|
|
|
|
|
|
リンク・レベルの暗号化の管理
リンク・レベルの暗号化は、ATMI アプリケーション内のマシン間をつなぐネットワーク・リンク上で送受信されるメッセージの秘密性を保護します。リンク・レベルの暗号化によるセキュリティには、0 ビット (暗号化なし)、56 ビット (国際版)、128 ビット (米国およびカナダ版) の 3 つのレベルがあります。国際版の LLE では、0 ビットと 56 ビットの暗号化が可能です。米国およびカナダ版の LLE では、0 ビット、56 ビット、および 128 ビットの暗号化が可能です。
LLE は、ATMI の次の種類のリンクで使用できます。
min 値と max 値について
ATMI アプリケーションに LLE を設定する前に、LLE の min 値および max 値を知っておく必要があります。これらのパラメータのデフォルト値は次のとおりです。
たとえば、米国およびカナダ版の LLE のデフォルトの min 値と max 値は (0, 128) です。デフォルト値を変更するには、アプリケーションの UBBCONFIG ファイルで min と max に新しい値を割り当てます。
詳細については、「LLE のしくみ」および「暗号化キー・サイズの調整」を参照してください。
インストール済みの LLE バージョンの確認
マシンにインストールされた LLE バージョンを確認するには、冗長モードで tmadmin コマンドを実行します。
tmadmin -v
ローカルの BEA Tuxedo lic.txt ファイルのキー行は、次のサンプルのようにコンピュータ画面に表示されます。エントリのサンプル STRENGTH=128 は、LLE のバージョンが米国およびカナダ版であることを示しています。
[BEA Tuxedo] VERSION=8.0
[LINK ENCRYPTION] VERSION=8.0
STRENGTH=128
.
.
.
BEA Tuxedo のライセンスは、UNIX ホスト・マシンの場合は $TUXDIR/udataobj/lic.txt ファイル、Windows 2000 ホスト・マシンの場合は %TUXDIR%¥udataobj¥lic.txt ファイルにすべて格納されています。
ワークステーション・クライアントのリンクに LLE を設定する方法
アプリケーションにワークステーション・クライアントが組み込まれている場合、管理者は、1 つまたは複数のワークステーション・リスナ (WSL) を設定して、ワークステーション・クライアントからの接続要求を監視する必要があります。各 WSL は、関連する 1 つまたは複数のワークステーション・ハンドラ (WSH) を使用して、ワークステーション・クライアントの負荷を管理します。各 WSH は、単一の接続を介して、特定のワークステーション・クライアントで処理されるすべての要求と応答を多重化することにより、複数のワークステーション・クライアントを管理できます。
管理者は、アプリケーションの UBBCONFIG ファイルの SERVERS セクションで WSL サーバを指定することにより、ワークステーション・クライアントに対して ATMI アプリケーションへのアクセスを許可することができます。LLE の min および max パラメータのデフォルト値を上書きするには、WSL サーバ用のコマンド行オプションである -z および -Z を指定する必要があります(詳細については、「min 値と max 値について」を参照してください)。ただし、リンク・レベルの暗号化は、ローカル・マシンとワークステーション・クライアントの両方に LLE がインストールされている場合にのみ使用できます。
注記 ネットワーク接続の端にあるワークステーション・クライアントでは、TMINENCRYPTBITS および TMAXENCRYPTBITS の2 つの環境変数を使用して、LLE の min および max パラメータのデフォルト値を上書きできます。
ワークステーション・クライアントのリンクに LLE を設定するには、次の手順に従います。
*SERVERS
WSL SRVGRP="group_name" SRVID=server_number ...
CLOPT="-A -- -z min -Z max ..."
上の例では、tmboot(1) を実行すると ATMI アプリケーションが起動し、"-A -- -z min -Z max " というコマンド行オプションが WSL サーバに渡されます。ワークステーション・クライアントと WSH との間でネットワーク・リンクを確立する場合、ワークステーション・クライアントと WSL は、双方でサポートされるキーの最大サイズが一致するまでキー・サイズの調整を行います。
詳細については、『ファイル形式、データ記述方法、MIB、およびシステム・プロセスのリファレンス』の WSL(5)、WS_MIB(5)、および UBBCONFIG(5) を参照してください。
ブリッジ間のリンクに LLE を設定する方法
BEA Tuxedo システムのアーキテクチャでは、マルチ・マシン・アプリケーション (複数のマシンで構成されたアプリケーション) 内のマシン間に多重化したチャネルを確立して、ネットワーク通信を最適化します。BEA Tuxedo のメッセージは、このチャネルを通じて双方向に流れます。メッセージ・トラフィックは、ブリッジ・サーバと呼ばれる専用の ATMI サーバによって管理されます。
管理者は、ブリッジ・サーバが置かれた ATMI アプリケーション内の各マシンに対して、UBBCONFIG ファイルの NETWORK セクションにエントリを作成します。LLE の min および max パラメータのデフォルト値を上書きする場合は、ブリッジ・サーバのオプションのランタイム・パラメータである MINENCRYPTBITS および MAXENCRYPTBITS を指定する必要があります(詳細については、「min 値と max 値について」を参照してください)。ただし、ブリッジ間のリンク・レベルの暗号化は、ブリッジ・サーバが置かれたマシンに LLE がインストールされている場合にのみ使用できます。
ブリッジ間のリンクに LLE を設定するには、次の手順に従います。
*NETWORK
LMID NADDR="bridge_network_address" BRIDGE="bridge_device"
NLSADDR="listen_network_address"
MINENCRYPTBITS=min
MAXENCRYPTBITS=max
