このセクションでは、次のトピックについて説明します。
Natural RPC は、セキュリティがどちらか(またはどちらにも)アクティブなクライアント/サーバー環境の Natural Security もサポートします。
全般的な情報については、『Natural Security』ドキュメントを参照してください。
クライアント/サーバー環境での Natural リモートプロシージャコールの使用の制御方法については、『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」を参照してください。
クライアントは、RPC 要求とともにログオンデータを送信する必要があります。 ログオンデータは、ユーザー ID、パスワード、およびライブラリで構成されています。
ユーザー ID およびパスワードは、Natural RPC サーバー側でクライアントの認証を実行するために使用されます。
ライブラリは、要求されたライブラリへの Natural Security によって保護されたログオンを実行するために使用されます。
次の情報は、Natural RPC クライアントのみに適用されます。 Natural Security によって保護された Natural RPC サーバーにアクセスする EntireX RPC クライアントについては、EntireX 開発者キットのドキュメントを参照してください。
ログオンデータを Natural RPC サーバーに送信するには、ログオンオプションを使用する必要があります。 「Natural RPC 環境の運用」の「ログオンオプションの使用」を参照してください。 ログオンデータの各部分は、次のように設定されます。
ユーザー ID およびパスワード:
クライアントでの Natural Security ログオンのユーザー ID およびパスワードが使用され、Natural RPC サーバーへ渡されます。
異なるユーザー ID またはパスワードをサーバー側での Natural Security ログオンに使用する場合は、アプリケーションプログラミングインターフェイス USR1071N(下記参照)を使用できます。
注意:
Natural Security ライブラリプロファイルのセッションパラメータ制限の Natural RPC 制限部分で、USR1071N の使用を禁止できます。
Natural RPC サーバーに渡すユーザー ID およびパスワードを指定するには、最初の RPC 要求が送信される前に、クライアントはアプリケーションプログラミングインターフェイス USR1071N(下記参照)を呼び出す必要があります。
ライブラリ:
デフォルトで、クライアントが現在ログオンしているライブラリの名前が使用されます。 別のライブラリ名を Natural RPC サーバーに渡す場合は、アプリケーションプログラミングインターフェイス USR4008N を使用できます。
アプリケーションプログラミングインターフェイス USR1071N は、ライブラリ SYSEXT にあります。 これは、Natural RPC サーバーに渡すユーザー ID およびパスワードを指定するために使用します。
USR1071N を使用するには
サブプログラム USR1071N およびプログラム USR1071P を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。
DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。
| パラメータ | I/O | フォーマット | 説明 | |
|---|---|---|---|---|
USERID |
I | A08 | 使用するユーザー ID。 | |
PASSWORD |
I | A08 | ユーザー ID を検証するパスワード。 このパスワードは、クライアント側では評価されません。 | |
MIXEDCASE |
I | A01 | パスワードの大文字小文字混在オプション(オプション)。 | |
Y |
大文字と小文字が混在するパスワードを許可します。 | |||
N |
パスワードを大文字に変換します。 | |||
クライアント側の呼び出し元プログラムで、次のステートメントを指定します。
FETCH RETURN 'USR1071P' USERID PASSWORD
[MIXEDCASE]
コマンド行から USR1071P を呼び出し、表示されるウィンドウにユーザー ID およびパスワードを入力することもできます。
詳細については、ライブラリ SYSEXT の USR1071T メンバを参照してください。
注意:USR1071N を呼び出す 2 つのサンプルが提供されています。USR1071P は、ユーザー ID とパスワードを渡します。USR1071X(拡張バージョン)は、さらにユーザーが各種データを設定/取得できるようにします。
サーバー側に Natural Security がインストールされており、AUTO=ON が指定されていない場合は、ユーザー ID とパスワードを使用した Natural ログオンが必要です。 Natural プロファイルパラメータ STACK を使用して、Natural システムコマンド LOGON を渡すことをお勧めします。 AUTO=ON が指定されている場合は、通常どおり *INIT-USER の内容が内部ログオンに使用されます。
ログオンオプションを実施する(ログオンオプションが設定されたクライアントからの要求だけをサーバーに受信させる場合)には、そのサーバーに対して LOGONRQ プロファイルパラメータを "ON" に設定します。 ログオンオプションが実施されない場合は、ログオンデータのないクライアント要求は受け入れられ、サーバーライブラリまたはいずれかの steplib で実行されます。 これにより、パブリックかつ保護されたサービスを提供できます。
