Sécurité et protection des fournisseurs de données pour les fichiers d’hôte
Vous pouvez utiliser le fournisseur de ADO.NET pour les fichiers hôtes (fournisseur de données) pour connecter des applications consommateur de données Windows à des serveurs de système de fichiers hôtes IBM distants. Le fournisseur de données fonctionne comme un client de gestion distribuée des données (DDM) qui prend en charge le protocole d’entrée/sortie au niveau de l’enregistrement (RLIO) compatible avec les produits de serveur de fichiers hôtes IBM fonctionnant en tant que serveurs DDM.
Vous pouvez utiliser le fournisseur de données en émettant des instructions de langage de requête structurées pour les opérations de lecture et d’écriture. Le fournisseur de données connecte les applications clientes Windows aux serveurs de fichiers hôtes via un protocole de contrôle de transmission sur un réseau TCP/IP (Internet Protocol) ou un routage haute performance SNA (Architecture réseau système) sur un protocole Internet (HPR/IP) qui utilise une ou plusieurs des fonctionnalités de sécurité facultatives décrites plus loin dans cette rubrique.
Sécurité
Compte d’utilisateur
Les outils du fournisseur de données, les outils d’accès aux données et les liaisons de données s’exécutent dans le contexte d’un compte d’utilisateur. Le compte d’utilisateur doit être membre des groupes locaux Administrateurs HIS et Utilisateurs du runtime HIS.
Liste de contrôle d’accès de dossier
Le compte d’utilisateur a besoin des paramètres de liste de contrôle d’accès de dossier associés aux groupes locaux Administrateurs HIS et Utilisateurs du runtime HIS.
Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources
Protection
Data Tools stocke les informations d’identification d’authentification en texte brut dans le fichier chaîne de connexion (TXT)
L’Assistant Source de données enregistre les informations d’identification d’authentification (nom d’utilisateur et mot de passe) en texte brut dans le fichier de texte chaîne de connexion (TXT). Nous vous recommandons de configurer le fournisseur de données pour utiliser enterprise single Sign-On (ESSO), qui stocke en toute sécurité les mappages des comptes Windows Active Directory vers les informations d’identification du système hôte IBM. Le fournisseur de données récupère ces mappages au moment de l’exécution pour authentifier en toute sécurité les utilisateurs Windows auprès des serveurs de système de fichiers hôtes IBM distants. Vous devez exécuter le fournisseur de données in-process avec le consommateur de données et les outils de données.
Le fournisseur de données se connecte en utilisant un mot de passe et un nom d’utilisateur non chiffrés en texte brut
Le fournisseur de données se connecte aux ordinateurs serveurs du système de fichiers hôte distants via un réseau TCP/IP ou SNA à l’aide de l’authentification de base, où le nom d’utilisateur et le mot de passe ne sont pas chiffrés et sont envoyés en texte brut. Nous vous recommandons de configurer le fournisseur de données pour utiliser le chiffrement d’authentification à l’aide de SSL (Secure Sockets Layer) V3.0 ou TLS (Transport Layer Security) V2.0 lorsque vous vous connectez à des ordinateurs serveurs de système de fichiers hôtes distants qui exécutent i7/OS.
Le Fournisseur de données envoie et reçoit des données non chiffrées
Le fournisseur de données envoie et reçoit des données non chiffrées. Nous vous recommandons de configurer le fournisseur de données pour utiliser le chiffrement des données à l’aide de SSL (Secure Sockets Layer) V3.0 ou TLS (Transport Layer Security) V2.0.
Les consommateurs de données et les outils de données lisent et écrivent les fichiers de connexion vers et à partir de dossiers non sécurisés
Les consommateurs de données et les outils de données peuvent lire et écrire des fichiers de connexion dans des dossiers non sécurisés. Vous devez stocker des fichiers de chaîne de connexion (TXT) dans le serveur d’intégration hôte\sources de données ou dans un répertoire de programme, puis sécuriser le dossier avec des droits d’administrateur local. Vous devez stocker les chaîne de connexion dans le fichier de configuration de l’application Consommateur de données, puis sécuriser le dossier avec des droits d’administrateur local. Vous devez conserver les informations de connexion dans les banques d'informations sécurisées des consommateurs de données et des outils de données, puis exécuter le fournisseur de données in-process avec le consommateur de données et les outils de données.
Les consommateurs de données et les outils de données peuvent demander des connexions avec des propriétés non valides
Les consommateurs de données et les outils de données peuvent demander des connexions avec des valeurs de propriété de connexion non valides. Vous devez utiliser les consommateurs de données qui créent des connexions en utilisant les objets de connexion du fournisseur de données au lieu de passer des paires nom/valeur d'arguments de chaîne de connexion non vérifiées. Vous devez définir une valeur de délai de connexion pour annuler les tentatives de connexion non valides.
Les consommateurs de données et les outils de données peuvent demander des commandes avec des données non valides
Les consommateurs de données et les outils de données peuvent demander des commandes avec des données non valides. Vous devez utiliser les consommateurs de données qui créent des commandes en utilisant la commande du fournisseur de données avec des objets de paramètre pour valider les types de paramètre, au lieu de passer des chaînes de commande non vérifiées avec des valeurs de données insérées. Le fournisseur de données valide les données en fonction du fichier HIDX (Metadata Schema). Vous devez définir une valeur de délai d’expiration des commandes pour annuler les tentatives de commande non valides.
Data Consumers et Data Tools lisent et écrivent des fichiers de métadonnées dans et à partir de dossiers non sécurisés
Les consommateurs de données et les outils de données peuvent lire et écrire des fichiers de schéma de métadonnées (HIDX) vers et à partir de dossiers non sécurisés. Vous devez stocker les fichiers HIDX de métadonnées dans le répertoire du programme consommateur ou dans un autre répertoire, puis sécuriser le dossier avec des droits d’administrateur local. Le fournisseur de données vérifie le fichier HIDX de métadonnées au moment de la connexion. Vous devez définir une valeur de délai de connexion pour annuler les tentatives de connexion non valides. Vous pouvez lire/écrire des fichiers IBM i de disposition d’enregistrement unique décrits par le système sans utiliser un fichier HIDX (Data Provider Metadata Schema).
Data Consumers et Data Tools lisent et écrivent à partir de fichiers de données hors connexion locaux non sécurisés
Les consommateurs de données et les outils de données peuvent lire et écrire à partir de fichiers de données hors connexion locaux non sécurisés. Vous devez stocker des fichiers de données hors connexion dans le répertoire du programme consommateur ou dans un autre répertoire, puis sécuriser le dossier avec des droits d’administrateur local.