目次 前 次 PDF


Oracle TMA TCP Gatewayのセキュリティの設定
Oracle TMA TCP Gatewayのセキュリティの設定
Tuxedo Mainframe Adapter for TCP Gateway(以後TMA TCP Gatewayと呼ぶ)コンポーネントに備わっているセキュリティの特徴は、RACFなどのシステム・セキュリティで検証の対象にするユーザーID要件を、TuxedoのリクエスタがOTMAまたはCICSサーバーのインタフェースを介して渡すことです。
このドキュメントでは、セキュリティに関する次のトピックについて説明します。
Tuxedoからメインフレームにアクセスする際のセキュリティ・チェック
メインフレームからTuxedoにアクセスする際のセキュリティ・チェック
セキュリティの設定
セキュリティ・ファイルのサンプル
データ領域セキュリティ
Tuxedoからメインフレームにアクセスする際のセキュリティ・チェック
次の図に、TMA TCP Gatewayからメインフレームにアクセスする際のセキュリティ検証の処理フローを示します。
図4-1 Tuxedoからメインフレームへのトランザクションに対するセキュリティ・チェック
1.
クライアント・プログラムがtpinit()を実行すると、ユーザーのTuxedo識別子がtpusrファイルと照合され検証されます。
2.
クライアント・プログラムがtpcall()またはtpacall()を発行すると、Tuxedoはtpaclファイルと照合して、そのユーザーにゲートウェイ・サービスの実行権限があるかどうかを検証します。
3.
ゲートウェイが最初の接続を確立するときに、接続に関するセキュリティ情報(GWICONFIGファイルのRMTNAMEPASSWORDに指定されている情報)がTMA TCP Gatewayからリモート・ゲートウェイに渡されます。RMTNAMEPASSWORDの値が、リモート・ゲートウェイに構成されている値と一致すれば、接続が確立されます。
リクエストの送信時に毎回、TMA TCP Gatewayからリモート・ゲートウェイにユーザーのTuxedo識別子が渡されます。
注意:
権限のチェックを通過するには、ユーザーのTuxedo識別子がメインフレームのユーザーIDと正確に一致している必要があります。
4.
リモートのメインフレーム・ゲートウェイが、指定のユーザーIDの代理として動作するプロキシを起動します。
5.
プロキシが、権限をチェックするシステム・セキュリティを使用して指定のサービスを呼び出します。
メインフレームからTuxedoにアクセスする際のセキュリティ・チェック
次の図に、メインフレームからTMA TCP Gatewayにアクセスする際のセキュリティ検証の処理フローを示します。
図4-2 メインフレームからTuxedoへのトランザクションに対するセキュリティ・チェック
1.
ユーザーにクライアントのトランザクションを開始する権限があるかどうか、ユーザーID(メインフレームのログイン時に確立されるID)がシステムのセキュリティによってチェックされます。
2.
ユーザーにリクエストをゲートウェイに送信する権限があるかどうか、ユーザーIDがシステムのセキュリティによってチェックされます。
3.
リクエストの送信時に毎回、ゲートウェイからTuxedoゲートウェイにユーザーIDが渡されます。
注意:
権限のチェックを通過するには、ユーザーのTuxedo識別子がメインフレームのユーザーIDと正確に一致している必要があります。
4.
TMA TCP GatewayがメインフレームのユーザーIDをTuxedoのユーザーIDにマップし、そのユーザーのかわりとなってサービス・リクエストを発行します。
5.
Tuxedoサーバーがtpaclファイルに基づいてアクセス・チェックを実行して、リクエストされたサービスに対するアクセス権限がユーザーにあるかどうかを検証します。
セキュリティの設定
TMA TCP Gateway製品にはセキュリティを確保する手段が2つあります。
Tuxedoセキュリティ・プラグイン
組み込み式のTuxedoセキュリティ
Tuxedoセキュリティ・プラグイン
Tuxedoのセキュリティ・プラグインを使用すると、セキュリティの機能(代替のセキュリティ機能の実装を含む)をカスタマイズできるようになります。Tuxedoセキュリティ・プラグインはTuxedoプラグインの構成時に設定します。この機能に関する具体的な情報は、Tuxedoのドキュメントを参照してください。
組み込み式のTuxedoセキュリティ
カスタムのセキュリティ・プラグインを実装しない場合には、組込み式のTuxedoセキュリティを使用します。
組込み式のTuxedoセキュリティ機能を有効にするには、次の手順に従います。
1.
Oracle TuxedoのUBBCONFIGファイルにSECURITYを記述します。詳細は、Oracle Tuxedoのファイル形式、データ記述、MIBおよびシステム・プロセス・リファレンスを参照してください。
2.
ユーザー、グループおよびACLの各ファイルを設定します。詳細は、Oracle Tuxedo管理コンソール・オンライン・ヘルプOracle Tuxedo ATMIアプリケーションでのセキュリティの使用を参照してください。
注意:
これらのファイル内のユーザー情報は、Oracle Tuxedo環境とメインフレーム環境で一致している必要があり、一致しない場合はセキュリティ違反が発生します。
3.
TMA TCP Gateway構成ファイル(GWICONFIG)のセキュリティ・パラメータを記述します。GWICONFIGの構文とパラメータ定義は、「Oracle TMA TCP Gatewayの構成」の項を参照してください。
セキュリティ・ファイルのサンプル
TMA TCPのセキュリティを設定する手順の中で、ユーザー、グループおよびACLの各ファイルが必要になります。これより、これらのサンプル・ファイルを示します。
ユーザー・ファイル
次のサンプルは、ユーザー名、暗号化パスワード、ユーザーID番号、グループ番号およびクライアント名を指定したユーザー・ファイルです。
リスト4-1 ユーザー(tpusr)・ファイルのサンプル
#illen:w2ZMOKeJmiU0M:1:0:TPCLTNM,someguy::
#illen:0YzvQeqzcNz56:1:0:TPCLTNM,*::
#eke:x3vG37eOqh0XE:2:0:TPCLTNM,*::
#illen:0YzvQeqzcNz56:1:1:TPCLTNM,*::
#illen:0YzvQeqzcNz56:1:2:TPCLTNM,*::
john:x3vG37eOqh0XE:2:1:TPCLTNM,*::
jim:0YzvQeqzcNz56:1:1:TPCLTNM,*::
richard:IxqosKHu5Q3BA:3:1:TPCLTNM,*::
JDOE:zBMWVUBNNBVgo:4:0:TPCLTNM,*::
smith:ULfRJzAeyGAD2:5:0:TPCLTNM,*::
 
