バージョン 4.2.5
 —  Natural リモートプロシージャコール(RPC)  —

Security の使用

このセクションでは、次のトピックについて説明します。


Natural Security での Natural RPC の使用

Natural RPC は、セキュリティがどちらか(またはどちらにも)アクティブなクライアント/サーバー環境の Natural Security もサポートします。

全般的な情報については、『Natural Security』ドキュメントを参照してください。

クライアント/サーバー環境での Natural リモートプロシージャコールの使用の制御方法については、『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」を参照してください。

クライアント側

クライアントは、RPC 要求とともにログオンデータを送信する必要があります。 ログオンデータは、ユーザー ID、パスワード、およびライブラリで構成されています。

次の情報は、Natural RPC クライアントのみに適用されます。 Natural Security によって保護された Natural RPC サーバーにアクセスする EntireX RPC クライアントについては、EntireX 開発者キットのドキュメントを参照してください。

ログオンデータ

ログオンデータを Natural RPC サーバーに送信するには、ログオンオプションを使用する必要があります。 「Natural RPC 環境の運用」の「ログオンオプションの使用」を参照してください。 ログオンデータの各部分は、次のように設定されます。

  1. ユーザー ID およびパスワード:

    Natural Security 下でクライアントが実行される場合

    クライアントでの Natural Security ログオンのユーザー ID およびパスワードが使用され、Natural RPC サーバーへ渡されます。

    異なるユーザー ID またはパスワードをサーバー側での Natural Security ログオンに使用する場合は、アプリケーションプログラミングインターフェイス USR1071N(下記参照)を使用できます。

    注意:
    Natural Security ライブラリプロファイルのセッションパラメータ制限の Natural RPC 制限部分で、USR1071N の使用を禁止できます。

    Natural Security 下でクライアントが実行されない場合

    Natural RPC サーバーに渡すユーザー ID およびパスワードを指定するには、最初の RPC 要求が送信される前に、クライアントはアプリケーションプログラミングインターフェイス USR1071N(下記参照)を呼び出す必要があります。

  2. ライブラリ:

    デフォルトで、クライアントが現在ログオンしているライブラリの名前が使用されます。 別のライブラリ名を Natural RPC サーバーに渡す場合は、アプリケーションプログラミングインターフェイス USR4008N を使用できます。

USR1071N

アプリケーションプログラミングインターフェイス USR1071N は、ライブラリ SYSEXT にあります。 これは、Natural RPC サーバーに渡すユーザー ID およびパスワードを指定するために使用します。

Start of instruction setUSR1071N を使用するには

  1. サブプログラム USR1071N およびプログラム USR1071P を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。

  2. DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。

    パラメータ I/O フォーマット 説明
    USERID I A08 使用するユーザー ID。
    PASSWORD I A08 ユーザー ID を検証するパスワード。 このパスワードは、クライアント側では評価されません。
    MIXEDCASE I A01 パスワードの大文字小文字混在オプション(オプション)。
    Y 大文字と小文字が混在するパスワードを許可します。
    N パスワードを大文字に変換します。
  3. クライアント側の呼び出し元プログラムで、次のステートメントを指定します。

    FETCH RETURN 'USR1071P' USERID PASSWORD [MIXEDCASE]

コマンド行から USR1071P を呼び出し、表示されるウィンドウにユーザー ID およびパスワードを入力することもできます。

詳細については、ライブラリ SYSEXTUSR1071T メンバを参照してください。

注意:
USR1071N を呼び出す 2 つのサンプルが提供されています。USR1071P は、ユーザー ID とパスワードを渡します。USR1071X(拡張バージョン)は、さらにユーザーが各種データを設定/取得できるようにします。

サーバー側

サーバー側に Natural Security がインストールされており、AUTO=ON が指定されていない場合は、ユーザー ID とパスワードを使用した Natural ログオンが必要です。 Natural プロファイルパラメータ STACK を使用して、Natural システムコマンド LOGON を渡すことをお勧めします。 AUTO=ON が指定されている場合は、通常どおり *INIT-USER の内容が内部ログオンに使用されます。

ログオンオプションを実施する(ログオンオプションが設定されたクライアントからの要求だけをサーバーに受信させる場合)には、そのサーバーに対してプロファイルパラメータ RPC またはパラメータマクロ NTRPC のキーワードサブパラメータ LOGONRQON に設定します。 ログオンオプションが実施されない場合は、ログオンデータのないクライアント要求は受け入れられ、サーバーライブラリまたはいずれかの steplib で実行されます。 これにより、パブリックかつ保護されたサービスを提供できます。

