alias ou d’une adresse TCP/IP au format IPv4 ou IPv6, suivi d’une barre oblique SQL Server instance inverse séparée par un nom ou un numéro de port TCP/IP séparé par des virgules. - tcp :<host name>\<instance name> - tcp :<host name,TCP></IP port number> Pour les canaux nommés, la valeur mise en forme commence par un préfixe « np : », suivi d’un nom d’hôte et d’un nom de canal nommé. - np :\\<host name>\pipe\<pipe name> |
| Encrypt (Chiffrer) | La propriété Encrypt indique au client SQL d’utiliser SSL (Secure Sockets Layer) pour chiffrer toutes les données envoyées entre SQL Client et SQL Server. Cette propriété facultativeaccepte une valeur booléenne true, false, oui et non. La valeur par défaut est false. |
| Failover Partner | La propriété Partenaire de basculement informe le client SQL du nom du SQL Server où la mise en miroir de bases de données est configurée. Cette propriété facultative accepte une valeur de chaîne . La valeur par défaut est une chaîne vide. |
| Initial Catalog | La propriété Catalogue initial indique au client SQL à quelle base de données se connecter. Cette propriété facultative accepte une valeur de chaîne allant jusqu’à 128 caractères. La valeur par défaut est une chaîne vide. |
| Sécurité intégrée | La propriété Integrated Security indique au client SQL de se connecter à SQL Server à l’aide de l’authentification Windows via l’interface SSPI (Security Support Provider Interface). Cette propriété facultative accepte une valeur booléenne true, false, oui et non. La valeur par défaut est false. Lorsque cette valeur de propriété est true ou oui, le service DRDA se connecte à SQL Server à l’aide de l’authentification Windows. - Les informations d’identification de connexion sont dérivées de l'MsDrdaService.exe en cours d’exécution (compte de service ou utilisateur connecté lors de l’exécution à partir de la ligne de commande). - Les informations d’identification de connexion sont dérivées du service Enterprise Single Sign-On, lorsque l’argument Application affiliée distincte est spécifié avec une valeur. Pour plus d’informations, consultez la rubrique sur l’application d’affiliation. Lorsque cette valeur de propriété est false ou no, le service DRDA se connecte à SQL Server à l’aide de l’authentification SQL Server. - Les informations d’identification de connexion sont dérivées des arguments ID utilisateur et Mot de passe dans ConnectionString. - Les informations d’identification de connexion sont dérivées du client de données du demandeur d’application DRDA lorsque les arguments ID utilisateur et Mot de passe ne sont pas présents. Note: Vous devez spécifier false lorsque vous utilisez les fonctionnalités de Sign-On unique d’entreprise et de domaine d’authentification mappées initiées par Windows. |
| Max Pool Size | La propriété Taille maximale du pool définit le nombre maximal de connexions que le client SQL doit conserver dans le pool de connexions. Cette propriété facultative accepte une valeur entière . La valeur par défaut est 100. |
| MultipleActiveResultSets | La propriété MultipleActiveResultSets indique à SQL Server de gérer plusieurs jeux de résultats actifs (MARS), y compris les objets de curseur de serveur ouverts. Cette propriété requise accepte une valeur booléenne true, false, oui et non. La valeur par défaut est true. Note: Le service DRDA nécessite MARS pour prendre en charge les curseurs de serveur créés par des instructions SQL CURSOR WITH HOLD statiques. |
| Network Library | La propriété Bibliothèque réseau indique au client SQL de se connecter à SQL Server à l’aide de la mémoire partagée ou du protocole TCP/IP. Cette propriété facultative accepte une valeur de chaîne de dbmslpcn (mémoire partagée), dbnmpntw (canaux nommés) ou dbmssocn (TCP/IP). La valeur par défaut est dbmslpcn. |
| Packet Size | La propriété Taille du paquet définit la taille en octets des paquets réseau que le client SQL utilisera pour communiquer avec un instance de SQL Server. Cette propriété facultative accepte une valeur entière , comprise entre 512 et 32676. La valeur par défaut est 8192. |
| Mot de passe | La propriété Password définit la valeur du mot de passe de connexion lorsque le client SQL utilise l’authentification SQL Server. Cette propriété facultative accepte une valeur de chaîne allant jusqu’à 128 caractères. La valeur par défaut est une chaîne vide. |
| Pooling | La propriété Pooling indique au client SQL d’ajouter des connexions nouvellement créées seront ajoutées au pool lorsqu’elles seront fermées par le service DRDA. Dans une prochaine tentative d’ouverture de la même connexion, avec les mêmes valeurs de propriété chaîne de connexion, cette connexion sera extraite du pool. Cette propriété facultative accepte une valeur booléenne true, false, oui et non. La valeur par défaut est false. |
| TrustServerCertificate | TrustServerCertificate indique au client SQL de chiffrer le canal lorsqu’il contourne la chaîne de certificats pour valider l’approbation. Cette propriété facultative accepte une valeur booléenne true, false, oui et non. La valeur par défaut est false. |
| ID d'utilisateur | La propriété User ID définit la valeur de l’ID d’utilisateur de connexion lorsque le client SQL utilise l’authentification SQL Server. Cette propriété facultative accepte une valeur de chaîne allant jusqu’à 128 caractères. La valeur par défaut est une chaîne vide. |
| ID Station de travail | La propriété ID de station de travail définit le nom de la station de travail lors de la connexion à SQL Server. Cette propriété facultative accepte une valeur de chaîne allant jusqu’à 128 caractères. La valeur par défaut est une chaîne vide. |
Le service DRDA prend en charge ces noms et valeurs d’arguments de chaîne de connexion SqlClient.