クライアントがログオンデータを渡す場合は、クライアントからのユーザー ID およびパスワードがサーバー上の対応するユーザーセキュリティプロファイルに対して確認されます。要求したライブラリへログオンし、サーバー上の対応する Natural Security ライブラリおよびユーザープロファイル定義に従ってサブプログラムが実行されます。
サブプログラムの実行後、サーバー上で CALLNAT 要求前に使用したライブラリが再度更新されます。 会話型 RPC の場合は、会話内の最初の CALLNAT 要求はサーバー上のライブラリ ID を設定し、CLOSE CONVERSATION ステートメントはサーバー上のライブラリ ID を会話が開かれる前に使用されたものにリセットします。
Natural Security のライブラリプロファイルの Natural RPC 制限の一部として、サーバーセッションオプション Close all databases が提供されています。 これにより、ライブラリに含まれるリモートサブプログラムによって開かれたすべてのデータベースは、ライブラリへ(から)の Natural ログオン(ログオフ)が実行されたときに閉じられます。 これは、各クライアントがそれ自身のデータベースセッションを使用することを意味しています。
Close all databases オプションが設定された場合、サーバーによってこのクライアントについて実行されるすべての Adabas アクセスに対して、クライアント固有の ETID を使用することもできます。 この場合、ETID=OFF で Natural RPC サーバーを起動し、ETID を必要とする各クライアントのユーザープロファイルに適切な ETID を定義する必要があります。例えば、ETID *USER を指定します。 この場合、同じ名前の 2 つのクライアントは、Adabas コールによって 2 つの同時要求を発行できないことに注意してください。
パスワードの変更
Natural RPC サービス要求によって、Natural RPC サーバーの Natural Security パスワードを変更できます。 この目的のために、アプリケーションプログラミングインターフェイス USR2074N がライブラリ SYSEXT にあります。
USR2074N を使用するには
サブプログラム USR2074N およびオプションでプログラム USR2074P を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。
DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。
| パラメータ | I/O | フォーマット | 説明 | |
|---|---|---|---|---|
USERID |
I | A08 | 使用するユーザー ID。 | |
PASSWORD |
I | A08 | ユーザー ID を検証するパスワード。 このパスワードは、クライアント側では評価されません。 | |
NEWPASSWORD |
I | A08 | ユーザー ID の新しいパスワード。 このパスワードは、クライアント側では評価されません。 | |
NODE-NAME |
I | A192 |
アドレスされるサーバーノードの名前。 物理ノード名の場合は最大 32 文字、論理ノード名の場合は最大 192 文字をノード名に含めることができます。 「Natural RPC 環境の運用」の「EntireX ロケーショントランスペアレンシの使用」を参照してください。 ライブラリ |
|
SERVER-NAME |
I | A192 |
アドレスされるサーバーの名前。 物理サーバー名の場合は最大 32 文字、論理サービス名の場合は最大 192 文字をサーバー名に含めることができます。 「Natural RPC 環境の運用」の「EntireX ロケーショントランスペアレンシの使用」を参照してください。 ライブラリ |
|
PROTOCOL |
I | A1 |
サーバーノードをアドレスするトランスポートプロトコル。 有効な値: |
|
RC |
O | I2 | 戻り値: | |
0 |
OK。MESSAGE には確認メッセージが含まれます。
|
|||
1 |
RPC またはサーバーノードからのエラー。MESSAGE にはエラーメッセージが含まれます。
|
|||
2 |
インターフェイスからのエラー。MESSAGE にはエラーメッセージが含まれます。
|
|||
3 |
Natural Security エラー。MESSAGE# には Natural エラー番号が含まれ、MESSAGE には対応するメッセージテキストが含まれます。
|
|||
MESSAGE# |
O | N4 | 返されたメッセージ番号。 | |
MESSAGE |
O | A80 | 返されたメッセージテキスト。 | |
クライアント側の呼び出し元プログラムで、次のステートメントを指定します。
CALLNAT 'USR2074N' user-id password newpassword
node-name server-name protocol rc message# message
または、ライブラリ SYSEXT からプログラム USR2074P を使用できます。 コマンド行から USR2074P を呼び出し、表示されるウィンドウに必要なデータを入力します。 この場合、パスワードを除くすべての入力は大文字に変換されます。 パスワードに大文字と小文字を混在させかどうかを選択できます。
