Distributed Relational Database Architecture (DRDA) を使用する場合、DRDA 環境の各システムのデータ・
リソースを保護する必要があります。
DRDA 環境の各システムのデータ・リソースを保護するために、以下のパラメーターで制御される、3 つ のグループのセキュリティー要素を使用できます。
v システム関連のセキュリティーまたはセッションの場合、クライアント・システムとサーバー・システ ムの間で拡張プログラム間通信 (APPC) セッションが最初に確立される場合には、それらのシステム間 で交換されるシステム検証パスワードを示すために、各システムで LOCPWD パラメーターが使用され ます。どちらのシステムも、セッションを開始する前に同じパスワードを交換する必要があります。 (シ ステム/36 では、このパスワードのことをロケーション・パスワードといいます。) APPC ネットワーク では、装置記述の作成 (APPC) (CRTDEVAPPC) コマンドの LOCPWD パラメーターは、このパスワー ドを指定します。装置は APPN を使用して自動的に作成され、リモート・ロケーション・リストのロケ ーション・パスワードは、身元を検査するために 2 つのロケーションで使用するパスワードを指定しま す。構成リスト作成 (CRTCFGL) コマンドを使用して、リモート・ロケーション・リストのタイプ (*APPNRMT) を作成します。
v ユーザー関連またはロケーション・セキュリティーの場合、すでにクライアント・システムによってセ キュリティーが確認された着信アクセス要求を (サーバー・システムとして) 受け入れるかどうか、ある いはユーザー ID と暗号化されたパスワードが必要かどうかを示すため、各システムで SECURELOC パ ラメーターが使用されます。APPC ネットワークでは、装置記述の作成 (APPC) (CRTDEVAPPC) コマン
ドの SECURELOC パラメーターによって、ローカル・システムがリモート・システムによるセキュリテ
ィーの検査を許可するかどうかを指定します。装置は APPN を使用して自動的に作成され、APPN リモ ート構成リストのロケーション保護を使用して、ローカル・システムがリモート・システムによるユー ザー・セキュリティー情報の検査を許可するかどうかが決定されます。SECURELOC 値は、リモート・
ロケーションごとに、個別に指定できます。
SECURELOC パラメーターは、以下のセキュリティー要素と共に使用されます。
– クライアント・システムによって送信されたユーザー ID (このパラメーターで許可されている場 合)。
– ユーザー ID と暗号化されたパスワード (このパラメーターで許可されている場合)。
– デフォルトユーザー・プロファイルを含む、サーバー・システムのユーザー・プロファイル。
詳細は、『APPC ネットワークでの DRDA サーバーのセキュリティー』のトピックを参照してくださ い。
v オブジェクト関連のセキュリティーの場合、他のシステムによって IBM i オペレーティング・システム のファイルに完全にアクセスできるかどうか、そしてアクセスできる場合には、どのレベルのセキュリ ティーで着信要求を検査するかを示すため、ネットワーク属性変更 (CHGNETA) コマンドで DDMACC パラメーターが使用されます。
– DDMACC パラメーター上で *REJECT が指定されている場合、サーバー・システムで受信される DRDA 要求はすべて拒否されます。
– DDMACC パラメーターに *OBJAUT が指定されている場合には、通常のオブジェクト・レベルのセ キュリティーがサーバー・システム上で使用されます。
– DDMACC パラメーターで出口プログラム (またはアクセス制御プログラム) の名前が指定されると、
追加のセキュリティーのレベルが使用されます。特定クライアント・システムの指定ユーザーが、サ ーバー・システムの特定のファイルを (規則的に) アクセスするのに特定のコマンドを使用できるかど うかを制御するために、ユーザー出口プログラムを使用することができます。(詳細は、『追加機密保 護のための DDM サーバー・アクセス制御出口プログラム』を参照してください。)
– DRDA を使用してサーバー・システム上でファイルを作成する場合、指定されるライブラリー名には
そのファイルが含まれます。DRDA 要求でライブラリー名が指定されない場合、現行ライブラリー
(*CURLIB) が使用されます。デフォルトのファイル権限を使用すると、ファイルを作成したユーザー
かサーバー・システムのセキュリティーの責任担当者だけがファイルにアクセスできます。
リモート・ファイル・アクセスを制限するためのほとんどのセキュリティー管理は、サーバー・システムに よって扱われます。クライアント・システムによって指定されるユーザー ID を除き、これらのすべての 要素がサーバー・システム上で指定されて使用されます。しかし、クライアント・システムでは、クライア ント・システム上の DRDA ファイルへのアクセスを制御し、必要な場合にユーザー ID をサーバー・シス テムに送信することにより、サーバー・システム・ファイルへのアクセスも制限します。
関連概念:
91ページの『APPC ネットワークでの DRDA サーバーのセキュリティー』
