安全准则

建议为 HTTPS 配置 Db2 Mirror GUI。 要配置 TLS，请使用 IBM® Web Administration for i GUI 管理 ADMIN3 Application 服务器，然后单击左侧导航窗格中的配置 TLS ，启动配置 TLS 向导。

如果未配置 TLS ，那么将使用非加密连接。

缺省情况下，所有用户都有权登录到 Db2 Mirror GUI。 用户必须提供用户标识和密码才能登录到 GUI 节点上的应用程序。

建议在镜像节点上配置 IBM i Host Server for TLS。 有关配置 IBM i Host Server for TLS 的信息，请参阅 设置 IBM i 以使用 TLS 。

当用户将现有 Db2 镜像对添加到其 GUI 仪表板时，用户可以选择使用非安全或安全的连接。 仅当已针对 TLS 配置了镜像节点上的 IBM i 主机服务器时，才能建立安全连接。

配置新的 Db2 镜像对时，仅在 IBM i 节点之间使用非加密连接。

登录到 GUI 节点的用户的凭证用于连接到 Db2 镜像节点。 如果用户无权在镜像节点上执行特定任务或功能，那么请求将失败。

Db2 镜像使用远程直接存储器存取 (RDMA) 协议在 Db2 镜像节点之间进行通信，以复制和再同步对象和数据。 必须在两个节点中安装支持 RDMA 的适配器。

缺省情况下， Db2 Mirror 强制实施要使用的加密 RDMA 协议。 但是，并非所有适配器都支持加密。 要允许使用非加密 RDMA ，具有 *SECADM 特权的用户可以将加密 RDMA 设置更改为不需要。

非加密 RDMA 链路应使用某种形式的保护来确保在节点之间安全地传输数据，例如物理上限制对服务器，适配器和电缆的访问。

必须在 GUI 节点和 Db2 Mirror 节点上为 Db2 Mirror 配置并装入加密服务主密钥 1 ，以存储 HMC ，存储器和其他密码。 请参阅 加密服务密钥管理 ，以获取有关装入和设置主密钥的信息。