クライアントがログオンデータを渡す場合は、クライアントからのユーザー ID およびパスワードがサーバー上の対応するユーザーセキュリティプロファイルに対して確認されます。要求したライブラリへログオンし、サーバー上の対応する Natural Security ライブラリおよびユーザープロファイル定義に従ってサブプログラムが実行されます。

サブプログラムの実行後、サーバー上で CALLNAT 要求前に使用したライブラリが再度更新されます。 会話型 RPC の場合は、会話内の最初の CALLNAT 要求はサーバー上のライブラリ ID を設定し、CLOSE CONVERSATION ステートメントはサーバー上のライブラリ ID を会話が開かれる前に使用されたものにリセットします。

Natural Security のライブラリプロファイルの Natural RPC 制限の一部として、サーバーセッションオプション Close all databases が提供されています。 これにより、ライブラリに含まれるリモートサブプログラムによって開かれたすべてのデータベースは、ライブラリへ(から)の Natural ログオン(ログオフ)が実行されたときに閉じられます。 これは、各クライアントがそれ自身のデータベースセッションを使用することを意味しています。

Close all databases オプションが設定された場合、サーバーによってこのクライアントについて実行されるすべての Adabas アクセスに対して、クライアント固有の ETID を使用することもできます。 この場合、ETID=OFF で Natural RPC サーバーを起動し、ETID を必要とする各クライアントのユーザープロファイルに適切な ETID を定義する必要があります。例えば、ETID *USER を指定します。 この場合、同じ名前の 2 つのクライアントは、Adabas コールによって 2 つの同時要求を発行できないことに注意してください。

パスワードの変更

Natural RPC サービス要求によって、Natural RPC サーバーの Natural Security パスワードを変更できます。 この目的のために、アプリケーションプログラミングインターフェイス USR2074N がライブラリ SYSEXT にあります。

Start of instruction setUSR2074N を使用するには

  1. サブプログラム USR2074N およびオプションでプログラム USR2074P を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。

  2. DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。

    パラメータ I/O フォーマット 説明
    USERID I A08 使用するユーザー ID。
    PASSWORD I A08 ユーザー ID を検証するパスワード。 このパスワードは、クライアント側では評価されません。
    NEWPASSWORD I A08 ユーザー ID の新しいパスワード。 このパスワードは、クライアント側では評価されません。
    NODE-NAME I A192

    アドレスされるサーバーノードの名前。

    物理ノード名の場合は最大 32 文字、論理ノード名の場合は最大 192 文字をノード名に含めることができます。 「Natural RPC 環境の運用」の「EntireX ロケーショントランスペアレンシの使用」を参照してください。

    ライブラリ SYSEXT で提供されるサンプル USR2074P は、最大 32 文字をサポートします。

    SERVER-NAME I A192

    アドレスされるサーバーの名前。

    物理サーバー名の場合は最大 32 文字、論理サービス名の場合は最大 192 文字をサーバー名に含めることができます。 「Natural RPC 環境の運用」の「EntireX ロケーショントランスペアレンシの使用」を参照してください。

    ライブラリ SYSEXT で提供されるサンプル USR2074P は、最大 32 文字をサポートします。

    PROTOCOL I A1 サーバーノードをアドレスするトランスポートプロトコル。 有効値:
    B EntireX Broker
    RC O I2 戻り値:
    0 OK。MESSAGE には確認メッセージが含まれます。
    1 RPC またはサーバーノードからのエラー。MESSAGE にはエラーメッセージが含まれます。
    2 インターフェイスからのエラー。MESSAGE にはエラーメッセージが含まれます。
    3 Natural Security エラー。MESSAGE# には Natural エラー番号が含まれ、MESSAGE には対応するメッセージテキストが含まれます。
    MESSAGE# O N4 返されたメッセージ番号。
    MESSAGE O A80 返されたメッセージテキスト。
  3. クライアント側の呼び出し元プログラムで、次のステートメントを指定します。

    CALLNAT 'USR2074N' user-id password newpassword node-name server-name protocol rc message# message