サーバー・システムが IBM i オペレーティング・システムの場合、複数の要素を同時に使用して、リモー ト・ファイルへアクセスする要求が許可されているか判別します。
関連資料:
ネットワーク属性変更 (CHGNETA) コマンド 構成リスト作成 (CRTCFGL) コマンド
装置記述作成 (APPC) (CRTDEVAPPC) コマンド APPN 構成リスト:
APPC ネットワークでは、2 つのロケーションが相互間で終端間 (エンドツーエンド) セッションを持つ場 合、ロケーション・パスワードが指定されます。
中間ノードであるロケーションでは、ロケーション・パスワードを指定する必要はありません。
リモート・ロケーション・リストは構成リスト作成 (CRTCFGL) コマンドで作成され、これには、すべての リモート・ロケーション、それぞれのロケーション・パスワード、およびリモート・ロケーションが保護さ れているかどうかを示すリストが含まれています。IBM i オペレーティング・システムには、システム全 体のリモート・ロケーション構成リストが 1 つ存在します。中央側のシステムは、制御言語 (CL) プログ ラムを送ることによって、リモート・システムのロケーション・リストを作成できます。
構成リスト変更 (CHGCFGL) コマンドを使用して、リモート構成リストに変更を加えることができますが、
変更が有効になるのは、そのロケーションのすべての装置がいずれもオフに構成変更された状態になってか らです。
構成リスト表示 (DSPCFGL) コマンドが使用されたとき、パスワードの存在を示す表示はありません。パス ワードが入力された場合には、 構成リスト変更 (CHGCFGL) コマンドは *PASSWORD をフィールドに入れ ることによってパスワードの存在を示します。パスワードを表示する方法はありません。ロケーションのセ キュリティーを設定する際に問題に直面する場合には、両方のシステムにパスワードを再度入力して、パス ワードが一致することを確認する必要があります。
関連概念:
APPC、APPN、および HPR 関連資料:
構成リスト変更 (CHGCFGL) コマンド 構成リスト作成 (CRTCFGL) コマンド 構成リスト表示 (DSPCFGL) コマンド 会話レベルのセキュリティー:
システム・ネットワーク体系 (SNA) 論理装置 (LU) 6.2 の体系では、異なったシステムのネットワークで 一貫した会話セキュリティーを提供するために、 SNA ネットワークのさまざまなタイプのシステムが使用 できる 3 つの会話セキュリティーの指定方法を示しています。
SNA セキュリティーのレベルには、以下のものがあります。
SECURITY(NONE)
通信を確立するのに、ユーザー ID もパスワードも送信されない。
SECURITY(SAME)
ローカル・サーバーと同じユーザー ID でユーザーをリモート・サーバーに署名させる。
SECURITY(PGM)
通信のために、ユーザー ID とパスワードの両方が送信される。
SECURITY(PROGRAM_STRONG)
パスワードが暗号化されずに送信されない場合のみ、通信のためにユーザー ID とパスワードの両 方が送信され、そうでない場合には、エラーが報告される。これは IBM i の DRDA ではサポー トされていません。
IBM i オペレーティング・システムは、会話セキュリティーの 4 つの SNA レベルをすべてサポートしま すが、 DRDA は最初の 3 つのレベルのみを使用します。ターゲットでは、会話で使用される SNA 会話 レベルを制御します。
SECURITY(NONE) レベルでは、ターゲットはユーザー ID またはパスワードを要求しません。ターゲット 上のデフォルトのユーザー・プロファイルを使用して会話することが許可されています。会話でデフォルト のユーザー・プロファイルが使用できるかどうかは、通信項目追加 (ADDCMNE) コマンドの DFTUSR パ ラメーターまたは当該サブシステムの通信項目変更 (CHGCMNE) コマンドで指定される値に依存していま
す。 DFTUSR パラメーターの値が *NONE の場合は、サーバーでは、ターゲット上のデフォルトのユー
ザー・プロファイルを使用する会話が許可されていないことを示しています。SECURITY (NONE) は、パ スワードとユーザー ID が提供されておらず、ターゲットで SECURELOC(*NO) が指定されているときに 送信されます。
SECURITY(SAME) レベルでは、リモート・システムの SECURELOC 値によって、どんなセキュリティー 情報が送信されるかが決まります (リモート・システムが IBM i 製品であることを想定)。SECURELOC 値が *NONE である場合、あたかも SECURITY(NONE) が要求されたかのように、ユーザー ID とパスワ ードは送信されません。SECURELOC 値が *YES である場合、ユーザー・プロファイルの名前が抽出さ れ、ローカル・システムによってパスワードがすでに検査されたという旨の指示とともに送信されます。
SECURELOC 値が *VFYENCPWD である場合、ユーザー・プロファイルとそれに関連したパスワード は、パスワードが暗号化されてその値が秘密にされた後にリモート・システムに送信されます。したがっ て、DRDA を使用するには、ユーザーは両方のシステムで同一のユーザー・プロファイル名とパスワード を持つ必要があります。
