注意:
|
混合環境のセキュリティは、図4-1に示されているよりも複雑です。稼働するセキュリティ・メカニズムが配備されていないドメインは、ユーザーIDを「信頼できるユーザー」とみなしてすべてのトランザクション・リクエストを受け入れます。ドメイン・セキュリティの詳細は、該当するATMI製品ドキュメントを参照してください。
|
直接ユーザーIDマッピングでは、図4-3に示すように、ATMI環境とホスト環境のユーザーIDが同じである必要があります。ATMIのローカル・ドメインがリクエストを開始する場合は、リクエストされたホスト・サービスにはATMIのユーザーIDが適用されます。ホストがリクエストを開始する場合は、リクエストされたATMIサービスにはホストのユーザーIDが適用されます。
DMCONFIGおよび
UBBCONFIGファイルの次の4つのセクションで、ローカル・ドメインおよびOracle Tuxedo Mainframe Adapter for SNAのセキュリティに関係するパラメータを指定します。
UBBCONFIGおよび
DMCONFIGファイルの両方で
SECURITYパラメータを設定すると、次の効果があります。
•
|
DM_LOCAL_DOMAINSのセキュリティ・パラメータを NONEまたは APP_PWに設定した場合、ゲートウェイではセキュリティに関するアクションが実行されません。
|
•
|
ただし、UBBCONFIGファイルのセキュリティ・パラメータを APP_PWに設定した場合は、クライアントがアプリケーションに参加するときに、アプリケーションのパスワードが AUTHSVCによって検証されます。 AUTHSVCはユーザー・アプリケーションによって提供されます。
|
•
|
UBBCONFIGファイルの SECURITYパラメータを USER_AUTH、 ACLまたは MANDATORY_ACLのいずれかに設定する必要があります。
|
•
|
DMCONFIGファイルの DM_LOCAL_DOMAINSセクションの SECURITYパラメータを DM_USER_PWに設定する必要があります。
|
•
|
DMCONFIGファイルの DM_SNALINKSの SECURITYパラメータを IDENTIFYに設定する必要があります。
|
表4-1に、ホスト・システムからのインバウンド・リクエストに対するローカル・ドメインとホスト・システムのセキュリティの組合せを実現するために必要な、
UBBCONFIGおよび
DMCONFIGファイルの
SECURITYパラメータの設定を示します。
|
|
|
|
|
|
DM_LOCAL_DOMAINS SECURITY
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
USER_AUTH、ACLまたは MANDATORY_ACL
|
|
|
|
luid1/luid2: パートナのLU名。それぞれのケースで、最初に指定されるLU名はローカルLU名で、2番目のLU名はパートナLU名です。
•
|
最初の2つの修飾子(netidと luid)にアスタリスク(*)や他の汎用文字を指定しないでください。
|
•
|
UBBCONFIGファイルの SECURITYパラメータを USER_AUTH、 ACLまたは MANDATORY_ACLのいずれかに設定する必要があります。
|
•
|
DMCONFIGファイルの DM_LOCAL_DOMAINSセクションの SECURITYパラメータを DM_USER_PWに設定する必要があります。
|
•
|
DMCONFIGファイルの DM_SNALINKSの SECURITYパラメータを IDENTIFYまたは VERIFYに設定する必要があります。
|
•
|
SNAスタックを、IDENTIFYまたは VERIFYの適切なパラメータを使用して構成する必要があります。
|
•
|
ホスト・システムの接続定義のATTACHSECレベルを、 DMCONFIGファイルの DM_SNALINKSの SECURITYパラメータと一致するよう、 IDENTIFYまたは VERIFYに設定する必要があります。
|
表4-2に、アウトバウンド・リクエストに対するローカル・ドメインとホスト・システムのセキュリティの組合せを実現するために必要な、
UBBCONFIGおよび
DMCONFIGファイルの
SECURITYパラメータの設定を示します。
|
|
|
|
|
|
DM_LOCAL_DOMAINS SECURITY
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
個々のトランザクションを制御する場合は、
*をトランザクション名に置き換えることができます。
2.
