CICSには、認証目的の2つのシステム・トランザクションがあります。
ARTTCPは、Tuxedoのセキュリティ・メカニズムを活用する、類似した認証関数を実装します。2つのTuxedoシステム・サービスCESNとCESFがCICS Runtimeによって提供され、CICSにおけるCESNトランザクションとCESFトランザクションをエミュレートします。
ターミナルがARTTCPに接続すると、ARTTCPは3270セッションを作成し、そのセッションがTuxedoをデフォルトのセキュリティ・プロファイルに結合します。デフォルトのセキュリティ・プロファイルで定義されるユーザー名は、CICSのデフォルト・ユーザーCICSUSERと類似したロールを持っています。認証プロセスは次のとおりです。
ARTTCPは、アプリケーション・パスワード(APP_PW)、ユーザー・レベル認証(USER_AUTH
)、およびアクセス制御リスト(ACLおよびMANDATORY_ACL)の3種類のTuxedoセキュリティ・メカニズムをサポートしています。
アプリケーション・パスワード・セキュリティ・メカニズムは、あらゆるクライアントが、Tuxedo ATMIアプリケーションを接続するプロセス中でアプリケーション・パスワードを提供することを要求します。管理者は、Tuxedo ATMIアプリケーション全体に対して単一のパスワードを定義し、認可されたユーザーにのみパスワードを提供します。Tuxedoアプリケーション・パスワードを構成する方法の詳細情報は、Tuxedoのドキュメントを参照してください。
ユーザー・レベル認証セキュリティ・メカニズムでは、アプリケーション・パスワードに加え、各クライアントが有効なユーザー名とパスワードを指定しないとTuxedo ATMIアプリケーションを結合できないことが要求されます。ユーザーごとのパスワードは、tpusr
という名前のファイルに格納されたユーザー名に関連付けられているパスワードと一致する必要があります。クライアント名は、使用されません。tpusr
のパスワードおよびユーザー名に対するユーザーごとのパスワードの照合は、Tuxedo認証サーバーAUTHSVR
によって提供される、Tuxedo認証サービスAUTHSVC
によって行われます。Tuxedoユーザー・レベル認証を構成する方法の詳細情報は、Tuxedoのドキュメントを参照してください。
Tuxedoセキュリティが有効になっている場合、CESNサービスを呼び出す前にユーザーがTuxedoドメインを結合するために、デフォルト・セキュリティ・プロファイル(デフォルトのUSER_AUTH
ユーザー名およびパスワードや、APP_PW
パスワードを含む)が要求されます。デフォルトのセキュリティ・プロファイルを生成するために、セキュリティ・プロファイル・ジェネレータ・ツールが導入されます。詳細は、「セキュリティ・プロファイル・ジェネレータ」を参照してください。
APP_PW
の場合、Tuxedoアプリケーション・パスワードは、Tuxedoの構成内に作成する必要があります。
USER_AUTH
の場合、Tuxedoアプリケーション・パスワード、Tuxedoユーザー名およびパスワードは、Tuxedoの構成内に作成する必要があります。
どちらの場合も、パスワード(およびUSER_AUTH
のユーザー名)は、Tuxedo ARTTCPLサーバーのコマンド・ライン・オプション(-p profile-name)で指定されたデフォルトのセキュリティ・プロファイル・ファイル内で指定する必要があります。パスワード(およびUSER_AUTH
のユーザー名)は、ARTTCPサーバーがTuxedoを結合するときに、tpinit()
のパラメータとして使用されます。
CICS Runtimeにはセキュリティ・フレームワークが用意されているため、顧客は外部セキュリティ・マネージャとの統合を選択できます。Tuxedoアプリケーション・キー(appkey
)は、外部セキュリティ・マネージャに渡される証明書として使用されます。appkey
は長さ32ビットで、Tuxedoユーザー識別子は低位17ビットにあり、Tuxedoグループ識別子は次の14ビットにあります(高位ビットは管理キー用に予約済)。詳細情報は、Tuxedoのドキュメントを参照してください。
認可関数は、統合チームによりカスタマイズできます。この関数は、指定されたリソースに対してリソース認可のチェックが必要になるごとに、CICS Runtimeによって呼び出されます。
常にOKステータスを戻すデフォルト関数が用意されています。ただし、トランザクション認可に加え、CICSリソース認可をアクティブにする必要があるプロジェクトの場合、統合チームがプロジェクト固有のバージョンに置換できます。
01 ret-code usage int.
LINKAGE SECTION.
01 AUTH-USERID PIC X(30).
01 AUTH-GROUPID PIC X(256).
01 AUTH-RSRCE-TYPE PIC X(256).
01 AUTH-RSRCE-NAME PIC X(512).
01 AUTH-ACCESS-TYPE PIC X(6).
PROCEDURE DIVISION USING LK-AUTH-USERID LK-AUTH-GROUPID
LK-AUTH-RSRCE-TYPE LK-AUTH-RSRCE-NAME
LK-AUTH-ACCESS-TYPE.
確認されるリソースのタイプ(「コード化」を参照)。
|
|
リソース・タイプは、ネイティブのCICS/RACF環境の場合と同様に、一時記憶域リソースにはXTST、ファイルにはXFCT……などのようにコード化されます。
詳細情報は、ネイティブのCICSドキュメントを参照してください。CICS Runtimeに付属するこの関数のデフォルト・バージョンは、常に0を戻します。
TDI_TRIGGER -t Transaction_Name [-p <profile>];
Tuxedoセキュリティが有効の場合、CESNサービスを呼び出す前にユーザーがTuxedoドメインを結合できるようにするには、APP_PW
パスワードや、デフォルトのUSER_AUTH
ユーザー名およびパスワードが含まれるデフォルト・セキュリティ・プロファイルが必要です。
TCPのデフォルトのセキュリティ・プロファイルを生成するために、セキュリティ・プロファイル・ジェネレータ・ツールが導入されます。
genappprofile
— セキュリティ・プロファイル・ジェネレータ
genappprofile [-f <output_file>]
このユーティリティは、Tuxedoアプリケーションのセキュリティ・プロファイルを生成します。このユーティリティが起動されると、Tuxedoアプリケーション・パスワード、ユーザー名およびユーザー・パスワードの入力を求められます。出力は、ユーザー名と暗号化されたパスワードを含むセキュリティ・プロファイル・ファイルです。生成されたセキュリティ・プロファイル・ファイルは、CICS Runtime ARTTCPLサーバーで、Tuxedoドメインにログインするために使用できます。