または、ライブラリ SYSEXT からプログラム USR2074P を使用できます。 コマンド行から USR2074P を呼び出し、表示されるウィンドウに必要なデータを入力します。 この場合、パスワードを除くすべての入力は大文字に変換されます。 パスワードに大文字と小文字を混在させかどうかを選択できます。

Top of page

偽装(z/OS バッチモードのみ)

偽装の目的

偽装は、Natural RPC サーバー側のオプションの機能で、Natural RPC サーバーが Natural Security で実行されている場合にのみ使用できます。 偽装機能は、Natural RPC サーバー用の Natural Security プロファイルで制御されます。 『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」も参照してください。

z/OS バッチモードでの偽装は、z/OS 環境下の Natural RPC サーバーフロントエンドの使用を必要とし、z/OS によって提供される SAF インターフェイスを使用します。

Natural RPC サーバーに対して偽装がアクティブな場合、ログオンオプションを使用するクライアント要求は、LOGON データ内でクライアントが渡すユーザー ID(Natural RPC ユーザー ID と呼ばれる)で実行されたオペレーティングシステム側からのものになります。 偽装の前提は、Natural RPC サーバーが実行されているオペレーティングシステムへのアクセスが、SAF 対応の外部セキュリティシステムによって制御されていることです。 ユーザー認証(Natural RPC ユーザー ID およびパスワードの検証)は、この外部セキュリティシステムによって実行されます。 認証が成功した後、オペレーティングシステムに対してユーザーの ID が確立されます。つまり、ACEE が作成され、現在のクライアント要求が実行される TCB にリンクされます。 後続の認証チェックは、この ID に基づいて実行されます。 つまり、SAF 対応の外部セキュリティシステムによって制御されるリソースへのすべてのアクセスは、この ID に対して認可されます。 このことは、ワークファイルおよびデータベースへのアクセスに特に適用されます。

偽装によって、Natural Security がオフにされることはありません。 外部セキュリティシステムによるユーザーの ID の認証が成功した後、同じ LOGON データを使用して、Natural Security ログオンが行われます。ただし、パスワードの検証は行われません。

偽装を使用して Natural RPC サーバーを起動するには、「Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動」を参照してください。

注意:
偽装を使用しない場合、ログオンオプションを使用するクライアント要求は、Natural RPC サーバーを起動したユーザー ID で実行されたオペレーティングシステム側からのものになります。

偽装を有効にする手順(サーバー側)

  1. RPC サーバーフロントエンドのインストール

    Natural for Mainframes の『インストール』ドキュメントの説明に従います。「z/OS 環境での Natural のインストール手順」を参照してください。

    推奨される APF 認可 LINKLIST ライブラリを使用する場合は、結果として生じるロードモジュールが STEPLIB または JOBLIB 連結内に存在しないことを確認する必要があります。

  2. Natural z/OS バッチニュークリアスの DB2 インターフェイス DSNRLI へのリンク

    この手順は、Natural for DB2 のユーザーのみに適用されます。

  3. Adabas バッチリンクルーチン ADALNK のリエントラントバージョン ADALNKR の使用

    Natural RPC サーバーの起動」の「レプリカ付きメインフレーム Natural RPC サーバーの考慮事項」を参照してください。

  4. EntireX Broker スタブ BKIMBTSO の使用

    Natural RPC 環境の設定」の「EntireX Broker スタブへのアクセスの提供」を参照してください。

  5. 必要な RPC サーバー固有のすべての Natural プロファイルパラメータの定義

    Natural RPC 環境の設定」の「RPC サーバー固有の Natural パラメータの設定」を参照してください。 パラメータは、NATPARM パラメータモジュールまたは CMPRMIN データセット内に定義されます。 JCL EXEC ステートメントのパラメータ PARM= は、Natural プロファイルパラメータを指定するために使用されません。

  6. Natural Security での RPC サーバープロファイルの定義

    Natural Security(NSC)で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、偽装を有効にします。

    Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。

  7. SAF 定義の確認

    (この手順は、Natural for DB2 のユーザーのみに適用されます。)

    SAF リソースクラス DSNR がアクティブな場合は、次の SAF 定義が必要かどうかを確認する必要があります。

    RDEFINE DSNR (subsys.RRSAF) OWNER(DB2owner)