偽装は、Natural RPC サーバー側のオプションの機能で、Natural RPC サーバーが Natural Security で実行されている場合にのみ使用できます。 偽装機能は、Natural RPC サーバー用の Natural Security プロファイルで制御されます。 『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」も参照してください。
z/OS バッチモードでの偽装は、z/OS 環境下の Natural RPC サーバーフロントエンドの使用を必要とし、z/OS によって提供される SAF インターフェイスを使用します。
Natural RPC サーバーに対して偽装がアクティブな場合、ログオンオプションを使用するクライアント要求は、LOGON データ内でクライアントが渡すユーザー ID(Natural RPC ユーザー ID と呼ばれる)で実行されたオペレーティングシステム側からのものになります。 偽装の前提は、Natural RPC サーバーが実行されているオペレーティングシステムへのアクセスが、SAF
対応の外部セキュリティシステムによって制御されていることです。 ユーザー認証(Natural RPC ユーザー ID およびパスワードの検証)は、この外部セキュリティシステムによって実行されます。 認証が成功した後、オペレーティングシステムに対してユーザーの
ID が確立されます。つまり、ACEE が作成され、現在のクライアント要求が実行される TCB にリンクされます。 後続の認証チェックは、この ID に基づいて実行されます。 つまり、SAF 対応の外部セキュリティシステムによって制御されるリソースへのすべてのアクセスは、この
ID に対して認可されます。 このことは、ワークファイルおよびデータベースへのアクセスに特に適用されます。
偽装によって、Natural Security がオフにされることはありません。 外部セキュリティシステムによるユーザーの ID の認証が成功した後、同じ LOGON データを使用して、Natural Security ログオンが行われます。ただし、パスワードの検証は行われません。
偽装を使用して Natural RPC サーバーを起動するには、「Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動」を参照してください。
注意:
偽装を使用しない場合、ログオンオプションを使用するクライアント要求は、Natural RPC サーバーを起動したユーザー ID で実行されたオペレーティングシステム側からのものになります。
RPC サーバーフロントエンドをインストールします。
Natural for Mainframes の『インストール』ドキュメントの説明に従います。「z/OS 環境での Natural のインストール手順」を参照してください。
推奨される APF 認可 LINKLIST ライブラリを使用する場合は、結果として生じるロードモジュールが STEPLIB または JOBLIB 連結内に存在しないことを確認する必要があります。
Natural z/OS バッチニュークリアスを DB2 インターフェイス DSNRLI とリンクします。
(この手順は、Natural for DB2 のユーザーのみに適用されます。)
Adabas バッチリンクルーチン ADALNK のリエントラントバージョン ADALNKR を使用します。
「Natural RPC サーバーの起動」の「レプリカ付きメインフレーム Natural RPC サーバーの考慮事項」を参照してください。
EntireX Broker スタブ BKIMBTSO を使用します。「Natural RPC 環境の設定」の「EntireX Broker スタブへのアクセスの提供」を参照してください。
必要な RPC サーバー固有の Natural プロファイルパラメータをすべて定義します。
「Natural RPC 環境の設定」の「RPC サーバー固有の Natural パラメータの設定」を参照してください。 パラメータは、NATPARM パラメータモジュールまたは CMPRMIN データセット内に定義されます。 JCL EXEC ステートメントのパラメータ PARM= は、Natural プロファイルパラメータを指定するために使用されません。
Natural Security(NSC)で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、偽装を有効にします。
『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。
SAF リソースクラス DSNR がアクティブな場合は、次の SAF 定義が必要かどうかを確認する必要があります。
RDEFINE DSNR (subsys.RRSAF) OWNER(DB2owner)
PERMIT subsys.RRSAF CLASS(DSNR) ID(DB2group) ACCESS(READ)
subsys は DB2 サブシステム ID です。
DB2 にアクセスする各ユーザーは、グループ DB2group のメンバである必要があります。
詳細については、関連する IBM の DB2 ドキュメントを参照してください。
(この手順は、Natural for DB2 のユーザーのみに適用されます。)
NATPLAN のコールを使用して Natural RPC ユーザー出口 NATRPC02 を作成し、必要な DB2 プランを設定します。
現在の Natural for DB2 バージョンの NATPLAN を使用してください。
