この章では、IBM の Host On Demand または Attachmate 3270 Mainframe Adapter for Sun Emulator Class Library を使用してメインフレームのリソースへの接続を確立する方法について説明します。
ここでは、このアダプタ用の SSL の設定方法について説明します。 次のトピックがあります。
SSL または TLS を使用して RACF リソースアダプタを Telnet/TN3270 サーバーに接続するには、次の手順を使用します。
PKCS #12 ファイル形式の Telnet/TN3270 サーバーの証明書を取得します。このファイルのパスワードとして hod を使用します。サーバーの証明書をエクスポートする方法については、使用しているサーバーのマニュアルを参照してください。一般的な手順は、「PKCS #12 ファイルの生成」で説明しています。
PKCS #12 ファイルから CustomizedCAs.class ファイルを作成します。最新バージョンの HOD を使用している場合は、次のコマンドを使用してこの作業を行います。
..\hod_jre\jre\bin\java -cp ../lib/ssliteV2.zip; ../lib/sm.zip com.ibm.eNetwork.HOD.convert.CVT2SSLIGHT CustomizedCAs.p12 hod CustomizedCAs.class |
CustomizedCAs.class ファイルを Identity Manager サーバーのクラスパス内の任意の場所 ($WSHOME/WEB-INF/classes など) に配置します。
「セッションプロパティー」というリソース属性がリソースにまだ存在しない場合は、[IDMIDE テキストエンティティーを定義してください] またはデバッグページを使用して、この属性をリソースオブジェクトに追加します。<ResourceAttributes> セクションに、次の定義を追加します。
<ResourceAttribute name=’Session Properties’ displayName=’Session Properties’ description=’Session Properties’ multi=’true’> </ResourceAttribute> |
リソースの「リソースパラメータ」ページに移動し、「セッションプロパティ」リソース属性に値を追加します。
SESSION_SSL true |
次の手順は、SSL/TLS を使用して Host OnDemand (HOD) リダイレクタを使用する場合の、PKCS #12 ファイルの生成方法の概要を示しています。このタスクの実行の詳細については、HOD のマニュアルを参照してください。
IBM 証明書管理ツールを使用して、新しい HODServerKeyDb.kdb ファイルを作成します。このファイルの一部として、新しい自己署名付き証明書をデフォルトのプライベート証明書として作成します。
HODServerKeyDb.kdb ファイルの作成時に、「証明書データベースにキーを追加しようとしてエラーが発生した」という内容のメッセージが表示された場合は、1 つ以上の信頼できる認証局証明書の期限が切れている可能性があります。IBM の Web サイトをチェックして、最新の証明書を取得します。
作成したプライベート証明書を Base64 ASCII として cert.arm ファイルにエクスポートします。
IBM 証明書管理ツールを使用して、cert.arm ファイルから署名者証明書にエクスポートされた証明書を追加することにより、CustomizedCAs.p12 という名前の新しい PKCS #12 ファイルを作成します。このファイルのパスワードとして hod を使用します。
「セッションプロパティ」リソース属性に次の内容を追加することにより、HACL のトレースを有効にできます。
SESSION_TRACE ECLSession=3 ECLPS=3 ECLCommEvent=3 ECLErr=3 DataStream=3 Transport=3 ECLPSEvent=3
トレースパラメータは、改行文字を入れずに列挙してください。テキストボックス内でパラメータが折り返される場合は、そのままでかまいません。
Telnet/TN3270 サーバーにも、同じように利用できるログがあります。
Attachmate 3270 Mainframe Adapter for Sun Emulator Class Library は、IBM Host on Demand API と互換性があります。製品に付属するインストール手順に従ってください。続いて、Identity Manager で次の手順を実行します。
「セッションプロパティー」というリソース属性がリソースにまだ存在しない場合は、[IDMIDE テキストエンティティーを定義してください] またはデバッグページを使用して、この属性をリソースオブジェクトに追加します。<ResourceAttributes> セクションに、次の定義を追加します。
<ResourceAttribute name=’Session Properties’ displayName=’Session Properties’ description=’Session Properties’ multi=’true’> </ResourceAttribute> |
リソースの「リソースパラメータ」ページに移動し、「セッションプロパティ」リソース属性に次の値を追加します。
encryptStream true hostURL tn3270://hostname:SSLportkeystoreLocation Path_To_Trusted_ps.pfx_file |
Identity Manager 内で、SSH は JCraft クラスを使用して処理されます。このクラスは jsch.jar に含まれています。Sun 製品向け Attachmate 3270 メインフレームアダプタには、RWebSDK.jar に JCraft クラスのコピーが含まれています (実際には、Identity Manager は 3270 接続でこれらのクラスを使用しません)。2 つの JAR は同じバージョンの JCraft クラスを含んでいませんが、Web コンテナが JAR ファイルを読み込む順序によっては、競合が発生する可能性があります。
競合を避けるには、RWebSDK.jar をバックアップし、RWebSDK.jar を適切なツール (WinZip など) で編集し、com.jcraft クラスを削除したあと、ファイルを保存します。これにより、不要なバージョンの JCraft クラスが排除され、SSH は正しく機能するようになります。
RWebSDK.jar は、Identity Manager では配布されていません。Sun 製品用の Attachmate 3270 メインフレームアダプタの一部としてのみ使用できます。