    PERMIT subsys.RRSAF CLASS(DSNR) ID(DB2group) ACCESS(READ)

    subsys は DB2 サブシステム ID です。

    DB2 にアクセスする各ユーザーは、グループ DB2group のメンバである必要があります。

    詳細については、関連する IBM の DB2 ドキュメントを参照してください。

  8. ユーザー出口 NATRPC02 の作成

    (この手順は、Natural for DB2 のユーザーのみに適用されます。)

    NATPLAN のコールを使用して Natural RPC ユーザー出口 NATRPC02 を作成し、必要な DB2 プランを設定します。

    現在の Natural for DB2 バージョンの NATPLAN を使用してください。

    サンプル NATRPC02

    DEFINE DATA PARAMETER
      1 SUBPROGRAM (A8) BY VALUE END-DEFINE
    FETCH RETURN 'NATPLAN' 'planname'
  9. ロールサーバーの起動

    Natural RPC サーバーによって使用される subsystem-id に対してロールサーバーを起動します。

  10. Natural RPC サーバーフロントエンドの起動

    Natural RPC サーバーフロントエンドを起動します。

    Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動」を参照してください。

    必要なすべてのロードライブラリを STEPLIB 連結に追加したことを確認してください。 特に次のものが必要です。

    次のメッセージが表示された場合、偽装は正常にアクティブになります。

ユーザー偽装を使用する手順(クライアント側)

クライアントは、RPC 要求と一緒にログオンデータを送信する必要があります。標準の Natural Security(NSC)によって保護された Natural RPC サーバーの場合、これはすでに行われています。 標準の Natural RPC サーバーと異なり、ユーザー ID は有効な SAF ユーザー ID であり、パスワードは対応する SAF パスワードである必要があります。 ユーザー ID およびパスワードは、サーバーが実行されている z/OS システム上の Natural RPC サーバーによってチェックされます。 z/OS 環境下での偽装の場合、ユーザー ID は、定義されているルールに従って NSC によってチェックされます。 パスワードは無視されます。 したがって、NSC パスワードを SAF パスワードに設定する必要はありません。

クライアントの種類によっては、ログオンデータの設定が異なります。

Natural クライアント

  1. サービスディレクトリメンテナンス関数またはプロファイルパラメータ RPC またはパラメータマクロ NTRPCDFS キーワードサブパラメータのいずれかでログオンオプションをオンにします。

    また、USR2007N を使用してオンにすることもできます。

    Natural RPC 環境の運用」の「ログオンオプションの使用」を参照してください。

  2. SAF ユーザー ID および SAF パスワードを設定します。アプリケーションプログラミングインターフェイス USR1071P を使用します。

    クライアントが Natural Security(NSC)環境で実行されており、NSC のユーザー ID およびパスワードが SAF ユーザー ID および SAF パスワードと同じ場合、USR1071P は必要ありません。

EntireX RPC クライアント

  1. アプリケーション環境に応じて、Natural ログオンオプションをオンにします。

  2. アプリケーション環境に応じて、RPC ユーザー ID および RPC パスワードを SAF ユーザー ID および SAF パスワードに設定します。

偽装のルール

Top of page

偽装(CICS)

以下では次のトピックについて説明します。

偽装の目的

偽装は、Natural RPC サーバー側のオプションの機能で、Natural RPC サーバーが Natural Security で実行されている場合にのみ使用できます。 偽装機能は、Natural RPC サーバー用の Natural Security プロファイルで制御されます。 『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」も参照してください。

CICS 環境での偽装は、CICS 環境下で Natural RPC サーバーフロントエンドの使用を必要とし、CICS によって提供されるインターフェイスを使用します。

Natural RPC サーバーに対して偽装がアクティブな場合、ログオンオプションを使用するクライアント要求は、LOGON データ内でクライアントが渡すユーザー ID(Natural RPC ユーザー ID と呼ばれる)で実行された CICS 側からのものになります。 CICS 環境での偽装は、CICS オプションを使用して、指定されたユーザー ID で CICS タスクを開始します。 クライアント要求が到着した後、Natural RPC サーバーフロントエンドは、EXEC CICS START TRANSID() コマンドの USERID() オプションを使用して、新しい CICS タスクを開始します。USERID は Natural RPC ユーザー ID です。 ユーザー認証(Natural RPC ユーザー ID の検証)は、一般的には基礎となる外部セキュリティシステムを使用して CICS によって実行されます。 認証が成功した後、CICS タスクに対してユーザーの ID が確立されます。 後続の認証チェックは、この ID に基づいて実行されます。 つまり、CICS によって制御されるリソースへのすべてのアクセスは、この ID に対して認可されます。 このことは、CICS リソースおよびデータベースへのアクセスに特に適用されます。

