Oracle Tuxedo Mainframe Adapter for TCPのセキュリティの構成

TMA TCP製品でサポートされているセキュリティの特徴は、Oracle Tuxedoサービスのリクエスタが、OTMAまたはCICSサーバーのインタフェースを介してユーザーID要件を送信し、サード・パーティのセキュリティ・パッケージで検証できるようにすることです。

注意:	Tuxedo Mainframe Adapter for TCP (IMS)(以後TMA TCP for IMSと呼ぶ)はOTMAクライアントとしてのみ実行します。

Tuxedoからメインフレームにアクセスする際のセキュリティ・チェック

図3-1に、UNIX環境のTMA TCP Gatewayからメインフレームにアクセスする際のセキュリティ検証の処理フローを示します。

図3-1 UNIXからメインフレームへのトランザクションに対するセキュリティ・チェック

1.	UNIX上でユーザーが有効かどうかを検証します。ユーザーが有効であれば、アクセスは許可され、ユーザーが無効であれば、アクセスは拒否されます。

2.	ユーザー名(tpusrファイルを確認)、グループ(tpgrpファイルを確認)およびACL (tpaclファイルを確認)を検証します。3つとも合格した場合は、トランザクション・リクエストの処理が開始されます。3つのうちいずれかが拒否された場合は、トランザクション・リクエストは停止し、セキュリティ違反が発生します。

注意:	これらのファイル内のユーザーIDは、Tuxedo環境とメインフレーム環境で一致している必要があり、一致しない場合はセキュリティ違反が発生します。

3.	信頼できる送信元から送信されてきたリクエストという前提に基づき、メインフレームのゲートウェイでトランザクション・リクエストを受け付けます。パスワードは渡されません。

4.	トランザクションに関連付けられているユーザー名をセキュリティ・システム(RACFなど)と照合して検証します。ユーザー名が有効でない場合、リクエストは拒否され、セキュリティ違反が発生します。

5.	サーバーにトランザクション・リクエストが届き、処理が完了します。

 

UNIXからメインフレームにアクセスする際のセキュリティ・チェック

図3-2に、メインフレームからUNIX環境のTMA TCP Gatewayにアクセスする際のセキュリティ検証の処理フローを示します。

図3-2 メインフレームからUNIXへのトランザクションに対するセキュリティ・チェック

1.	クライアントを開始する前に、認証チェックがメインフレームのセキュリティ・パッケージによって行われます。

2.	クライアントからのトランザクション・リクエストがメインフレームのゲートウェイに渡されます。

3.	信頼できる送信元から送信されてきたリクエストという前提に基づき、UNIXのゲートウェイでトランザクション・リクエストを受け付けます。パスワードは渡されません。

4.	appkeyを復号化し、ユーザー番号とグループ番号を取得します。ユーザー名をセキュリティ・システムと照合して検証します。ユーザー名が有効であり、ユーザーにトランザクションの実行権限がある場合は、トランザクション・リクエストが受け付けられます。ユーザー名が有効でない場合、リクエストは拒否され、セキュリティ違反が発生します。

5.	ユーザー名が受け付けられた場合、トランザクション・リクエストはサーバーに届き、処理は完了します。

TMA TCP for IMSのセキュリティの設定

TMA TCP for IMS製品には、セキュリティが強化されたOTMAインタフェースが備わっています。このインタフェースの特徴は、Oracle Tuxedoサービスのリクエスタが、OTMAサーバーのインタフェースを介してユーザーIDを送信し、ユーザーのセキュリティ・パッケージで認証できることです。

IMSからIMSへの接続のセキュリティ設定

接続のセキュリティ機能を有効にするには、次の手順に従います。

1.	ローカルまたはリモートのゲートウェイ用のGATEWAY構成文にACCOUNTパラメータとPASSWORDパラメータを指定します。

2.	GATEWAY TYPE=LOCAL用のGATEWAY文のACCOUNTとPASSWORDのパラメータ値が、GATEWAY TYPE=REMOTE文のACCOUNTとPASSWORDの値と一致することを確認します。

注意:	接続検証のセキュリティは廃止されています。

IMSからCICSへの接続のセキュリティ設定

接続のセキュリティ機能を有効にするには、次の手順に従います。

1.	GATEWAY TYPE=LOCAL構成文にACCOUNTパラメータとPASSWORDパラメータを指定します。

2.	GATEWAY TYPE=LOCAL文のACCOUNTとPASSWORDのパラメータ値と、ユーザー・アカウント接続画面のアカウントと「パスワード」の値と一致することを確認します。

注意:	接続検証のセキュリティは廃止されています。

サービスのセキュリティ設定

サービスのセキュリティ機能を有効にするには、次の手順に従います。

1.	セキュリティ管理者の協力のもと、メインフレーム上でトランザクションのセキュリティを設定します。

2.	TMA TCP for IMS構成ファイルのSYSTEM文にOTMASECURITY=Yを指定します。

3.	SERVICE TYPE=LOCAL文のSECURITYパラメータを使用するローカル・サービスごとにセキュリティ・フラグを設定します。パラメータの情報は、「ローカル・サービスの定義」の項を参照してください。

4.	OTMAのインタフェース用のサービス単位でセキュリティ・チェックを有効にするには、IMSの/SEC OTMA PROFILEコマンドを発行します。すべてのサービスのセキュリティ・チェックを有効にするには、IMSの/SEC OTMA FULLコマンドを発行します。

警告:	任意のローカル・サービス定義用のSERVICE TYPE=LOCAL文にSECURITY=Nを指定する場合は、/SEC OTMA PROFILEを発行します。SECURITY=Nを指定した状態で、/SEC OTMA FULLコマンドを発行すると、セキュリティの処理は失敗します。