サンプル NATRPC02:
DEFINE DATA PARAMETER
1 SUBPROGRAM (A8) BY VALUE END-DEFINE
FETCH RETURN 'NATPLAN' 'planname'
(この手順は、Natural for DB2 のユーザーのみに適用されます。)
Natural RPC サーバーによって使用される subsystem-id に対してロールサーバーを起動します。
Natural RPC サーバーフロントエンドを起動します。
「Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動」を参照してください。
必要なすべてのロードライブラリを STEPLIB 連結に追加したことを確認してください。 特に次のものが必要です。
- Natural ロードライブラリ
- EntireX ロードライブラリ
- Adabas ロードライブラリ(Adabas リンクルーチン ADAUSER を使用する場合)
- DB2 ロードライブラリ(DB2 にアクセスする場合)
次のメッセージが表示された場合、偽装は正常にアクティブになります。
ジョブログ:RPC0010 偽装用の認可環境が確立されました
RPC トレースファイル:M *** Server is running under NSC with impersonation
クライアントは、RPC 要求と一緒にログオンデータを送信する必要があります。標準の Natural Security(NSC)によって保護された Natural RPC サーバーの場合、これはすでに行われています。 標準の Natural RPC サーバーと異なり、ユーザー ID は有効な SAF ユーザー ID であり、パスワードは対応する SAF パスワードである必要があります。 ユーザー ID およびパスワードは、サーバーが実行されている z/OS システム上の Natural RPC サーバーによってチェックされます。 z/OS 環境下での偽装の場合、ユーザー ID は、定義されているルールに従って NSC によってチェックされます。 パスワードは無視されます。 したがって、NSC パスワードを SAF パスワードに設定する必要はありません。
クライアントの種類によっては、ログオンデータの設定が異なります。
サービスディレクトリメンテナンス関数またはプロファイルパラメータ RPC の DFS サブパラメータのいずれかでログオンオプションをオンにするか、USR2007N を使用してログオンオプションをオンにします。
「Natural RPC 環境の運用」の「ログオンオプションの使用」を参照してください。
SAF ユーザー ID および SAF パスワードを設定します。アプリケーションプログラミングインターフェイス USR1071P を使用します。
クライアントが Natural Security(NSC)環境で実行されており、NSC のユーザー ID およびパスワードが SAF ユーザー ID および SAF パスワードと同じ場合、USR1071P は必要ありません。
アプリケーション環境に応じて、Natural ログオンオプションをオンにします。
アプリケーション環境に応じて、RPC ユーザー ID および RPC パスワードを SAF ユーザー ID および SAF パスワードに設定します。
偽装は、会話型以外の各 CALLNAT の開始時および各会話の開始時に実行されます。
Natural RPC ユーザー ID およびパスワードの認証は、外部セキュリティシステムによって実行されます。 FSEC システムファイル上のパスワードは使用されません。
認証が成功した後、Natural RPC ユーザー ID はオペレーティングシステムに対して確立されます(ユーザーは偽装されます)。
偽装が適切に実行された後:
Natural RPC ユーザー ID に対して Natural Security ログオンが実行されます。パスワードチェックは行われません。
CM で開始されない DDNAME を持つすべてのワークファイルが、Natural RPC ユーザー ID を使用してオープンされます。
すべての Adabas データベースが、Natural RPC ユーザー ID でオープンされます(Adabas 外部セキュリティのみ該当)。
ETID が NSC ユーザープロファイルで指定されている場合、この ETID が Adabas オープン要求で使用されます。
DB2 接続が、Natural RPC ユーザー ID でオープンされます(Natural for DB2 ユーザーのみ該当)。
各非会話型 CALLNAT の終了時および各会話の終了時に、Natural RPC ユーザー ID はオペレーティングシステムからログオフされます。
ログオフ後:
CM で開始されない DDNAME を持つすべてのワークファイルがクローズされます。
すべての Adabas データベースがクローズされます。
以下では次のトピックについて説明します。
偽装は、Natural RPC サーバー側のオプションの機能で、Natural RPC サーバーが Natural Security で実行されている場合にのみ使用できます。 偽装機能は、Natural RPC サーバー用の Natural Security プロファイルで制御されます。 『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」も参照してください。
CICS 環境での偽装は、CICS 環境下で Natural RPC サーバーフロントエンドの使用を必要とし、CICS によって提供されるインターフェイスを使用します。
