IMSユーザー・ガイド
Oracle Tuxedo Mainframe Adapter for TCPのセキュリティの構成
TMA TCP製品でサポートされているセキュリティの特徴は、Oracle Tuxedoサービスのリクエスタが、OTMAまたはCICSサーバーのインタフェースを介してユーザーID要件を送信し、サード・パーティのセキュリティ・パッケージで検証できるようにすることです。
注意: |
Tuxedo Mainframe Adapter for TCP (IMS)(以後TMA TCP for IMSと呼ぶ)はOTMAクライアントとしてのみ実行します。 |
Tuxedoからメインフレームにアクセスする際のセキュリティ・チェック
図3-1に、UNIX環境のTMA TCP Gatewayからメインフレームにアクセスする際のセキュリティ検証の処理フローを示します。
- UNIX上でユーザーが有効かどうかを検証します。ユーザーが有効であれば、アクセスは許可され、ユーザーが無効であれば、アクセスは拒否されます。
- ユーザー名(
tpusr
ファイルを確認)、グループ(tpgrp
ファイルを確認)およびACL(tpacl
ファイルを確認)を検証します。3つとも合格した場合は、トランザクション・リクエストの処理が開始されます。3つのうちいずれかが拒否された場合は、トランザクション・リクエストは停止し、セキュリティ違反が発生します。
注意: |
これらのファイル内のユーザーIDは、Tuxedo環境とメインフレーム環境で一致している必要があり、一致しない場合はセキュリティ違反が発生します。 |
- 信頼できる送信元から送信されてきたリクエストという前提に基づき、メインフレームのゲートウェイでトランザクション・リクエストを受け付けます。パスワードは渡されません。
- トランザクションに関連付けられているユーザー名をセキュリティ・システム(RACFなど)と照合して検証します。ユーザー名が有効でない場合、リクエストは拒否され、セキュリティ違反が発生します。
- サーバーにトランザクション・リクエストが届き、処理が完了します。
メインフレームからUNIXにアクセスする際のセキュリティ・チェック
図3-2に、メインフレームからUNIX環境のTMA TCP Gatewayにアクセスする際のセキュリティ検証の処理フローを示します。
- クライアントを開始する前に、認証チェックがメインフレームのセキュリティ・パッケージによって行われます。
- クライアントからのトランザクション・リクエストがメインフレームのゲートウェイに渡されます。
- 信頼できる送信元から送信されてきたリクエストという前提に基づき、UNIXのゲートウェイでトランザクション・リクエストを受け付けます。パスワードは渡されません。
-
appkey
を復号化し、ユーザー番号とグループ番号を取得します。ユーザー名をセキュリティ・システムと照合して検証します。ユーザー名が有効であり、ユーザーにトランザクションの実行権限がある場合は、トランザクション・リクエストが受け付けられます。ユーザー名が有効でない場合、リクエストは拒否され、セキュリティ違反が発生します。
- ユーザー名が受け付けられた場合、トランザクション・リクエストはサーバーに届き、処理は完了します。
TMA TCP for IMSのセキュリティの設定
TMA TCP for IMS製品には、セキュリティが強化されたOTMAインタフェースが備わっています。このインタフェースの特徴は、Oracle Tuxedoサービスのリクエスタが、OTMAサーバーのインタフェースを介してユーザーIDを送信し、ユーザーのセキュリティ・パッケージで認証できることです。
IMSからUNIXへの接続のセキュリティ設定
接続のセキュリティ機能を有効にするには、次の手順に従います。
- ローカルまたはリモートのゲートウェイ用の
GATEWAY
構成文にACCOUNT
パラメータとPASSWORD
パラメータを指定します。
-
GATEWAY
文のACCOUNT
とPASSWORD
のパラメータ値が、TMA TCP GatewayのGWICONFIG
ファイルの中にある*FOREIGN
セクションのRMTACCT
とPASSWORD
の値が一致することを確認します。
IMSからIMSへの接続のセキュリティ設定
接続のセキュリティ機能を有効にするには、次の手順に従います。
- ローカルまたはリモートのゲートウェイ用の
GATEWAY
構成文にACCOUNT
パラメータとPASSWORD
パラメータを指定します。
-
GATEWAY TYPE=LOCAL
用のGATEWAY
文のACCOUNT
とPASSWORD
のパラメータ値が、GATEWAY TYPE=REMOTE
文のACCOUNT
とPASSWORD
の値と一致することを確認します。
IMSからCICSへの接続のセキュリティ設定
接続のセキュリティ機能を有効にするには、次の手順に従います。
-
GATEWAY TYPE=LOCAL
構成文にACCOUNT
パラメータとPASSWORD
パラメータを指定します。
-
GATEWAY
TYPE=LOCAL
文のACCOUNT
とPASSWORD
のパラメータ値と、ユーザー・アカウント接続画面のアカウント
と「パスワード」
の値と一致することを確認します。
サービスのセキュリティ設定
サービスのセキュリティ機能を有効にするには、次の手順に従います。
- セキュリティ管理者の協力のもと、メインフレーム上でトランザクションのセキュリティを設定します。
- TMA TCP for IMS構成ファイルの
SYSTEM
文にOTMASECURITY=Y
を指定します。
-
SERVICE TYPE=LOCAL
文のSECURITY
パラメータを使用するローカル・サービスごとにセキュリティ・フラグを設定します。パラメータの情報は、「ローカル・サービスの定義」の項を参照してください。
- OTMAのインタフェース用のサービス単位でセキュリティ・チェックを有効にするには、IMSの
/SEC OTMA PROFILE
コマンドを発行します。すべてのサービスのセキュリティ・チェックを有効にするには、IMSの/SEC OTMA FULL
コマンドを発行します。
警告: |
任意のローカル・サービス定義用のSERVICE TYPE=LOCAL 文にSECURITY=N を指定する場合は、/SEC OTMA PROFILE を発行します。SECURITY=N を指定した状態で、/SEC OTMA FULL コマンドを発行すると、セキュリティの処理は失敗します。 |