보안

DRDA 서비스는 온라인 및 일괄 처리를 위해 DUW(분산 작업 단위) 트랜잭션을 통해 플랫폼 간 데이터베이스 액세스 및 상호 운용성을 제공합니다. DRDA 서비스는 IBM DB2 DRDA 애플리케이션 요청자 클라이언트 프로그램을 Microsoft SQL Server 데이터베이스에 연결합니다. DRDA 서비스는 DB2 애플리케이션 요청자 클라이언트로 작동하는 IBM 제품과 호환되는 DRDA(Distributed Relational Database Architecture) 프로토콜 및 형식을 지원하는 애플리케이션 서버로 작동합니다.

DRDA 서비스는 이 항목에 설명된 선택적 보안 기능을 사용하는 TCP/IP(인터넷 프로토콜) 네트워크 연결을 통한 전송 제어 프로토콜의 인바운드 DB2 클라이언트 애플리케이션 요청에 응답합니다. DRDA 서비스는 메모리 내 또는 TCP/IP 네트워크 연결을 사용하여 TDS(테이블 형식 데이터 스트림)를 사용하여 아웃바운드 SQL 관리 클라이언트 요청을 시작합니다.

DRDA 서비스는 DRDA 서비스가 아웃바운드 동적 SQL CALL 문에 매핑하는 인바운드 매개 변수가 있는 정적 SQL 명령을 처리하여 해당 SQL Server 저장 프로시저를 실행합니다. 또한 DRDA 서비스는 인바운드 동적 SQL SELECT, INSERT, UPDATE, DELETE 및 CALL 문을 SQL Server에 대한 통과 명령으로 처리합니다.

DRDA 서비스는 사용자 이름, 사용자 이름 및 암호 또는 Kerberos 티켓을 Windows 자격 증명에 매핑하여 인바운드 클라이언트 요청을 인증할 수 있습니다. DRDA 서비스는 보안 인증 및 보안 데이터 암호화 옵션을 지원합니다.

윈도우 보안

서비스 계정

MsDrdaService.exe 사용자 또는 서비스 계정의 컨텍스트에서 실행해야 합니다.

  1. 서비스 계정은 로컬 시스템, 로컬 서비스 또는 네트워크 서비스 계정일 수 있습니다.

  2. 서비스 계정은 로컬 사용자 계정일 수 있습니다.

  3. 서비스는 도메인 사용자 계정(Domain\User)일 수 있습니다.

로컬 그룹

서비스 계정은 HIS 관리자 및 HIS 런타임 사용자 로컬 그룹의 구성원이어야 합니다.

  1. 서비스 계정은 HIS 관리자 로컬 그룹의 구성원이어야 합니다.

  2. 서비스 계정은 HIS 런타임 사용자 로컬 그룹의 구성원이어야 합니다.

  3. 최종 사용자 계정은 HIS 런타임 사용자 로컬 그룹의 구성원이어야 합니다. 예를 들어 호스트 시작 Enterprise Single Sign-On을 사용하여 인바운드 DRDA AR 사용자 이름을 매핑하는 경우 매핑된 Windows 사용자 계정은 HIS 런타임 사용자 로컬 그룹의 구성원이어야 합니다.

로컬 보안 정책

서비스 계정에는 이러한 로컬 보안 정책 설정이 서비스로 실행되어야 합니다.

  1. 서비스 계정에는 서비스로 로그온해야 합니다.

    서비스 계정에는 호스트 시작 Enterprise Single Sign-On을 활용하려면 이러한 로컬 보안 정책 설정이 필요합니다.

  • 서비스 계정에는 운영 체제의 일부로 Act가 필요합니다.

  • 서비스 계정에는 신뢰할 수 있는 호출자로 Access Credential Manager가 필요합니다.

  • 서비스 계정은 위임을 받을 수 있도록 컴퓨터 및 사용자 계정을 신뢰할 수 있게 설정해야 합니다.

폴더 액세스 제어 목록

MsDrdaService 계정에는 HIS 관리자 로컬 그룹 및 HIS 런타임 사용자 로컬 그룹과 연결된 폴더 액세스 제어 목록 설정이 필요합니다.

HIS 관리자 로컬 그룹에는 이러한 폴더 액세스 제어 설정이 있습니다.

파일 폴더 Modify 읽기 및 실행 폴더 내용 보기 Read 작성하다 특정 권한
Program Files\Microsoft Host Integration Server 2020 Allow Allow Allow
Program Files\Microsoft Host Integration Server 2020\system Allow Allow Allow
Program Files\Microsoft Host Integration Server 2020\traces

각 사용자 계정에는 HIS 런타임 사용자 로컬 그룹과 연결된 폴더 액세스 제어 목록 설정이 필요합니다. 예를 들어 각 사용자는 MsDrdaService.DSTF 텍스트 추적 파일에 줄을 삽입하기 위한 쓰기 권한이 있어야 합니다.

HIS 런타임 사용자 로컬 그룹에는 이러한 폴더 액세스 제어 설정이 있습니다.

파일 폴더 Modify 읽기 및 실행 폴더 내용 보기 Read 작성하다 특정 권한
Program Files\Microsoft Host Integration Server 2020Microsoft Host Integration Server 2020 Allow Allow Allow
Program Files\Microsoft Host Integration Server 2020\system Allow Allow Allow
Program Files\Microsoft Host Integration Server 2020\traces Allow Allow Allow Allow

ESSO 보안 그룹

  1. 서비스 계정은 SSO 관련 관리자 로컬 그룹의 구성원이어야 합니다.

  2. 서비스 계정은 SSO 관리자 로컬 그룹의 구성원일 수 있습니다.

제한된 위임 및 Kerberos

ESSO에는 Active Directory에서 상승된 권한이 필요합니다(Kerberos 제한 위임 및 모든 인증 프로토콜 사용). ESSO에는 DRDA 서비스가 연결되는 SQL Server 컴퓨터의 Kerberos 서비스 주체 이름이 필요합니다.