Natural RPC サーバーに対して偽装がアクティブな場合、ログオンオプションを使用するクライアント要求は、LOGON データ内でクライアントが渡すユーザー ID(Natural RPC ユーザー ID と呼ばれる)で実行された CICS
側からのものになります。 CICS 環境での偽装は、CICS オプションを使用して、指定されたユーザー ID で CICS タスクを開始します。 クライアント要求が到着した後、Natural RPC サーバーフロントエンドは、EXEC CICS START TRANSID() コマンドの USERID() オプションを使用して、新しい CICS タスクを開始します。USERID は Natural RPC ユーザー ID です。 ユーザー認証(Natural RPC ユーザー ID の検証)は、一般的には基礎となる外部セキュリティシステムを使用して CICS によって実行されます。 認証が成功した後、CICS タスクに対してユーザーの
ID が確立されます。 後続の認証チェックは、この ID に基づいて実行されます。 つまり、CICS によって制御されるリソースへのすべてのアクセスは、この ID に対して認可されます。 このことは、CICS リソースおよびデータベースへのアクセスに特に適用されます。
偽装によって、Natural Security がオフにされることはありません。 CICS によるユーザーの ID の認証が成功した後、パスワードの検証と同じ LOGON データを使用して Natural Security ログオンが行われます。
偽装を使用して Natural RPC サーバーを起動するには、「Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動」(CICS のみ)を参照してください。
注意:
偽装を使用しない場合、ログオンオプションを使用するクライアント要求は、Natural RPC サーバーを起動したユーザー ID で実行されたオペレーティングシステム側からのものになります。
CICS 環境で RPC サーバーフロントエンドをインストールします。
Natural for Mainframes の『インストール』ドキュメントの「Natural CICS インターフェイスのインストール」セクションの該当する手順の説明に従います。
2. Adabas 外部セキュリティの Adabas リンクルーチンをインストールします。
詳細については、関連する Adabas ドキュメントを参照してください(Adabas 外部セキュリティユーザーのみに適用されます)。
NATETB23 の代わりに Broker スタブ CICSETB を使用します。「Natural RPC 環境の設定」の「メインフレームでの EntireX Broker スタブへのアクセスの提供」を参照してください。
CICSETB を Natural CICS インターフェイスニュークリアスにリンクする必要があります。
必要な RPC サーバー固有の Natural プロファイルパラメータをすべて定義します。
「Natural RPC 環境の設定」の「RPC サーバー固有の Natural パラメータの設定」を参照してください。
パラメータは、パラメータモジュール NATPARM またはデータセット CMPRMIN 内に定義されます。
Natural Security(NSC)で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、偽装を有効にします。
『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。
CICS 起動パラメータ XUSER=YES が指定されている場合、クライアントユーザーごとに SURROGATE ユーザーを定義する必要があります。
RDEFINE SURROGATE userid1.DFHSTART UACC(NONE) OWNER(userid1) PERMIT userid1.DFHSTART CLASS(SURROGATE) ID(userid2) ACCESS(READ)
ここでは次の内容を表しています。
userid1 は、クライアントのユーザー ID です。
userid2 は、Natural RPC サーバーフロントエンドが起動されるユーザー ID です。
詳細については、関連する IBM の CICS ドキュメントを参照してください。
RPC サーバーフロントエンドに対して CICS PROGRAM エントリを定義します。
「Natural CICS インターフェイスのインストール」の対応する手順を参照してください。
RPC サーバーフロントエンドを呼び出すトランザクション ID に対して CICS TRANSACTION エントリを定義します。
「Natural CICS インターフェイスのインストール」の対応する手順を参照してください。
RPC サーバーフロントエンドを呼び出すトランザクション ID に対して DB2TRAN および DB2ENTRY エントリを定義します。
(この手順は、Natural for DB2 のユーザーのみに適用されます。)
Natural RPC サーバーによって使用されるサブシステムに対してロールサーバーを起動します。
(この手順は、NCMDIR マクロパラメータ ROLLSRV が "YES" に設定されている場合にのみ適用されます。)
CICS 環境で Natural RPC サーバーフロントエンドを起動します。
「Natural RPC サーバーの起動」の「RPC サーバーフロントエンドを使用した Natural RPC サーバーの起動(CICS のみ)」を参照してください。
