セキュリティ・サービス
本章では、セキュリティ・サービスに関連するTACFとプログラミング・サービスについて説明します。
1. 概要
OSCアプリケーション・サーバーに多数のユーザーがアクセスした場合、以下のようなセキュリティ脅威が発生することがあります。
-
権限のないアクセス
-
公開を望まない情報の開示
-
許容されてはならないデータの修正
-
データの削除および破壊
こうした問題が発生しないようにするため、管理者はリソースへのアクセスを保護し、権限のないユーザーからのアクセスを遮断するように設定することができます。
OSCシステムは、OpenFrame TACF (Tmax Access Control Facility)(以下、TACF)製品をベースに、セキュリティ脅威から安全にシステムを運用できるように、トランザクションや個別リソースに対するセキュリティ機能を提供し、以下のようなプログラミング・サービスを提供します。
2. TACF
OSCアプリケーション・サーバーのセキュリティ機能はTACFの機能をベースにします。TACFは、OpenFrameシステムにアクセスしようとするユーザーに対する認証プロセスにより、許可されていないユーザーからシステムを保護し、権限のないユーザーからシステム上のリソースに対する不適切なアクセスを遮断する機能を提供します。TACFはIBM RACF (Resource Access Control Facility)に対応するOpenFrame製品であり、TACFが基本的にアクセス制御および権限認証機能を提供し、OSCアプリケーション・サーバーのTACFリソース・モジュールがセキュリティ規則を適用させます。
OSCアプリケーション・サーバーごとにセキュリティ・チェック機能を別々に設定できます。これは、OpenFrame環境設定のosc.{servername}サブジェクト、SAFセクションで設定できます。
|
3. ユーザー認証処理
OSCシステムは、TACFのセキュリティ・レベルを設定してユーザーのリソース・アクセスを管理できます。したがって、現在どのユーザーがリソースを要求しているかをシステムに知らせる必要があります。これはユーザーのサインオンによって行われますが、端末を利用する場合、CESNトランザクションを要求し、希望するユーザーでサインオンすることができます。その他の場合は、ユーザー、アプリケーションから直接SIGNONコマンドを呼び出して、特定ユーザーでサインオンすることができます。
サインオンに対応するサインオフは、そのユーザーがシステムをそれ以上使用しないことを通知することであり、CESFトランザクションまたはアプリケーション・プログラムのSIGNOFFコマンドによって実行されます。
|
CESN/CESFトランザクションについては、OpenFrame OSC『管理者ガイド』を参照してください。 |
ユーザー認証処理コマンド
以下は、ユーザー認証処理に関連するコマンドの一覧です。各コマンドの詳細については該当する節を参照してください。
| コマンド | 説明 |
|---|---|
特定ユーザーIDの認証を解除します。 |
|
特定ユーザーIDを認証します。 |
3.1. SIGNOFF
特定ユーザーIDの認証を解除します。サインオフすると、OSCシステムは、OpenFrame環境設定のosc.{servername}サブジェクト、SAFセクションのDFLTUSERキー値に設定されたデフォルト・ユーザーIDでセキュリティ・サービスを行います。コマンド・オプションはありません。
-
構文
EXEC CICS SIGNOFF END-EXEC.
|
osc.{servername}サブジェクトの詳細については、『OpenFrame 環境設定ガイド』を参照してください。 |
3.2. SIGNON
特定ユーザーIDを認証します。
-
構文
EXEC CICS SIGNON [option …] END-EXEC.
-
オプション
オプション 説明 GROUPID
ユーザーをどのTACFグループにサインオンするかを指定します。
NEWPASSWORD
新しいパスワードを指定します。
PASSWORD
現在のパスワードを指定します。
USERID
サインオンするユーザー識別子を指定します。
|
4. ユーザー・パスワード処理
ユーザー認証とは別途で特定ユーザーのパスワードを変更および確認する機能を提供します。
ユーザー・パスワード処理コマンド
以下は、ユーザー・パスワード処理に関連するコマンドの一覧です。各コマンドの詳細については該当する節を参照してください。
| コマンド | 説明 |
|---|---|
特定ユーザーのパスワードを変更します。 |
|
指定したパスワードがユーザーのパスワードと一致するかを確認します。 |
4.1. CHANGE PASSWORD
特定ユーザーのパスワードを変更します。システムに既に設定されているパスワードが存在する必要があります。CHANGE PASSWORDコマンドを使用した後、パスワードが漏洩しないようにPASSWORDおよびNEWPASSWORDオプションの値を消去します。
-
構文
EXEC CICS CHANGE PASSWORD [option …] END-EXEC.