Pour plus d’informations, consultez https://msdn.microsoft.com/library/system.data.sqlclient.sqlconnection.connectionstring.aspx.
Nom de l’application cliente
L’attribut clientApplicationName indique au service DRDA comment définir la propriété de connexion nom de l’application cliente SQL. Cet attribut facultatif accepte une valeur de type chaîne. La valeur par défaut est externalName, qui est le nom externe DRDA (EXTNAM) qui représente le nom du travail, de la tâche ou du processus du programme client DRDA AR. Si vous le souhaitez, spécifiez une valeur de transactionIdentifier, qui correspond aux octets 5-8 de l’EXTNAM représentant le nom de l’identificateur de transaction du programme client DRDA AR lors de l’exécution dans CICS pour z/OS.
Délai d’expiration de la procédure stockée CALL
L’attribut storedProcedureCallTimeout indique au service DRDA la durée (en secondes) d’attente d’SQL Server pour traiter une instruction CALL pour exécuter une procédure stockée, avant de mettre fin à la tentative et de générer une erreur. Cet attribut facultatif accepte une valeur entière . Les valeurs valides sont supérieures ou égales à 0 et inférieures ou égales à 2147483647. La valeur 0 indique aucune limite (une tentative d’exécution d’une commande attendra indéfiniment). La valeur par défaut est 30 secondes.
Notes
Cette valeur de délai d’expiration est le délai d’attente cumulé pour toutes les lectures réseau pendant l’exécution de la commande ou le traitement des résultats. Un délai d’expiration peut toujours se produire après le retour de la première ligne, et n’inclut pas le temps de traitement de l’utilisateur, uniquement le temps de lecture du réseau.
SQL Application
L’élément sqlApplicationManager du fichier MsDrdaService.exe.config contient les paramètres d’application pour la gestion des connexions clientes SQL hors limites. Le type sqlApplicationManager est Microsoft.HostIntegration.Drda.Server.SqlApplicationManager, qui traite les connexions clientes SQL hors limites.
Transaction de restauration en cas d’erreur
L’attribut rollbackTransactionOnError indique au service DRDA d’exécuter un ROLLBACK après une erreur de base de données SQL Server négative. Cet attribut facultatif accepte une valeur booléenne . La valeur par défaut est true.
Notes
La définition de cette valeur sur false peut fournir une compatibilité avec les programmes personnalisés attachés à DB2 pour z/OS. Toutefois, la définition de cette valeur sur false peut rompre la compatibilité avec les clients demandeurs d’applications DRDA de plateforme ouverte standard (par exemple, ODBC), tels que le pilote JDBC IBM DB2 Connect.
Sécurité
Le service DRDA traite l’authentification des connexions réseau TCP/IP liées. Le service DRDA prend en charge le chiffrement facultatif et les fonctionnalités d’authentification unique pour améliorer la sécurité et les performances. L’élément securityManager du fichier MsDrdaService.exe.config contient les paramètres de sécurité pour la gestion des connexions clientes DRDA liées. Le type securityManager est Microsoft.HostIntegration.Drda.Server.SecurityManager, qui traite l’authentification des connexions réseau TCP/IP liées.