|
IDENTIFYまたは VERIFYの適切なパラメータを使用して、SNAスタックを構成します。
|
3.
|
ホスト・システムの接続定義のATTACHSECレベルを、 DMCONFIGファイルの DM_SNALINKSのSECURITYパラメータと一致するよう、 IDENTIFYまたは VERIFYに設定します。
|
DMCONFIGファイルの3つのセクションには、ATMIローカル・ドメインへのアクセスに対するOracle Tuxedo Mainframe Adapter for SNAによる制御に影響するパラメータが含まれています。
•
|
DM_SNALINKSセクションの SECURITYパラメータは、ホスト・システムで実行されているセキュリティを記録します。
|
•
|
DM_ACCESS_CONTROLセクションのローカル・アクセス制御リストは、ATMIローカル・ドメインがローカル・リソースをそれらへのアクセス権限のあるホスト・システムと関連付けるために使用します。
|
注意:
|
dmloadcfコマンドを実行する前に DMCONFIGバイナリ・ファイルを削除しないでください。このファイルにはリモート・ユーザー、リモート・パスワードおよびリモート・マッピングの表が保管されています。削除すると、すべてのセキュリティ情報を再入力する必要が生じます。
|
このセクションのSECURITYパラメータ設定は、ATMIローカル・ドメインの
UBBCONFIGファイルの
RESOURCESセクション内の
SECURITYパラメータと連動して、Oracle Tuxedo Mainframe Adapter for SNAがATMIローカル・ドメインへのアクセスを制御する方法を設定します。このパラメータは次の形式を取ります。
このパラメータをNONEまたは
APP_PWに設定した場合、ローカル・ドメインはセキュリティに関するアクションを実行しません。このパラメータを
DM_USR_PWに設定した場合は、ローカル・ドメインは
UBBCONFIGファイルの設定に従ってセキュリティを実行します(「
DMCONFIGファイルのセキュリティ・パラメータの設定」を参照)。
DMCONFIGファイルのこのセクションは、Oracle Tuxedo Mainframe Adapter for SNAのパラメータ専用です。これはホスト・システムで実行されているセキュリティを記録します。これは接続リソース定義の
ATTACHSECパラメータに設定された値に関連付けられます。次のパラメータ定義において、
リモートはATMIドメインを指し、
ローカルはホスト・システムを指します。このパラメータは次の形式を取ります。
値LOCALと
IDENTIFYは、
DMCONFIGファイルの
SECURITYパラメータの
NONEおよび
APP_PWとほぼ等価です。
このファイルのRESOURCESセクションの
SECURITYパラメータは、
DMCONFIGファイルの
SECURITYパラメータと連動して、Oracle Tuxedo Mainframe Adapter for SNAがATMIローカル・ドメインへのアクセスを制御する方法を設定します。このパラメータは次の形式を取ります。
APP_PWと同じですが、ユーザーごとに追加の認証が必要です。
USER_AUTHと同じですが、サービス名、キュー名およびイベント名について追加のアクセス制御チェックが行われます。指定した名前に対する
アクセス制御リスト(ACL)が存在しない場合は、アクセスが付与されます。
ACLと同じですが、指定した名前に対するACLが存在しない場合は、アクセスが拒否されます。
ほとんどの場合、UBBCONFIGファイルはすでに構成されており、
SECURITYパラメータを設定する必要はありませんが、このファイルを調べることで、Oracle Tuxedo Mainframe Adapter for SNAでセキュリティがどのように実行されるかを確認できます。
このパラメータをNONEに設定した場合、セキュリティは実行されません。
APP_PWに設定した場合は、ローカルATMIドメインの認証サーバーはアプリケーションのパスワードの入力を求めます。
USER_AUTH、
ACLまたは
MANDATORY_ACLに設定した場合は、指定したとおりの限定付きセキュリティが実行されます。
直接ユーザーIDマッピングを使用するには、GWSNAXプロセス起動コマンド行エントリで
-mパラメータを使用します。このパラメータにより、ATMI/ホスト間ユーザーIDマッピングでなく直接ユーザーIDマッピングを設定できます。
tpusrに定義されているローカル・プリンシパル・ユーザーID番号を指定します。
tpusrに定義されているローカル・プリンシパル・ユーザーID番号を指定します。
a.