-
オプション
オプション 説明 NEWPASSWORD
変更する新しいパスワードを指定します。
PASSWORD
現在のパスワードを指定します。
USERID
パスワードを変更するユーザー識別子を指定します。
ESMREASON、ESMRESPオプションは構文解析のみサポートしています。
4.2. VERIFY PASSWORD
指定したパスワードがユーザーのパスワードと一致するかを確認するコマンドです。一致する場合、ユーザーに関する詳しいセキュリティ関連情報を取得できます。VERIFY PASSWORDコマンドを使用した後、PASSWORDオプションの値を消去し、不要に露出しないように注意してください。
-
構文
EXEC CICS VERIFY PASSWORD [option …] END-EXEC.
-
オプション
オプション 説明 CHANGETIME
最後にパスワードが変更された時間をABSTIMEで返します。
DAYSLEFT
パスワードが満期になるまでに残った日付を返します。
EXPIRYTIME
パスワードの満期時間をABSTIMEで返します。
INVALIDCOUNT
有効でないパスワードが入力された回数を返します。
LASTUSETIME
指定したユーザーで最後にアクセスされた時間をABSTIMEで返します。
PASSWORD
チェックするパスワードを指定します。
USERID
チェックするユーザー識別子を指定します。
ESMREASON、ESMRESPオプションは構文解析のみサポートしています。
5. ユーザー・セキュリティ権限の確認
TACFに登録されているリソース・セキュリティ権限を確認する機能を提供します。
ユーザー・セキュリティ権限の確認コマンド
以下は、ユーザーの認証処理に関連するコマンドの一覧です。各コマンドの詳細については該当する節を参照してください。
| コマンド | 説明 |
|---|---|
サインオンしているユーザーの特定リソースに対するアクセス権限を確認します。 |
5.1. QUERY SECURITY
現在サインオンしているユーザーの特定リソースに対するアクセス権限を確認するコマンドです。QUERY SECURITYコマンドで確認できるリソースは、TACFが提供するデフォルトのリソース・クラスとユーザー定義クラスです。
-
構文
EXEC CICS QUERY SECURITY [option …] END-EXEC.
-
オプション
オプション 説明 RESTYPE
確認するリソース・タイプを指定します。TRANSATTACHのみサポートします。
このオプションを使用する場合、OpenFrame環境設定のosc.{servername}サブジェクト、SAFセクションのSECキー値を「YES」に指定します。
RESCLASS
確認するリソース・クラスを指定します。
RESIDLENGTH
確認するリソースの名前の長さを指定します(RESCLASSオプションを指定した場合)。
RESID
確認するリソースの名前を指定します。
READ
リソースに対するREAD権限がある場合はCVDA値で返します。
UPDATE
リソースに対するUPDATE権限がある場合はCVDA値で返します。
CONTROL
リソースに対するCONTROL権限がある場合はCVDA値で返します。
ALTER
リソースに対するALTER権限がある場合はCVDA値で返します。
LOGMESSAGE
セキュリティ違反メッセージを送信するかどうかを設定します。CVDA値でLOGまたはNOLOGを指定できます。(デフォルト値: LOG)
NOLOG
セキュリティ違反メッセージをユーザーに送信しません。LOGMESSAGE(NOLOG)オプションと同様です。
LOG
セキュリティ違反メッセージをユーザーに送信します。LOGMESSAGE(LOG)オプションと同様です。
|
osc.{servername}サブジェクトの設定方法については、OpenFrame OSC『環境設定ガイド』を参照してください。 |