偽装によって、Natural Security がオフにされることはありません。 CICS によるユーザーの ID の認証が成功した後、パスワードの検証と同じ LOGON データを使用して Natural Security ログオンが行われます。

偽装を使用して Natural RPC サーバーを起動するには、「Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動」(CICS のみ)を参照してください。

注意:
偽装を使用しない場合、ログオンオプションを使用するクライアント要求は、Natural RPC サーバーを起動したユーザー ID で実行されたオペレーティングシステム側からのものになります。

偽装を有効にする手順(サーバー側)

  1. CICS 環境での RPC サーバーフロントエンドのインストール

    Natural for Mainframes の『インストール』ドキュメントの「Natural CICS インターフェイスのインストール」セクションの該当する手順の説明に従います。

  2. Adabas 外部セキュリティの Adabas リンクルーチンのインストール

    詳細については、関連する Adabas ドキュメントを参照してください(Adabas 外部セキュリティユーザーのみに適用されます)。

  3. NATETB23 ではなく Broker スタブ CICSETB を使用

    Natural RPC 環境の設定」の「メインフレームでの EntireX Broker スタブへのアクセスの提供」を参照してください。

    CICSETB を Natural CICS インターフェイスニュークリアスにリンクする必要があります。

  4. 必要な RPC サーバー固有のすべての Natural プロファイルパラメータの定義

    Natural RPC 環境の設定」の「RPC サーバー固有の Natural パラメータの設定」を参照してください。

    パラメータは、パラメータモジュール NATPARM またはデータセット CMPRMIN 内に定義されます。

  5. Natural Security での RPC サーバープロファイルの定義

    Natural Security(NSC)で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、偽装を有効にします。

    Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。

  6. CICS 起動パラメータ XUSER=YES の場合

    CICS 起動パラメータ XUSER=YES が指定されている場合、クライアントユーザーごとにサロゲートユーザーを定義する必要があります。

    RDEFINE SURROGATE userid1.DFHSTART UACC(NONE) OWNER(userid1) PERMIT userid1.DFHSTART CLASS(SURROGATE) ID(userid2) ACCESS(READ)

    ここでは次の内容を表しています。

    userid1 は、クライアントのユーザー ID です。

    userid2 は、Natural RPC サーバーフロントエンドが起動されるユーザー ID です。

    詳細については、関連する IBM の CICS ドキュメントを参照してください。

  7. RPC サーバーフロントエンドに対する CICS PROGRAM エントリの定義

    Natural CICS インターフェイスのインストール」の対応する手順を参照してください。

  8. RPC サーバーフロントエンドを呼び出すトランザクション ID に対して CICS TRANSACTION エントリを定義します。

    Natural CICS インターフェイスのインストール」の対応する手順を参照してください。

  9. DB2TRAN および DB2ENTRY エントリの定義

    (この手順は、Natural for DB2 のユーザーのみに適用されます。)

    RPC サーバーフロントエンドを呼び出すトランザクション ID に対して DB2TRAN および DB2ENTRY エントリを定義します。

  10. ロールサーバーの起動

    Natural RPC サーバーによって使用されるサブシステムに対してロールサーバーを起動します。

    (この手順は、NCMDIR マクロパラメータ ROLLSRVYES に設定されている場合にのみ適用されます。)

  11. CICS 環境での Natural RPC サーバーフロントエンドの起動

    Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動(CICS のみ)」を参照してください。

    RPC トレースファイルに次のメッセージが表示された場合、偽装は正常にアクティブになります。

    M *** Server is running under NSC with impersonation

ユーザー偽装を使用する手順(クライアント側)

クライアントは、RPC 要求と一緒にログオンデータを送信する必要があります。標準の Natural Security(NSC)によって保護された Natural RPC サーバーの場合、これはすでに行われています。 ユーザー ID およびパスワードは、定義されているルールに従って NSC によってチェックされます。 標準の Natural RPC サーバーと異なり、ユーザー ID は有効な CICS ユーザー ID である必要もあります。

クライアントの種類によっては、ログオンデータの設定が異なります。

Natural クライアント

  1. ログオンオプションをオンにする

    サービスディレクトリメンテナンス関数またはプロファイルパラメータ RPC またはパラメータマクロ NTRPCDFS キーワードサブパラメータのいずれかでログオンオプションをオンにします。