RPC トレースファイルに次のメッセージが表示された場合、偽装は正常にアクティブになります。
M *** Server is running under NSC with impersonation
クライアントは、RPC 要求と一緒にログオンデータを送信する必要があります。標準の Natural Security(NSC)によって保護された Natural RPC サーバーの場合、これはすでに行われています。 ユーザー ID およびパスワードは、定義されているルールに従って NSC によってチェックされます。 標準の Natural RPC サーバーと異なり、ユーザー ID は有効な CICS ユーザー ID である必要もあります。
クライアントの種類によっては、ログオンデータの設定が異なります。
サービスディレクトリメンテナンス関数またはプロファイルパラメータ RPC の DFS サブパラメータのいずれかでログオンオプションをオンにするか、USR2007N を使用してログオンオプションをオンにします。
「Natural RPC 環境の運用」の「ログオンオプションの使用」を参照してください。
ユーザー ID およびパスワードを設定します。アプリケーションプログラミングインターフェイス USR1071P を使用します。
クライアントが Natural Security(NSC)環境で実行されており、NSC のユーザー ID およびパスワードがサーバー側のユーザー ID およびパスワードと同じ場合、USR1071P は必要ありません。
アプリケーション環境に応じて、Natural ログオンオプションをオンにします。
アプリケーション環境に応じて、RPC ユーザー ID および RPC パスワードを設定します。
偽装は、会話型以外の各 CALLNAT の開始時および各会話の開始時に実行されます。
Natural RPC ユーザー ID の認証は、CICS によって実行されます。 パスワードは使用されません。
認証が成功した後、Natural RPC ユーザー ID は CICS に対して確立されます(ユーザーは偽装されます)。
偽装が適切に実行された後:
Natural RPC ユーザー ID に対して Natural Security ログオンが実行されます。定義されているルールに従ってパスワードチェックが行われます。
すべての CICS リソースは、Natural RPC ユーザー ID を使用してアクセスされます。
すべての Adabas データベースが、Natural RPC ユーザー ID でオープンされます(Adabas 外部セキュリティのみ該当)。
ETID が NSC ユーザープロファイルで指定されている場合、この ETID が Adabas オープン要求で使用されます。
DB2 接続が、Natural RPC ユーザー ID でオープンされます(Natural for DB2 ユーザーのみ該当)。
各非会話型 CALLNAT の終了時および各会話の終了時に、Natural RPC ユーザー ID は CICS からログオフされます。
ログオフ後:
すべての CICS リソースがクローズされます。
すべての Adabas データベースがクローズされます。
DB2 への接続がクローズされます(Natural for DB2 ユーザーのみ該当)。
Natural RPC では、クライアント側およびサーバー側の EntireX Security が完全にサポートされています。
EntireX Broker へログオン、EntireX Broker からログオフするために、Natural アプリケーションプログラミングインターフェイス USR2071N が提供されています。 EntireX Broker へログオンするには、USR2071N のログオン機能を使用してユーザー ID とパスワードを、選択した EntireX Broker に渡します。 ログオンが成功した後に、返されるセキュリティトークンは Natural によって保存され、後続の個々の呼び出しで EntireX Broker
に渡されます。 ログオン機能は Natural アプリケーションで透過的です。
EntireX Security がインストールされているか、または EntireX Broker 属性ファイルに AUTOLOGON=NO が指定されている場合、最初のリモート CALLNAT 実行の前にログオン機能で USR2071N を呼び出す必要があります。
リモート CALLNAT を使用する必要がなくなった場合にはすぐに、ログオフ機能で USR2071N を呼び出すことをお勧めします。
USR2071N を使用するには
サブプログラム USR2071N を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。
DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。
| パラメータ | I/O | フォーマット | 説明 | |
|---|---|---|---|---|
function |
I | A08 |
ファンクションコード。設定可能値は次のとおりです。 |
|
LOGON |
EntireX Broker へのログオン | |||
LOGOFF
|
EntireX Broker からのログオフ | |||
broker-id |
I | A192 |
Broker ID 注意: ライブラリ |
|
user-id |
I | A08 | ユーザー ID。 | |
password |
I | A08 | ユーザー ID のパスワード。 | |
newpassw
|