Application associée esso Host-Initiated
L’attribut hostInitiatedAffiliateApplication définit le nom de l’application affiliée que le service DRDA doit utiliser avec Microsoft Enterprise Single Sign-On pour mapper les informations d’identification du client DRDA AR liées à un utilisateur de domaine Windows Active Directory, lorsque le client SQL utilise l’authentification Windows. Cette propriété facultative accepte une valeur de chaîne . La valeur par défaut est une chaîne vide, qui indique au service DRDA de ne pas utiliser ESSO initié par l’hôte.
Notes
Lorsque vous utilisez ESSO initié par l’hôte, vous devez spécifier Integrated Security=true dans le SQL Server chaîne de connexion.
Les applications affiliées sont des entités logiques qui représentent un système ou un sous-système, tel qu’un hôte, un système principal ou un client de base de données IBM DB2. Contactez votre administrateur de l'authentification unique pour obtenir le nom de l'application associée à l'authentification unique de l'entreprise.
Application associée esso Windows-Initiated
L’attribut windowsInitiatedAffiliateApplication définit le nom de l’application affiliée que le service DRDA doit utiliser avec Microsoft Enterprise Single Sign-On pour mapper l’utilisateur de domaine Windows Active Directory à des informations d’identification du client SQL hors limites, lorsque le client SQL utilise l’authentification SQL Server. Cette propriété facultative accepte une valeur de chaîne . La valeur par défaut est une chaîne vide, qui indique au service DRDA de ne pas utiliser ESSO initié par Windows.
Si vous le souhaitez, spécifiez la valeur isRdbName pour indiquer au service DRDA d’utiliser le nom de base de données relationnelle (RDBNAM) lié sur le flux de protocole ACCRDB (base de données relationnelle Access) comme nom d’application Windows-Initiated affilié. Lorsque vous définissez l’application affiliée ESSO lancée par Windows, vous devez créer un troisième champ (« ConnectionString »). Le mappage des informations d’identification doit contenir dans le champ ConnectionString la paire valeur d’argument (Catalogue initial=<SQL_Server_Database_Name>). Le mappage des informations d’identification peut contenir un espace réservé pour le champ Mot de passe (MS$SAME).
Notes
Lorsque vous utilisez l’authentification ESSO lancée par Windows, vous devez spécifier Integrated Security=true dans le SQL Server chaîne de connexion.
Les applications affiliées sont des entités logiques qui représentent un système ou un sous-système, tel qu’un hôte, un système principal ou un client de base de données IBM DB2. Contactez votre administrateur de l'authentification unique pour obtenir le nom de l'application associée à l'authentification unique de l'entreprise.
Délai d’expiration du jeton de sécurité
Le service DRDA met en cache le jeton de sécurité obtenu à partir des fonctionnalités de Sign-On unique d’entreprise et de domaine d’authentification mappé pendant une durée configurée, avec laquelle utiliser lors de la connexion à SQL Server configuré pour Authentification Windows à l’aide de l’interface SSPI (Security Support Provider Interface) intégrée.
L’attribut securityTokenTimeout indique au serveur DRDA de conserver un jeton de sécurité pendant une durée donnée, après quoi obtenir un nouvel identificateur de client Windows (CID). Cet attribut facultatif accepte une valeur de durée . La valeur par défaut est PT8H (la période est de 8 heures). La valeur de durée est spécifiée sous la forme PnYnMnDTnHnMnS.
| Élément | Description |
|---|---|
| P | Période de temps pour la durée (obligatoire) |
| Ny | Nombre d'années. |
| Nm | Nombre de mois. |
| Nd | Nombre de jours. |
| T | Début d’une section de temps (nécessaire pour spécifier une durée de temps composée d’heures, de minutes ou de secondes). |
| Nh | Nombre d'heures. |
| Nm | Nombre de minutes. |
| S | Nombre de secondes. |
Durée du temps exprimée au format XML.
Authentification mappée
L’attribut mapAuthenticationDomain indique au service DRDA auquel le domaine Microsoft Windows Active Directory doit mapper les informations d’identification du client DRDA liées (nom d’utilisateur et mot de passe), lors de la connexion à SQL Server configurée pour Authentification Windows à l’aide de l’interface SSPI (Security Support Provider Interface) intégrée, mais pas lors de l’utilisation de l’authentification unique Microsoft Enterprise. Cet attribut facultatif accepte une valeur de type chaîne. La valeur par défaut est une chaîne vide.