    また、アプリケーションプログラミングインターフェイス USR2007N を使用してオンにすることもできます。

    Natural RPC 環境の運用」の「ログオンオプションの使用」を参照してください。

  2. ユーザー ID およびパスワードの設定

    ユーザー ID およびパスワードを設定します。アプリケーションプログラミングインターフェイス USR1071P を使用します。

    クライアントが Natural Security(NSC)環境で実行されており、NSC のユーザー ID およびパスワードがサーバー側のユーザー ID およびパスワードと同じ場合、USR1071P は必要ありません。

EntireX RPC クライアント

  1. Natural ログオンオプションをオンにする

    アプリケーション環境に応じて、Natural ログオンオプションをオンにします。

  2. RPC ユーザー ID およびパスワードの設定

    アプリケーション環境に応じて、RPC ユーザー ID および RPC パスワードを設定します。

偽装のルール

Top of page

EntireX Security での Natural RPC の使用

Natural RPC では、クライアント側およびサーバー側の EntireX Security が完全にサポートされています。

クライアント側での EntireX Security

EntireX Broker へログオン、EntireX Broker からログオフするために、Natural アプリケーションプログラミングインターフェイス USR2071N が提供されています。 EntireX Broker へログオンするには、USR2071N のログオン機能を使用してユーザー ID とパスワードを、選択した EntireX Broker に渡します。 ログオンが成功した後に、返されるセキュリティトークンは Natural によって保存され、後続の個々の呼び出しで EntireX Broker に渡されます。 ログオン機能は Natural アプリケーションで透過的です。

EntireX Security がインストールされているか、または EntireX Broker 属性ファイルに AUTOLOGON=NO が指定されている場合、最初のリモート CALLNAT 実行の前にログオン機能で USR2071N を呼び出す必要があります。

リモート CALLNAT を使用する必要がなくなった場合にはすぐに、ログオフ機能で USR2071N を呼び出すことをお勧めします。

Start of instruction setUSR2071N を使用するには

  1. サブプログラム USR2071N を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。

  2. DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。

    パラメータ I/O フォーマット 説明
    function I A08

    ファンクションコード。設定可能値は次のとおりです。

    LOGON EntireX Broker へのログオン
    LOGOFF  EntireX Broker からのログオフ
    broker-id I A192

    Broker ID
    broker-id は、物理ノード名には 32 文字まで、論理ノード名または論理サービス名については 192 文字までを指定できます。 「Natural RPC 環境の運用」の「EntireX ロケーショントランスペアレンシの使用」を参照してください。

    注意:
    互換性の理由で、broker-id のための A8 フィールドを渡す既存の呼び出し元をサポートするために、broker-idBY VALUE RESULT で定義されます。

    ライブラリ SYSEXT で提供されるサンプル USR2071P では、最大 32 文字がサポートされています。

    user-id  I A08 ユーザー ID。
    password  I A08 ユーザー ID のパスワード。
    newpassw  I A08 ユーザー ID の新しいパスワード。
    rc  O N04

    戻り値:

    0 OK
    1 無効なファンクションコード
    9999 EntireX Broker エラー(message を参照)
    message O A80 EntireX Broker によって返されたメッセージテキスト。
  3. クライアント側の呼び出し元プログラムで、次のステートメントを指定します。

    CALLNAT 'USR2071N' function broker-id user-id password newpassword rc message

    CALLNAT ステートメントの「構文の説明」も参照してください。

コマンド行から USR2071P を呼び出し、表示されるウィンドウにユーザー ID およびパスワードを入力することもできます。 この場合、パスワードを除くすべての入力は大文字に変換されます。 パスワードに大文字と小文字を混在させかどうかを選択できます。

ロケーショントランスペアレンシ使用時の特別な考慮事項:

論理ノード名を使って LOGON する場合、LOGBROKER キーワードを使用する必要があります。

BROKER-ID := 'LOGBROKER=my_logical_node,my_set'

論理サービス名を使って LOGON する場合、LOGSERVICE キーワードを使用する必要があります。

BROKER-ID := 'LOGSERVICE=my_logical_service,my_set'

機能:

LOGON

EntireX Broker LOGON 機能は、渡された user-idpasswordbroker-id へ実行されます。 LOGON コールが成功した後、クライアントは、EntireX Broker broker-id と通常どおりに通信できます。

newpassw で、クライアントユーザーは EntireX Security 機能を通して自身のパスワードを変更できます。

注意:
  • ログオンが正常に実行された場合、この LOGON に使用されたユーザー ID は、この EntireX Broker 経由で送られる後続のすべてのリモートプロシージャ CALLNAT で指定された EntireX Broker に渡されます。

    LOGON が明示されない場合、システム変数 *USER の現在の内容が使用されます。 EntireX Broker 1 に LOGON を発行した場合には同じことが適用されますが、リモートプロシージャ CALLNAT は EntireX Broker 2 経由でルーティングされます。

  • 複数の EntireX Broker へ同時にログオンすることが可能です。 LOGON ごとに異なるユーザー ID を使用できます。

  • EntireX Broker への LOGON のためのユーザー ID は、クライアントアプリケーションが実行される Natural ユーザー ID と異なっていてもかまいません。

  • 元の LOGON がパスワードなしで行われた場合、EntireX Broker タイムアウトが発生した後、内部的なログオンが再度行われます。LOGON に使用されたパスワードは保存されません。 タイムアウトが発生した後、内部的な再ログオンが可能ではない場合、クライアントは明示的に LOGON を再発行する必要があります。

  • Natural セッション終了時、ログオンが実行されたすべての EntireX Broker に対して暗黙的な LOGOFF が実行されます。

LOGOFF EntireX Broker LOGOFF 機能は、指定された broker-id に実行されます。

サーバー側での EntireX Security

プロファイルパラメータ RPC またはパラメータマクロ NTRPC のキーワードサブパラメータ ACIVERS の値が 2 以上の場合、サーバーは、セッションが開始したとき、LOGON 機能を使用して EntireX Broker にログオンします。 ユーザー ID は SRVUSER によって定義されたユーザー ID と同じです。

EntireX Security がインストールされており、EntireX 信頼済みユーザーの ID 機能が有効ではない場合、必要なパスワードを指定するための代替策が 2 つあります。

これらの代替策について、次に説明します。

SRVUSER=*NSC の設定

Natural Security がサーバーにインストールされている場合は、プロファイルパラメータ RPC またはパラメータマクロ NTRPC のキーワードサブパラメータ SRVUSER*NSC に設定して、サーバーの起動時に使用された現在の Natural Security ユーザー ID が Natural Security パスワードとともに LOGON で使用されることを指定できます。 この場合には、ACIVERS の値は最低でも 4 に設定する必要があります。

パスワードを指定するためのアプリケーションプログラミングインターフェイス USR2072N の使用

アプリケーションプログラミングインターフェイス USR2072N を使用すると、プロファイルパラメータ RPC またはパラメータマクロ NTRPC のキーワードサブパラメータ SRVUSER とともに LOGON で使用されるパスワードを指定できます。

Start of instruction setUSR2072N を使用するには

  1. サブプログラム USR2072N およびオプションでプログラム USR2072P を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。

  2. DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。

    パラメータ I/O フォーマット 説明
    password I A08 ユーザー ID のパスワード。
  3. クライアント側の呼び出し元プログラムで、次のステートメントを指定します。

    CALLNAT 'USR2072' password

    CALLNAT ステートメントの「構文の説明」も参照してください。

  4. Natural RPC サーバーがその初期化を開始する前に、呼び出し元プログラムを実行する必要があります。 このことを行うには、サーバーを起動するときに、呼び出し元プログラムの名前を Natural スタックに挿入します。 このために、ライブラリ SYSEXT からプログラム USR2072P を使用することもできます。 この場合、パスワードはデフォルトで大文字に変換されます。 大文字小文字混在オプション Y を 2 番目のパラメータとして渡すことによって、大文字小文字混在でパスワードを入力するオプションがあります。

    STACK=(LOGON server-library;USR2072P password [Y])

Top of page

Integrated Authentication Framework の使用

Integrated Authentication Framework(IAF)は、Natural RPC サーバー側で使用できるオプション機能です。

Integrated Authentication Framework の目的

Integrated Authentication Framework は、次の条件下で使用できます。

  1. Natural RPC サーバーが Natural Security 環境で実行されています。

  2. EntireX Broker が IAF サーバーによって保護されています。

  3. Natural RPC サーバーと EntireX Broker が同じ IAF サーバーを使用しています。

  4. Software AG Security eXtension(SSX)が EntireX によってインストールされている必要があります。

  5. Natural RPC サーバーが TSO、z/OS バッチモード、UNIX、または Windows 環境で実行されています。

IAF 機能は、Natural RPC サーバー用の Natural Security プロファイルで制御されます。 『Natural Security』ドキュメントの「rotecting Natural RPC Servers and Services」を参照してください。