LMID は、ブリッジ・サーバが置かれた論理マシンであり、BRIDGE パラメータで指定されたネットワーク・デバイスに直接アクセスできます。
上の例では、tmboot(1) を実行すると、ATMI アプリケーションが起動し、ブリッジ・サーバは、TUXCONFIG ファイルを読み込んで、MINENCRYPTBITS および MAXENCRYPTBITS などのさまざまなパラメータにアクセスします。リモートのブリッジ・サーバとの間でネットワーク・リンクを確立する場合、ローカルとリモートのブリッジ・サーバは、双方でサポートされるキーの最大サイズが一致するまでキー・サイズの調整を行います。
詳細については、『ファイル形式、データ記述方法、MIB、およびシステム・プロセスのリファレンス』の TM_MIB(5) および UBBCONFIG(5) を参照してください。
tlisten のリンクに LLE を設定する方法
tlisten(1) は、ネットワークに依存しないリスナ・プロセスであり、tmboot(1) などの管理ユーティリティを実行できるマルチ・マシン・アプリケーションのノード間の接続を確立します。アプリケーション管理者は、UBBCONFIG ファイルの NETWORK セクションで定義されたすべてのマシンに tlisten をインストールします。
tlisten リンクに LLE を設定するには、「ブリッジ間のリンクに LLE を設定する方法」で説明した手順に従います。必要に応じ、次のコマンドを入力して、ローカル・マシンで別個の tlisten のインスタンスを起動できます。
tlisten -l nlsaddr [-z min -Z max]
nlsaddr 値は、UBBCONFIG ファイルの NETWORK セクションでこのマシンの NLSADDR パラメータに指定した値と同じにする必要があります。詳細については、『BEA Tuxedo コマンド・リファレンス』の tlisten(1)、および『ファイル形式、データ記述方法、MIB、およびシステム・プロセスのリファレンス』の TM_MIB(5) および UBBCONFIG(5) を参照してください。
ドメイン・ゲートウェイのリンクに LLE を設定する方法
ドメイン・ゲートウェイは GWTDOMAIN プロセスであり、複数の ATMI アプリケーション間でサービス要求とサービス応答を中継します。また、TCP/IP などのネットワーク・トランスポート・プロトコルを介して流れる、特別に設計されたトランザクション処理 (TP) プロトコルを使用して相互運用性を実現します。
ドメイン・ゲートウェイはドメイン・ゲートウェイ・グループに属します。各ドメイン・ゲートウェイ・グループには、別個の Domains コンフィギュレーション・ファイルが必要です。ドメイン・ゲートウェイ・グループは、ローカル・ドメイン・アクセス・ポイント (LDOM) および LDOM の通信先となるリモート・ドメイン・アクセス・ポイント (RDOM) で構成されます。アプリケーションのコンフィギュレーション・ファイルである UBBCONFIG および TUXCONFIG と同様に、Domains のコンフィギュレーション・ファイルもテキスト形式で作成され、バイナリ形式に変換されます。テキスト形式の場合は DMCONFIG ファイル、バイナリ形式の場合は BDMCONFIG ファイルと呼ばれます。DMCONFIG ファイルと BDMCONFIG ファイル、および関連する環境変数については、『ファイル形式、データ記述方法、MIB、およびシステム・プロセスのリファレンス』の DMCONFIG(5) のリファレンス・ページを参照してください。
管理者は、各ローカル・ドメイン・アクセス・ポイント (リモート・ドメイン・アクセス・ポイントからローカル・サービスに対する要求を受け取るポイント) に対して、DMCONFIG ファイルの DM_TDOMAIN セクションにエントリを作成する必要があります。 また、定義済みのローカル・ドメイン・アクセス・ポイントからアクセス可能なリモート・ドメイン・アクセス・ポイントに対してエントリを作成する必要もあります。LLE の min および max パラメータのデフォルト値を上書きする場合は、ドメイン・アクセス・ポイントごとに、オプションのランタイム・パラメータである MINENCRYPTBITS および MAXENCRYPTBITS を指定する必要があります(詳細については、「min 値と max 値について」を参照してください)。ただし、ドメイン間のリンク・レベルの暗号化は、ドメインがあるマシンに LLE がインストールされている場合にのみ使用できます。
ドメイン・ゲートウェイのリンクに LLE を設定するには、次の手順に従います。
*DM_TDOMAIN
# Local network addresses
LDOM NWADDR="local_domain_network_address"
NWDEVICE="local_domain_device"
MINENCRYPTBITS=min
MAXENCRYPTBITS=max
.
.
.
# Remote network addresses
RDOM NWADDR="remote_domain_network_address"
NWDEVICE="remote_domain_device"
MINENCRYPTBITS=min
MAXENCRYPTBITS=max
.
.
.
LDOM はローカル・ドメイン・アクセス・ポイントの識別子であり、RDOM はリモート・ドメイン・アクセス・ポイントの識別子です。
上の例では、tmboot(1) を実行すると、ATMI アプリケーションが起動します。各ドメイン・ゲートウェイは BDMCONFIG ファイルを読み込んで MINENCRYPTBITS および MAXENCRYPTBITS などのさまざまなパラメータにアクセスし、ローカル・ドメインおよびリモート・ドメインにそれらのパラメータを複製転送します。ローカル・ドメインがリモート・ドメインとのネットワーク・リンクを確立するとき、これらの 2 つのドメインは、双方でサポートされるキーの最大サイズが一致するまでキー・サイズの調整を行います。
詳細については、『ファイル形式、データ記述方法、MIB、およびシステム・プロセスのリファレンス』の DMCONFIG(5) を参照してください。また、『BEA Tuxedo Domains コンポーネント』 の 「Domains でセキュリティを設定する」も参照してください。
関連項目
|
|
|
|
|
|
Copyright © 2001 BEA Systems, Inc. All rights reserved.
|