Notes
L’authentification de sécurité du domaine d’authentification mappée nécessite la configuration supplémentaire suivante.
connexion de base de données SQL Server
L’argument Sécurité intégrée dans le SQL Server chaîne de connexion doit avoir la valeur true.
L’attribut hostInitiatedAffiliateApplication dans l’élément de base de données du fichier MsDrdaService.exe.config doit être défini sur une valeur de chaîne vide. Vous ne pouvez pas utiliser l’authentification ESSO lancée par l’hôte simultanément avec l’authentification de sécurité du domaine d’authentification mappée.
Sécurité Windows pour le compte de service DRDA
Le MsDrdaService.exe doit s’exécuter dans le contexte d’un compte d’utilisateur de domaine (Domaine\Utilisateur).
Le compte de service doit être membre des groupes locaux Administrateurs HIS et Utilisateurs du runtime HIS.
Stratégie de sécurité locale
Le compte de service nécessite ces paramètres de stratégie de sécurité locale pour s’exécuter en tant que service :
Le compte de service requiert l’ouverture d’une session en tant que service.
Le compte de service requiert le privilège Agir en tant que partie du système d’exploitation.
Le compte de service requiert Gestionnaire des informations d'identification comme appelant approuvé.
Le compte de service nécessite l’option Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation.
DB2 pour base de données de connexion (CDB) z/OS
| Table de charge de travail | Colonne | Valeur | Description |
|---|---|---|---|
| SYSIBM. IPNAMES | SECURITY_OUT | P | La valeur « P » indique mot de passe avec l’identificateur d’autorisation. |
| SYSIBM. IPNAMES | USERNAMES | O | La valeur « O » indique l’identificateur sortant de SYSIBM. Table USERNAMES. |
| SYSIBM. USERNAMES | TYPE | O | La valeur « O » désigne la traduction sortante. |
| SYSIBM. USERNAMES | AUTHID | <string> | La valeur de chaîne est le nom d’utilisateur du domaine Windows Active Directory. |
| SYSIBM. USERNAMES | PASSWORD | <string> | La valeur de chaîne est le mot de passe de domaine Windows Active Directory. |
Paramètres de base de données de connexion DB2 pour z/OS requis pour prendre en charge l’authentification de sécurité du domaine d’authentification mappée.
Délai d’expiration de la recherche d’authentification
L’attribut authenticationLookupTimeout indique au serveur DRDA la durée d’attente d’une demande de recherche d’authentification de sécurité avant d’échouer. Cet attribut facultatif accepte une valeur de durée . La valeur par défaut est PT30S (la période de temps est de 30 secondes). La valeur de durée est spécifiée sous la forme PnYnMnDTnHnMnS.
| Élément | Description |
|---|---|
| P | Période de temps pour la durée (obligatoire) |
| Ny | Nombre d'années. |
| Nm | Nombre de mois. |
| Nd | Nombre de jours. |
| T | Début d’une section de temps (nécessaire pour spécifier une durée de temps composée d’heures, de minutes ou de secondes). |
| Nh | Nombre d'heures. |
| Nm | Nombre de minutes. |
| S | Nombre de secondes. |
Durée du temps exprimée au format XML.
Nouvelles tentatives de recherche d’authentification
L’attribut authenticationLookupRetries indique au serveur DRDA le nombre de tentatives de recherche d’authentification de sécurité avant d’échouer. Cet attribut facultatif accepte une valeur entière . La valeur par défaut est 3 nouvelles tentatives.
Instructions SET
Le service DRDA se connecte à SQL Server en utilisant le fournisseur Microsoft ADO.NET Framework pour SQL Server et le client SQL sous-jacent. L’élément sqlSet du fichier MsDrdaService.exe.config contient les instructions SET que le serveur DRDA émettra pour chaque connexion SQL Server, afin de modifier la gestion de session actuelle d’informations spécifiques.
SET ARITHABORT
L’attribut arithAbort indique au serveur DRDA d’émettre l’instruction SET ARITHABORT au moment de la connexion, pour demander SQL Server d’arrêter une requête lorsqu’une erreur de dépassement de capacité ou de division par zéro se produit pendant l’exécution de la requête. Cet optional attribut accepte une string valeur. La valeur par défaut est ON.