3 CICS Runtimeのセキュリティ構成

この章のトピックは、次のとおりです:

• 認証構成
  
• Tuxedoのセキュリティ・メカニズム
  
• 外部セキュリティ・マネージャとの統合
  
• セキュリティ・プロファイル・ジェネレータ
  
• ART for CICS 3270端末のデフォルト・ユーザー
  

3.1 認証構成

CICSには、認証目的の2つのシステム・トランザクションがあります。

• CESNは、サインオン・トランザクションです。
• CESFは、サインオフ・トランザクションです。

ARTTCPは、Tuxedoのセキュリティ・メカニズムを活用する、類似した認証関数を実装します。2つのTuxedoシステム・サービスCESNとCESFがCICS Runtimeによって提供され、CICSにおけるCESNトランザクションとCESFトランザクションをエミュレートします。

ターミナルがARTTCPに接続すると、ARTTCPは3270セッションを作成し、そのセッションがTuxedoをデフォルトのセキュリティ・プロファイルに結合します。デフォルトのセキュリティ・プロファイルで定義されるユーザー名は、CICSのデフォルト・ユーザーCICSUSERと類似したロールを持っています。認証プロセスは次のとおりです。

1. オペレータが、Tuxedo CICS Runtime Runtimeにサインオンするために、CESNトランザクションを呼び出します。
2. CESNは、サインオンMAPを送信して、ユーザー名とパスワードを問い合わせます
3. ユーザー名とパスワードが、ターミナルから入力されます。
4. ARTTCPが、ターミナルから入力されたユーザー名とパスワードを使用してTuxedoを再結合します。
5. 認証結果に応じて、次のケースに分かれます。
   • 成功した場合、成功メッセージがターミナルに戻されます。
   • 失敗した場合、エラー・メッセージがターミナルに戻されます。
6. 操作を完了すると、オペレータはサービスCESFを呼び出して、Tuxedo CICS Runtime Runtimeからサインオフします。

3.2 Tuxedoのセキュリティ・メカニズム

ARTTCPは、アプリケーション・パスワード(APP_PW)、ユーザー・レベル認証(USER_AUTH)、およびアクセス制御リスト(ACLおよびMANDATORY_ACL)の3種類のTuxedoセキュリティ・メカニズムをサポートしています。

アプリケーション・パスワード・セキュリティ・メカニズムは、あらゆるクライアントが、Tuxedo ATMIアプリケーションを接続するプロセス中でアプリケーション・パスワードを提供することを要求します。管理者は、Tuxedo ATMIアプリケーション全体に対して単一のパスワードを定義し、認可されたユーザーにのみパスワードを提供します。Tuxedoアプリケーション・パスワードを構成する方法の詳細情報は、Tuxedoのドキュメントを参照してください。

ユーザー・レベル認証セキュリティ・メカニズムでは、アプリケーション・パスワードに加え、各クライアントが有効なユーザー名とパスワードを指定しないとTuxedo ATMIアプリケーションを結合できないことが要求されます。ユーザーごとのパスワードは、tpusrという名前のファイルに格納されたユーザー名に関連付けられているパスワードと一致する必要があります。クライアント名は、使用されません。tpusrのパスワードおよびユーザー名に対するユーザーごとのパスワードの照合は、Tuxedo認証サーバーAUTHSVRによって提供される、Tuxedo認証サービスAUTHSVCによって行われます。Tuxedoユーザー・レベル認証を構成する方法の詳細情報は、Tuxedoのドキュメントを参照してください。

Tuxedoセキュリティが有効になっている場合、CESNサービスを呼び出す前にユーザーがTuxedoドメインを結合するために、デフォルト・セキュリティ・プロファイル(デフォルトのUSER_AUTHユーザー名およびパスワードや、APP_PWパスワードを含む)が要求されます。デフォルトのセキュリティ・プロファイルを生成するために、セキュリティ・プロファイル・ジェネレータ・ツールが導入されます。詳細は、「セキュリティ・プロファイル・ジェネレータ」を参照してください。