注: これら 3 つのオプションの中で SECURELOC(*VFYENCPWD) は一番安全なものであると言えます。
なぜなら、SECURELOC(*VFYENCPWD) では最も多くの情報がリモート・サーバーによって検査されるか らです。しかし、このオプションでは、ユーザーが複数のサーバー上で同一のパスワードを持つ必要があり ます。この場合、ユーザーが 1 つのサーバーのパスワードを変更しても、他のサーバーのパスワードを変 更しないと問題が生じる可能性があります。
SECURITY(PGM) レベルでは、会話を行うために、ソースからのユーザー ID とパスワードの両方がター ゲットによって要求されます。パスワードは会話が確立される際に検査され、それ以降の会話では無視され ます。
関連資料:
通信項目追加 (ADDCMNE) コマンド 通信項目変更 (CHGCMNE) コマンド
APPC ネットワークでの DRDA サーバーのセキュリティー:
サーバー・システムが IBM i オペレーティング・システムの場合、複数の要素を同時に使用して、リモー ト・ファイルへアクセスする要求が許可されているか判別します。
ユーザー関連セキュリティー要素
ユーザー関連セキュリティー要素には、サーバー・システムの SECURELOC パラメーター、クライアン ト・システムによって送信されるユーザー ID (許可される場合)、クライアント・システムによって送信さ
れるユーザー ID のパスワード、およびユーザー・プロファイルかサーバー・システムでのデフォルト・
ユーザー・プロファイルがあります。
オブジェクト関連セキュリティー要素
オブジェクト関連セキュリティー要素には、DDMACC パラメーター、および任意で、通常のオブジェクト 権限制御を補足するための、ユーザー指定のユーザー出口プログラムがあります。
ユーザー関連サーバー・セキュリティーの要素
分散リレーショナル・データベースの作業を処理するには、有効なユーザー・プロファイルがサーバー上に 存在する必要があります。IBM i オペレーティング・システム上で通信ジョブを処理するサブシステム に、デフォルトのユーザー・プロファイルを指定することができます。
サーバー上で通信項目追加 (ADDCMNE) コマンドの DFTUSR パラメーターに、デフォルトのユーザー・
プロファイル名を指定できます。 ADDCMNE コマンドは、通信ジョブで使用されるサブシステム記述に 通信項目を追加します。
デフォルトのユーザー・プロファイルが通信サブシステムで指定された場合、サーバーが保護ロケーション であるかどうかによって、この要求にデフォルトのユーザー・プロファイルを使用するかどうかが決まりま す。装置記述の作成 (APPC) (CRTDEVAPPC) コマンド上の SECURELOC パラメーター、または APPN リモート・ロケーション・リスト上での保護ロケーションの指定によって、サーバーが保護ロケーションか どうかを指定します。
v SECURELOC またはサーバー上の保護ロケーションで *YES が指定されると、サーバーはクライアント が保護ロケーションであると見なします。クライアントからの要求とともにユーザー ID および検査済 み標識が要求されます。クライアントによって送信されるユーザー ID と一致するユーザー・プロファ イルがサーバー上に存在する場合、要求は許可されます。そうでない場合には、要求は拒否されます。
v サーバー上の SECURELOC パラメーターで *NO が指定されると、サーバーはクライアントを保護ロケ ーションであると見なしません。クライアントはそれでもユーザー ID を送信しますが、サーバーはそ れをこの要求で使用することはありません。その代わり、この要求ではサーバー上のデフォルトのユー ザー・プロファイルが使用されます (存在する場合)。サーバー上でデフォルトのユーザー・プロファイ ルが存在しない場合には、要求は拒否されます。
v サーバー上の SECURELOC で *VFYENCPWD が指定されると、サーバーはクライアントを保護ロケー ションであると見なしますが、現行のユーザーが正当なユーザーかどうかを検査するため、ユーザー ID とパスワードを (暗号化された形式で) 送信することが必要になります。クライアントによって送信され るユーザー ID と一致するユーザー・プロファイルがサーバー上で存在していて、そのクライアントが 両方のシステムで同一のパスワードを持っている場合、要求は許可されます。そうでない場合には、要 求は拒否されます。
次の表に、IBM i オペレーティング・システム上の SNA SECURITY(PGM) を制御する要素の可能な組み 合わせすべてが示されています。列内の Y は、その要素が存在するか条件が満たされていることを示しま す。PWD 列の M は、セキュリティー管理機能がユーザーのパスワードを検索し、パスワード保護が活動 状態ならば、保護 (暗号化された) パスワードが送信されることを示しています。保護パスワードが送信さ れない場合には、パスワードは送信されません。保護パスワード とは、会話が開始される際に APPC がユ ーザー・パスワードに置き換える文字ストリングのことです。 保護パスワードはシステムの両方のパート ナーがパスワード保護をサポートしていて、パスワードが IBM i V5R3 以降または OS/400 V2R2 以降を 実行するシステムで作成されている場合にのみ使用できます。