I | A08 | ユーザー ID の新しいパスワード。 | |
rc
|
O | N04 |
戻り値: |
|
0 |
ok | |||
1 |
無効なファンクションコード | |||
9999 |
EntireX Broker エラー(message を参照) | |||
message |
O | A80 | EntireX Broker によって返されたメッセージテキスト。 | |
クライアント側の呼び出し元プログラムで、次のステートメントを指定します。
CALLNAT 'USR2071N' function broker-id user-id password newpassword rc message
CALLNAT ステートメントの「構文の説明」も参照してください。
コマンド行から USR2071P を呼び出し、表示されるウィンドウにユーザー ID およびパスワードを入力することもできます。 この場合、パスワードを除くすべての入力は大文字に変換されます。 パスワードに大文字と小文字を混在させかどうかを選択できます。
論理ノード名を使って LOGON する場合、LOGBROKER キーワードを使用する必要があります。
BROKER-ID := 'LOGBROKER=my_logical_node,my_set'
論理サービス名を使って LOGON する場合、LOGSERVICE キーワードを使用する必要があります。
BROKER-ID := 'LOGSERVICE=my_logical_service,my_set'
LOGON |
EntireX Broker
注意:
|
LOGOFF |
EntireX Broker LOGOFF 機能は、指定された broker-id に実行されます。
|
プロファイルパラメータ ACIVERS の値が "2" 以上の場合、セッション開始時、LOGON 機能を使用して EntireX Broker にログオンします。 ユーザー ID は SRVUSER によって定義されたユーザー ID と同じです。
EntireX Security がインストールされており、EntireX 信頼済みユーザーの ID 機能が有効ではない場合、必要なパスワードを指定するための代替策が 2 つあります。
SRVUSER=*NSC の設定
アプリケーションプログラミングインターフェイス USR2072N の使用
これらの代替策について、次に説明します。
Natural Security がサーバーにインストールされていれば、サーバーが起動されたときに使用された現在の Natural Security ユーザー ID が Natural Security パスワードに付随して LOGON のために使用されることを指定するために、プロファイルパラメータ SRVUSER を *NSC に設定できます。 この場合には、ACIVERS の値は最低でも "4" に設定する必要があります。
アプリケーションプログラミングインターフェイス USR2072N では、プロファイルパラメータ SRVUSER と連携して LOGON に使用されるパスワードを指定できます。
USR2072N を使用するには
サブプログラム USR2072N およびオプションでプログラム USR2072P を、ライブラリ SYSEXT からライブラリ SYSTEM または steplib ライブラリまたはサーバー環境の任意のアプリケーションにコピーします。
DEFINE DATA PARAMETER ステートメントを使用して、次のパラメータを指定します。
| パラメータ | I/O | フォーマット | 説明 |
|---|---|---|---|
password |
I | A08 | ユーザー ID のパスワード。 |
クライアント側の呼び出し元プログラムで、次のステートメントを指定します。
CALLNAT 'USR2072' password
CALLNAT ステートメントの「構文の説明」も参照してください。
Natural RPC サーバーがその初期化を開始する前に、呼び出し元プログラムを実行する必要があります。 このことを行うには、サーバーを起動するときに、呼び出し元プログラムの名前を Natural スタックに挿入します。 このために、ライブラリ
SYSEXT からプログラム USR2072P を使用することもできます。 この場合、パスワードはデフォルトで大文字に変換されます。 大文字小文字混在オプション Y を 2 番目のパラメータとして渡すことによって、大文字小文字混在でパスワードを入力するオプションがあります。
STACK=(LOGON server-library;USR2072P password [Y])
Integrated Authentication Framework(IAF)は、Natural RPC サーバー側で使用できるオプション機能です。
Integrated Authentication Framework は、次の条件下で使用できます。
Natural RPC サーバーが Natural Security 環境で実行されています。
EntireX Broker が IAF サーバーによって保護されています。
Natural RPC サーバーと EntireX Broker が同じ IAF サーバーを使用しています。
Software AG Security eXtension(SSX)が EntireX によってインストールされている必要があります。
Natural RPC サーバーが TSO、z/OS バッチモード、UNIX、または Windows 環境で実行されています。
