Tuxedo Mainframe Adapter for TCP Gateway(以後TMA TCP Gatewayと呼ぶ)コンポーネントに備わっているセキュリティの特徴は、RACFなどのシステム・セキュリティで検証の対象にするユーザーID要件を、TuxedoのリクエスタがOTMAまたはCICSサーバーのインタフェースを介して渡すことです。
このドキュメントでは、セキュリティに関する次のトピックについて説明します。
次の図に、TMA TCP Gatewayからメインフレームにアクセスする際のセキュリティ検証の処理フローを示します。
tpinit()
を実行すると、ユーザーのTuxedo識別子がtpusr
ファイルと照合され検証されます。tpcall()
またはtpacall()
を発行すると、Tuxedoはtpacl
ファイルと照合して、そのユーザーにゲートウェイ・サービスを呼び出す権限があるかどうかを検証します。GWICONFIG
ファイルのRMTNAME
とPASSWORD
に指定されている情報)がTMA TCP Gatewayからリモート・ゲートウェイに渡されます。RMTNAME
とPASSWORD
の値が、リモート・ゲートウェイに構成されている値と一致すれば、接続が確立されます。リクエストの送信時に毎回、TMA TCP Gatewayからリモート・ゲートウェイにユーザーのTuxedo識別子が渡されます。
注意: | 権限のチェックを通過するには、ユーザーのTuxedo識別子がメインフレームのユーザーIDと正確に一致している必要があります。 |
次の図に、メインフレームからTMA TCP Gatewayにアクセスする際のセキュリティ検証の処理フローを示します。
注意: | 権限のチェックを通過するには、ユーザーのTuxedo識別子がメインフレームのユーザーIDと正確に一致している必要があります。 |
tpacl
ファイルに基づいてアクセス・チェックを実行して、リクエストされたサービスに対するアクセス権限がユーザーにあるかどうかを検証します。
TMA TCP Gateway製品にはセキュリティを確保する手段が2つあります。
Tuxedoのセキュリティ・プラグインを使用すると、セキュリティの機能(代替のセキュリティ機能の実装を含む)をカスタマイズできるようになります。Tuxedoセキュリティ・プラグインはTuxedoプラグインの構成時に設定します。この機能に関する具体的な情報は、Tuxedoのドキュメントを参照してください。
カスタムのセキュリティ・プラグインを実装しない場合には、組込み式のTuxedoセキュリティを使用します。
組込み式のTuxedoセキュリティ機能を有効にするには、次の手順に従います。
UBBCONFIG
ファイルにSECURITY
を記述します。詳細はOracle Tuxedo管理ガイドを参照してください。 ACL
の各ファイルを設定します。詳細はOracle Tuxedo管理者ガイドを参照してください。 注意: | これらのファイル内のユーザー情報は、Oracle Tuxedo環境とメインフレーム環境で一致している必要があり、一致しない場合はセキュリティ違反が発生します。 |
GWICONFIG
)のセキュリティ・パラメータを記述します。GWICONFIG
の構文とパラメータ定義は、「Oracle TMA TCP Gatewayの構成」の項を参照してください。 TMA TCPのセキュリティを設定する手順の中で、ユーザー、グループおよびACL
の各ファイルが必要になります。これより、これらのサンプル・ファイルを示します。
次のサンプルは、ユーザー名、暗号化パスワード、ユーザーID番号、グループ番号およびクライアント名を指定したユーザー・ファイルです。
#illen:w2ZMOKeJmiU0M:1:0:TPCLTNM,someguy::
#illen:0YzvQeqzcNz56:1:0:TPCLTNM,*::
#eke:x3vG37eOqh0XE:2:0:TPCLTNM,*::
#illen:0YzvQeqzcNz56:1:1:TPCLTNM,*::
#illen:0YzvQeqzcNz56:1:2:TPCLTNM,*::
john:x3vG37eOqh0XE:2:1:TPCLTNM,*::
jim:0YzvQeqzcNz56:1:1:TPCLTNM,*::
richard:IxqosKHu5Q3BA:3:1:TPCLTNM,*::
JDOE:zBMWVUBNNBVgo:4:0:TPCLTNM,*::
smith:ULfRJzAeyGAD2:5:0:TPCLTNM,*::
シャープ記号(#)で始まる行は、tpusrmod
またはtpusrdel
による変更済または削除済のユーザーです。
次のサンプルは、グループの名前と索引を指定したグループ・ファイルです。
注意: | The tpgrp ファイルは、セキュリティとしてACL モードまたはMANDATORY_ACL モードを指定する場合にのみ必要です。セキュリティとしてUSER_AUTH を指定した場合でも、ユーザーをグループに割り当てることはできますが、リモート・システムがセキュリティ用に使用するグループには関連付けられません。 |
good::1:
bad::2:
tpacl
ファイルは、グループとそのグループのアクセス先のサービスを関連付けます。tpacl
ファイルでは、最初のフィールドに保護する対象、2番目のフィールドに(最初のフィールドに指定した)保護対象のタイプ、3番目のフィールドに保護対象へのアクセスを許可するグループを指定します。
次の例では、グループ1のユーザー(john、jim、richard)のみがTOLOWER
にアクセスでき、グループ2のユーザーのみがTOUPPER
にアクセスできます。
注意: | tpacl ファイルは、セキュリティとしてACL またはMANDATORY_ACL の各モードを指定する場合にのみ必要です。 |
TOLOWER:SERVICE:1:
TOUPPER:SERVICE:2:
TMA TCP Gatewayにはデータ領域セキュリティが備わっており、これは次のケースに該当する場合のセキュリティ上の特殊な処理パターンです。
これらのケースでは、クライアントのユーザーID、グループ名およびLTERM
をリクエストのデータ領域に指定できます。Tuxedoクライアントの場合は、データ領域に指定したユーザー情報が、通常の処理と同じようにリモート・ゲートウェイによって検証されます。リモート・クライアントの場合は、ローカル・ゲートウェイがリモート・ユーザーの情報をデータ領域のフィールドに格納し、Tuxedoサービスがその情報を使用できるようにします。このケースでは、リモート・クライアントがこれらのフィールドに値を設定する必要はありませんが、データ領域にフィールドが収まるように領域を割り当てる必要があります。
データ領域セキュリティを有効にするには、次の手順に従います。
GWICONFIG
ファイルのリモート・ホストに対応するFOREIGN
セクションにWRAP=TPSD
を設定します。GWICONFIG
ファイルのFOREIGN
セクションの構文とパラメータ定義は、「GWICONFIGファイルのFOREIGNセクションの定義」の項を参照してください。 注意: | VIEW データ・フォーマットを使用する場合は、リスト4-4の定義のように、アプリケーション・データの前に追加のフィールドを割り当てます。STRING データ・フォーマットを使用する場合は、文字列の先頭に24バイト分の追加の領域を割り当てて、セキュリティ・フィールドとして使用できるようにします。 |
Cの場合には、ユーザー・データ領域のフィールドは次のフォーマットになります。
struct da_security {
char uname[8]; /*user name*/
char group[8]; /*user group*/
char lterm[8]; /*terminal id*/
/*user data is appended here*/
}