APP_PWの場合、Tuxedoアプリケーション・パスワードは、Tuxedoの構成内に作成する必要があります。

USER_AUTHの場合、Tuxedoアプリケーション・パスワード、Tuxedoユーザー名およびパスワードは、Tuxedoの構成内に作成する必要があります。

どちらの場合も、パスワード(およびUSER_AUTHのユーザー名)は、Tuxedo ARTTCPLサーバーのコマンド行オプション(-p profile-name)で指定されたデフォルトのセキュリティ・プロファイル・ファイル内で指定する必要があります。パスワード(およびUSER_AUTHのユーザー名)は、ARTTCPサーバーがTuxedoを結合するときに、tpinit()のパラメータとして使用されます。

3.3 外部セキュリティ・マネージャとの統合

CICS Runtimeにはセキュリティ・フレームワークが用意されているため、顧客は外部セキュリティ・マネージャとの統合を選択できます。Tuxedoアプリケーション・キー(appkey)は、外部セキュリティ・マネージャに渡される証明書として使用されます。appkeyは長さ32ビットで、Tuxedoユーザー識別子は低位17ビットにあり、Tuxedoグループ識別子は次の14ビットにあります(高位ビットは管理キー用に予約済)。詳細情報は、Tuxedoのドキュメントを参照してください。

appkeyはAUTH-GROUPIDで渡されます

認可関数CheckResourceAuth.gntは、統合チームによるカスタマイズに使用できます。この関数は、指定されたリソースに対してリソース認可のチェックが必要になるごとに、CICS Runtimeによって呼び出されます。

常にOKステータスを戻すデフォルト関数が用意されています。ただし、トランザクション認可に加え、CICSリソース認可をアクティブにする必要があるプロジェクトの場合、統合チームがプロジェクト固有のバージョンに置換できます。

リスト3-1 COBOL CICSリソース認可インタフェース

01 ret-code usage int.
LINKAGE SECTION.
01 AUTH-USERID PIC X(30).
01 AUTH-GROUPID PIC X(256).
01 AUTH-RSRCE-TYPE PIC X(256).
01 AUTH-RSRCE-NAME PIC X(512).
01 AUTH-ACCESS-TYPE PIC X(6).
PROCEDURE DIVISION USING LK-AUTH-USERID LK-AUTH-GROUPID
LK-AUTH-RSRCE-TYPE LK-AUTH-RSRCE-NAME
LK-AUTH-ACCESS-TYPE.

• 受入れ
  
• 戻り値
  
• コード化
  

3.3.1 受入れ

表3-1 リソース認可用のCOBOL CICS関数名

関数名	説明
AUTH-USERID	8文字制限のあるユーザーの接続名
AUTH-GROUPID	将来の拡張のために予約されています
AUTH-RSRCE-TYPE	確認されるリソースのタイプ(「コード化」を参照)。
AUTH-RSRCE-NAME	認可を確認する対象のリソースの名前
AUTH-ACCESS-TYPE	リソースの上でリクエストされているアクセスのタイプ(READ、ALTER、UPDATE)

3.3.2 戻り値

表3-2 リソース認可用の関数の戻りステータス

返されるステータス	説明
0	認可が承認された場合。
-1	認可が拒否されたか失敗した場合。

3.3.3 コード化

リソース・タイプは、ネイティブのCICS/RACF環境の場合と同様に、一時記憶域リソースにはXTST、ファイルにはXFCT……などのようにコード化されます。

詳細情報は、ネイティブのCICSドキュメントを参照してください。CICS Runtimeに付属するこの関数のデフォルト・バージョンは、常に0を戻します。

3.4 セキュリティ・プロファイル・ジェネレータ

Tuxedoセキュリティが有効の場合、CESNサービスを呼び出す前にユーザーがTuxedoドメインを結合できるようにするには、APP_PWパスワードや、デフォルトのUSER_AUTHユーザー名およびパスワードが含まれるデフォルト・セキュリティ・プロファイルが必要です。

TCPのデフォルトのセキュリティ・プロファイルを生成するために、セキュリティ・プロファイル・ジェネレータ・ツールgenappprofileが導入されます

3.5 ART for CICS 3270端末のデフォルト・ユーザー

Tuxedoセキュリティが有効な場合、3270端末が接続されると、ART for CICSはこのセッションにデフォルトのユーザーを使用します。CESNを実行してCICSにログオンする前に、CESN/CSGM/CESFのみを実行できます。

Tuxedoセキュリティが有効な場合、追加のtpuserを作成する必要はありません。

ノート:

tmloadcfが「新しいアプリケーション・パスワードを入力してください:」というプロンプトを表示したら、[Enter]キーを入力することでアプリケーション・パスワードを空に設定します。