IAF 機能は、Natural RPC サーバー用の Natural Security プロファイルで制御されます。 『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」を参照してください。
Natural RPC サーバーが Integrated Authentication Framework を使用するように設定されると、Natural RPC サーバーは、ログオンデータで渡されるユーザー ID およびパスワードによってクライアント要求を認証しなくなります。 代わりに、クライアントが EntireX Broker にログオンするときに使用したユーザー ID が、信頼済みユーザーの ID として認証なしで使用されます。 次の手順が実行されます。
クライアント要求が、EntireX Broker によって IAF サーバーを使用して認証されます。
IAF サーバーは、ユーザー ID を含む暗号化および署名されたトークンを返します。
EntireX Broker は、IAF トークンを RPC 要求とともに Natural RPC サーバーに渡します。
Natural RPC サーバーは、IAF トークンをチェックおよび復号化し、IAF トークンに含まれるユーザー ID を信頼済みとして扱います。
Natural Security は、定義された権限ルールを使用して、ユーザー ID をチェックし、要求されたライブラリへのログオンを実行します。 パスワードは使用されません。
この結果、Natural Security ログオンが成功した後は、Natural システム変数 *USER 内の Natural ユーザー ID と EntireX ユーザー ID は同一です。
クライアントは、標準の EntireX Security 環境で行われるのと同様に、EntireX Broker にログオンする必要があります。 ユーザー ID およびパスワードが IAF サーバーによって認証されることは、クライアントに透過的です。
クライアントは、標準の Natural Security によって保護された Natural RPC サーバーの場合に行われるように、RPC 要求と一緒にログオンデータを送信する必要もあります。
標準の Natural Security によって保護された Natural RPC サーバーとは異なり、ログオンデータ内のユーザー ID およびパスワードは無視され、認証は行われません(上記参照)。 Natural ライブラリのみが Natural RPC サーバーによって評価されます。 したがって、ユーザー ID およびパスワードはログオンデータ内で省略される場合があります。
サーバー側で Integrated Authentication Framework を有効にするには、環境に応じて、次の手順を実行します。
Natural Security で IAF サービスを定義します。『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」にある「IAF Support」を参照してください。
IAF サーバーによって使用される CA 証明書を IAF サポートのトラストストアフィールドで参照される RACF キーリングに追加します。
Natural RPC サーバーを起動する予定の RACF ユーザー ID に、キーリングへのアクセスを許可します。
Natural Security で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、IAF サポートを有効にします。 『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。
LE サポート(LE370=YES)で Natural RPC サーバーによって使用される Natural z/OS バッチニュークリアスを生成します。
Natural RPC サーバーが使用する Natural プロファイルパラメータで、ACIVERS=9 以上に設定します。
CEEOPTS 入力データセットを使用して Natural RPC サーバーを実行するバッチ JCL の POSIX をオンにします。 「z/OS でのバッチサーバーの起動」を参照してください。
Software AG Security eXtension(SSX)ロードライブラリを JCL に追加します。 「z/OS でのバッチサーバーの起動」を参照してください。
Natural Security で IAF サービスを定義します。 『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」にある「IAF Support」を参照してください。
Natural Security で、RPC サーバー(SRVNAME)が使用するサーバー名に RPC サーバープロファイルを定義して、IAF サポートを有効にします。 『Natural Security』ドキュメントの「Natural RPC サーバーおよびサービスの保護」にある、Natural RPC サーバー用の Security プロファイルに関する説明を参照してください。
Natural RPC サーバーが使用する Natural プロファイルパラメータで、ACIVERS=9 以上に設定します。
環境変数を修正します。
| UNIX: | $SAG/iaf/vXX/lib/ ディレクトリを $LD_LIBRARY_PATH(HP-UX システムでは $SHLIB_PATH)環境変数に追加します。
XX は現在のバージョン番号です。 |
| Windows: | %ProgramFiles%\Software AG\EntireX\Bin ディレクトリを %PATH% 環境変数に追加します。
|
