Oracle TMA TCPのセキュリティの構成

TMA TCP製品でサポートされているセキュリティの特徴は、Oracle Tuxedoサービスのリクエスタが、CICSサーバーのインタフェースを介してユーザーIDを送信し、サード・パーティのセキュリティ・パッケージで検証できるようにすることです。次のトピックで、セキュリティの設定方法について説明します。

•	セキュリティが確保されたサービス・リクエストの処理

•	UNIXからメインフレームにアクセスする際のセキュリティ・チェック

•	UNIXからメインフレームにアクセスする際のセキュリティ・チェック

•	TMA TCP for CICSのセキュリティの設定

•	着信サービスのセキュリティ設定

•	CICSからCICSへの発信接続のセキュリティ設定

•	CICSからIMSへの発信接続のセキュリティ設定

•	発信サービスのセキュリティ設定

セキュリティが確保されたサービス・リクエストの処理

次の項から、サービス・リクエストのセキュリティ検証の処理フローについて説明します。

UNIXからメインフレームにアクセスする際のセキュリティ・チェック

図3-1に、UNIX環境のTMA TCP for CICSからメインフレームにアクセスする際のセキュリティ検証の処理フローを示します。

図3-1 UNIXからメインフレームへのトランザクションに対するセキュリティ・チェック

1.	TMA TCP Gatewayのクライアント・プログラムがtpinit()を実行するときに、ユーザーのTuxedo識別子がtpusrファイルと照合されて検証されます。

2.	クライアント・プログラムがtpcall()またはtpacall()を発行すると、Tuxedoはtpaclファイルと照合して、そのユーザーにゲートウェイ・サービスの実行権限があるかどうかを検証します。

3.	リクエストの送信時に毎回、TMA TCP GatewayからリモートのTMA TCP for CICSゲートウェイ(ハンドラ)にユーザーのTuxedo識別子が渡されます。

注意:	権限のチェックを通過するには、ユーザーのTuxedo識別子がメインフレームのユーザーIDと正確に一致している必要があります。

4.	リモートのTMA TCP for CICSゲートウェイのハンドラが、指定のユーザーIDの代理として動作するアプリケーション・ハンドラを起動します。

5.	アプリケーション・ハンドラが、権限をチェックするシステム・セキュリティを使用して指定のサービスを呼び出します。

注意:	CICSアプリケーション・プログラムの起動(EXEC CICS START TRANSID)を成功させるために、ユーザーIDの引継ぎに関するセキュリティ定義の更新が必要になる場合があります。この要件に該当するかどうか、メインフレームのセキュリティ管理者に確認してください。

UNIXからメインフレームにアクセスする際のセキュリティ・チェック

図3-2に、メインフレームからUNIX環境のTMA TCP Gatewayにアクセスする際のセキュリティ検証の処理フローを示します。

図3-2 メインフレームからUNIXへのトランザクションに対するセキュリティ・チェック

1.	ユーザーにクライアントのトランザクションを開始する権限があるかどうか、ユーザーID(メインフレームのログイン時に確立されるID)がシステムのセキュリティによってチェックされます。

2.	ユーザーにリクエストをゲートウェイに送信する権限があるかどうか、ユーザーIDがシステムのセキュリティによってチェックされます。

3.	リクエストの送信時に毎回、ゲートウェイからTuxedoゲートウェイにユーザーIDが渡されます。

注意:	権限のチェックを通過するには、ユーザーのTuxedo識別子がメインフレームのユーザーIDと正確に一致している必要があります。

4.	TMA TCP GatewayがメインフレームのユーザーIDをTuxedoのユーザーIDにマップし、そのユーザーのかわりとなってサービス・リクエストを発行します。

5.	Tuxedoサーバーがtpaclファイルに基づいてアクセス・チェックを実行して、リクエストされたサービスに対するアクセス権限がユーザーにあるかどうかを検証します。

TMA TCP for CICSのセキュリティの設定

TMA TCP for CICS製品ではセキュリティが強化されています。このインタフェースを使用すると、Oracle TuxedoサービスからのリクエスタでCICSサーバーのインタフェースを介してユーザーIDが渡せるため、ユーザーのセキュリティ・パッケージ側で認証できます。フィールド定義については、「Oracle TMA TCP for CICSの構成および管理」の項を参照してください。

着信サービスのセキュリティ設定

着信サービスごとのセキュリティ機能を有効にするには、次の手順に従います。

1.	セキュリティ管理者の協力のもと、メインフレーム上でトランザクションのセキュリティを設定します。

2.	セキュリティを設定する各サービスの着信サービス画面でSECURITY=Yを指定します。SECURITY=Yを指定した場合、ゲートウェイは、リクエストを開始したユーザー名(リモート・システムから通知されたユーザー名)でプログラムを起動しようとします。

SECURITY=Nを指定した場合、ゲートウェイはゲートウェイのユーザーID(ソケットのリスナーで制御されるID)を使用してユーザー・プログラムを起動します。

CICSからCICSへの発信接続のセキュリティ設定

発信接続ごとのセキュリティ機能を有効にするには、次の手順に従います。

1.	目的のリクエスタの画面でSECURITY==Yを指定します。

2.	目的のリクエスタ画面でアカウントとパスワードの値を入力します。

リクエスタ画面のアカウントと「パスワード」のパラメータ値が、ユーザー接続アカウント画面のアカウントと「パスワード」の値と一致していることを確認します。

SECURITY=Yを指定した場合、リクエスタ・プログラムは、接続の開始とともにACCOUNTとPASSWORDをリモートのCICSシステムに送信します。SECURITY=Nを指定した場合、ゲートウェイは検証を省略して接続しようとします。

注意:	接続検証のセキュリティは廃止されています。

CICSからIMSへの発信接続のセキュリティ設定

発信接続ごとのセキュリティ機能を有効にするには、次の手順に従います。

1.	目的のリクエスタの画面でSECURITY==Yを指定します。

2.	目的のリクエスタ画面でアカウントとパスワードの値を入力します。

リクエスタ画面のアカウントと「パスワード」のパラメータ値が、GATEWAY TYPE=REMOTE文のACCOUNTとPASSWORDの値と一致していることを確認します。

SECURITY=Yを指定した場合、リクエスタ・プログラムは、接続の開始とともにACCOUNTとPASSWORDをリモートのIMSシステムに送信します。SECURITY=Nを指定した場合、ゲートウェイは検証を省略して接続しようとします。

注意:	接続検証のセキュリティは廃止されています。

発信サービスのセキュリティ設定

発信サービスごとのセキュリティ機能を有効にするには、次の手順に従います。

1.	目的の発信接続のセキュリティを有効にします。

2.	目的の発信サービス画面でSECURITY=Yを指定します。

3.	送信先システムの該当ユーザーのセキュリティを設定します。