シャープ記号(#)で始まる行は、tpusrmodまたはtpusrdelによる変更済または削除済のユーザーです。
グループ・ファイル
次のサンプルは、グループの名前と索引を指定したグループ・ファイルです。
注意:
tpgrpファイルは、セキュリティとしてACLモードまたはMANDATORY_ACLモードを指定する場合にのみ必要です。セキュリティとしてUSER_AUTHを指定した場合でも、ユーザーをグループに割り当てることはできますが、リモート・システムがセキュリティ用に使用するグループには関連付けられません。
リスト4-2 Group (tpgrp)・ファイルのサンプル
good::1:
bad::2:
 
ACLファイル
tpaclファイルは、グループとそのグループのアクセス先のサービスを関連付けます。tpaclファイルでは、最初のフィールドに保護する対象、2番目のフィールドに(最初のフィールドに指定した)保護対象のタイプ、3番目のフィールドに保護対象へのアクセスを許可するグループを指定します。
次の例では、グループ1のユーザー(john、jim、richard)のみがTOLOWERにアクセスでき、グループ2のユーザーのみがTOUPPERにアクセスできます。
注意:
tpaclファイルは、セキュリティとしてACLまたはMANDATORY_ACLの各モードを指定する場合にのみ必要です。
リスト4-3 ACL (tpacl)ファイルのサンプル
TOLOWER:SERVICE:1:
TOUPPER:SERVICE:2:
 
データ領域セキュリティ
TMA TCP Gatewayにはデータ領域セキュリティが備わっており、これは次のケースに該当する場合のセキュリティ上の特殊な処理パターンです。
ユーザー情報が複数のTuxedoドメインの境界を越えて渡される場合
リモートまたはローカルのサービスがユーザーのLTERM情報を要求する場合
これらのケースでは、クライアントのユーザーID、グループ名およびLTERMをリクエストのデータ領域に指定できます。Tuxedoクライアントの場合は、データ領域に指定したユーザー情報が、通常の処理と同じようにリモート・ゲートウェイによって検証されます。リモート・クライアントの場合は、ローカル・ゲートウェイがリモート・ユーザーの情報をデータ領域のフィールドに格納し、Tuxedoサービスがその情報を使用できるようにします。このケースでは、リモート・クライアントがこれらのフィールドに値を設定する必要はありませんが、データ領域にフィールドが収まるように領域を割り当てる必要があります。
データ領域セキュリティの有効化
データ領域セキュリティを有効にするには、次の手順に従います。
1.
ローカル・ホストとリモート・ホストのユーザーのデータ領域にフィールドを追加します。これらのフィールドが、メイン・ホストとの間で受け渡しされます。フィールドのフォーマットについては、リスト4-4を参照してください。
2.
GWICONFIGファイルのリモート・ホストに対応するFOREIGNセクションにWRAP=TPSDを設定します。GWICONFIGファイルのFOREIGNセクションの構文とパラメータ定義は、「GWICONFIGファイルのFOREIGNセクションの定義」の項を参照してください。
3.
リクエストをリモート・サービスに送信する前に、ユーザー情報をデータ領域に設定します。
4.
リモート・ユーザーの情報は、ローカル・サービスに対するリクエストの受信時にデータ領域に設定されます。
注意:
VIEWデータ・フォーマットを使用する場合は、リスト4-4の定義のように、アプリケーション・データの前に追加のフィールドを割り当てます。STRINGデータ・フォーマットを使用する場合は、文字列の先頭に24バイト分の追加の領域を割り当てて、セキュリティ・フィールドとして使用できるようにします。
書式
Cの場合には、ユーザー・データ領域のフィールドは次のフォーマットになります。
リスト4-4 ユーザー・データ領域のフィールドの構文(Cの場合)
struct da_security {
char uname[8]; /*user name*/
char group[8]; /*user group*/
char lterm[8]; /*terminal id*/
/*user data is appended here*/
}
 
 

Copyright ©1994, 2017,Oracle and/or its affiliates. All rights reserved