Natural RPC サーバーが Integrated Authentication Framework を使用するように設定されると、Natural RPC サーバーは、ログオンデータで渡されるユーザー ID およびパスワードによってクライアント要求を認証しなくなります。 代わりに、クライアントが EntireX Broker にログオンするときに使用したユーザー ID が、信頼済みユーザーの ID として認証なしで使用されます。 次の手順が実行されます。

  1. クライアント要求が、EntireX Broker によって IAF サーバーを使用して認証されます。

  2. IAF サーバーは、ユーザー ID を含む暗号化および署名されたトークンを返します。

  3. EntireX Broker は、IAF トークンを RPC 要求とともに Natural RPC サーバーに渡します。

  4. Natural RPC サーバーは、IAF トークンをチェックおよび復号化し、IAF トークンに含まれるユーザー ID を信頼済みとして扱います。

  5. Natural Security は、定義された権限ルールを使用して、ユーザー ID をチェックし、要求されたライブラリへのログオンを実行します。 パスワードは使用されません。

この結果、Natural Security ログオンが成功した後は、Natural システム変数 *USER 内の Natural ユーザー ID と EntireX ユーザー ID は同一です。

Integrated Authentication Framework を使用する手順(クライアント側)

クライアントは、標準の EntireX Security 環境で行われるのと同様に、EntireX Broker にログオンする必要があります。 ユーザー ID およびパスワードが IAF サーバーによって認証されることは、クライアントに透過的です。

クライアントは、標準の Natural Security によって保護された Natural RPC サーバーの場合に行われるように、RPC 要求と一緒にログオンデータを送信する必要もあります。

標準の Natural Security によって保護された Natural RPC サーバーとは異なり、ログオンデータ内のユーザー ID およびパスワードは無視され、認証は行われません(上記参照)。 Natural ライブラリのみが Natural RPC サーバーによって評価されます。 したがって、ユーザー ID およびパスワードはログオンデータ内で省略される場合があります。

Integrated Authentication Framework を有効にする手順(サーバー側)

サーバー側で Integrated Authentication Framework を有効にするには、環境に応じて、次の手順を実行します。

TSO および z/OS バッチモード

  1. Natural Security で IAF サービスを定義します。『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」にある「IAF Support」を参照してください。

  2. IAF サーバーによって使用される CA 証明書を IAF サポートのトラストストアフィールドで参照される RACF キーリングに追加します。

  3. Natural RPC サーバーを起動する予定の RACF ユーザー ID に、キーリングへのアクセスを許可します。

  4. Natural Security で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、IAF サポートを有効にします。 『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。

  5. LE サポート(LE370=YES)で Natural RPC サーバーによって使用される Natural z/OS バッチニュークリアスを生成します。

  6. Natural RPC サーバーが使用する Natural プロファイルパラメータで、ACIVERS=9 以上に設定します。

  7. CEEOPTS 入力データセットを使用して Natural RPC サーバーを実行するバッチ JCL の POSIX をオンにします。 「z/OS でのバッチサーバーの起動」を参照してください。

  8. Software AG Security eXtension(SSX)ロードライブラリを JCL に追加します。 「z/OS でのバッチサーバーの起動」を参照してください。

Windows および UNIX

  1. Natural Security で IAF サービスを定義します。 『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」にある「IAF Support」を参照してください。

  2. Natural Security で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、IAF サポートを有効にします。 『Natural Security』ドキュメントの「Protecting Natural RPC Servers and Services」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。

  3. Natural RPC サーバーが使用する Natural プロファイルパラメータで、ACIVERS=9 以上に設定します。

  4. 環境変数を修正します。

    UNIX: $SAG/iaf/vXX/lib/ ディレクトリを $LD_LIBRARY_PATH(HP-UX システムでは $SHLIB_PATH)環境変数に追加します。

    XX は現在のバージョン番号です。

    Windows: %ProgramFiles%\Software AG\EntireX\Bin ディレクトリを %PATH% 環境変数に追加します。

Top of page