|
RESOURCESセクションに SECURITY USER_AUTHを追加します。
|
b.
|
SERVERSセクションに AUTHSVRサーバーを追加します。
|
注意:
|
SECURITY USER_AUTHレベルは、アプリケーションに参加するにはアプリケーション・パスワード、ユーザーIDおよびユーザー・パスワードが必要であることを意味します。 AUTHSVRはATMIが提供する認証サーバーです。これは AUTHSVCサービスを公開します。
|
2.
|
tmloadcfコマンドを入力してATMI構成をロードします(次はその例です)。
|
4.
|
tpusraddコマンドを使用してATMIドメインにユーザーを追加します。このコマンドにより、各ユーザーのパスワードを入力するよう要求されます(次はその例です)。
|
5.
|
tpinitの呼出しでセキュリティ・パラメータを指定するようATMIクライアントを変更します。 リスト4-1は、これを行うためのコードの例です。
|
リスト4-1
tpinitの呼出しへのセキュリティ・パラメータの追加
7.
|
dmloadcfコマンドを入力してドメイン構成をロードします。次に例を示します。
|
8.
|
tmbootコマンドを入力してATMIドメインを起動します(次はその例です)。
|
9.
|
DMCONFIGファイルを編集してSNAドメインのセキュリティを構成します。
|
a.
|
DM_LOCAL_DOMAINSセクションに次のパラメータを追加します。
|
b.
|
DM_SNALINKSセクションにリモート・リンクのパラメータを追加します。
|
10.
|
dmadminを起動し、 addumapコマンドを使用してローカル・ユーザーIDをリモート・ユーザーIDにマップし、リモート・ドメインのユーザー名マッピングを追加します。次に例を示します。
|
11.
|
dmadminを起動し、 addusrコマンドを使用してリモート・パスワードを入力し、リモート・ドメインのリモート・ユーザーIDのパスワードを追加します。次に例を示します。
|
MYCONNGRPを、接続定義を含むグループの名前に置き換えます。
2.
|
各接続定義のATTACHSECの値を VERIFYに変更して、各接続定義のセキュリティを変更します。
|
3.
|
接続のCEMT I CONN(MYCN)に対する照会を行って接続に移動し、 INSエントリを OUTに変更して、各接続のサービスを停止します。
|
MYCONNGRPを、接続定義を含むグループの名前に置き換えます。
1.
|
DMCONFIGファイルの SECURITYパラメータを IDENTIFYに変更します。
|
2.
|
接続のATTACHSECパラメータを IDENTIFYに変更します。
|
2.
|
UBBCONFIGファイルの GWSNAXエントリを編集し、目的の minと maxを指定して -nオプションを追加します。
|
暗号化したCRMでcrmlkoff、
crmlkonまたは
crmdownを使用する場合、追加のコマンド行引数は必要ありません。
1.
|
UBBCONFIGファイルの GWSNAXエントリを編集し、目的の minと maxを指定してCPLOTに -nオプションを追加し、暗号スイートの許容範囲を決定します。
|
2.
|
UBBCONFIGファイルの*MACHINESセクションでGWSNAXプロセスの SEC_PRINCIPAL_NAME、 SEC_PRINCIPAL_LOCATIONおよび SEC_PRINCIPAL_PASSVARパラメータを定義します。
|
1.
|
CRMコマンド行で目的のminと maxを指定してCRM -nオプションを定義し、暗号スイートの許容範囲を決定します( -n SSL:min:max)。
|
3.
|
-Sオプションで指定されたSSL構成ファイルでCRMプロセスの SEC_PRINCIPAL_NAME、 SEC_PRINCIPAL_LOCATIONおよび SEC_PRINCIPAL_PASSVARパラメータを編集します。
|
2.
|
-Sオプションで指定されたSSL構成ファイルで GSK_KEYRING_FILE、 GSK_KEYRING_PWおよび GSK_KEYRING_LABELを編集します。
|
表4-3は、認証をサポートするプロセスのリストです。