コネクティビティー 補足

アプリケーション・リクエスターのセットアップ

DB2 (MVS/ESA 版) では、 DB2 (MVS/ESA 版) 分散データ機能 (DDF) の重要な部分として DRDA アプリケーション・リクエスターを実装しています。 DDF は、ローカルな DB2 (MVS/ESA 版) データベース管理機能とは別個に停止させることができますが、ローカルな DB2 (MVS/ESA 版) データベース管理サポートなしに実行させることはできません。

アプリケーション・リクエスターとして動作している場合、 DB2 (MVS/ESA 版) はシステム上で実行されているアプリケーションを、 DRDA アプリケーション・サーバー機能が実装されているリモート DB2 ユニバーサル・データベース、 DB2 (MVS/ESA 版)、DB2 ユニバーサル・データベース (OS/390 版)、DB2 ユニバーサル・データベース (AS/400 版)、および DB2 (VSE および VM 版) の各データベース・サーバーに接続できます。

DB2 (MVS/ESA 版) アプリケーション・リクエスターを使用して分散データベースにアクセスするには、以下のようにしてください。

ネットワーク情報の提供

分散データベース環境の処理の大部分では、ネットワーク内の他の場所との間でメッセージを交換することが必要です。このプロセスが正しく実行されるようにするには、以下のことを実行しなければなりません。

  1. ローカル・システムの定義
  2. リモート・システムの定義
  3. 通信の定義
  4. RU サイズおよび歩調合わせの設定

ローカル・システムの定義

ネットワーク内の各プログラムには NETID および LU 名が割り当てられているため、 DB2 (MVS/ESA 版) アプリケーション・リクエスターがネットワークに接続するときには NETID.LUNAME 値が必要です。 DB2 (MVS/ESA 版) アプリケーション・リクエスターはローカルの DB2 (MVS/ESA 版) データベース管理システムに統合されるため、アプリケーション・リクエスターには RDB_NAME も必要です。 DB2 (MVS/ESA 版) のマニュアルでは、 DB2 (MVS/ESA 版) は RDB_NAME をロケーション 名と呼んでいます。

DB2 (MVS/ESA 版) アプリケーション・リクエスターを SNA ネットワークに定義するには、次のようにします。

  1. DB2 (MVS/ESA 版) システムの LU 名を選択する。 DDF が始動すると、DB2 (MVS/ESA 版) システムの NETID が VTAM から自動的に取得されます。
  2. DB2 (MVS/ESA 版) のブートストラップ・データ・セット (BSDS) に LU 名とロケーション名を定義する (DB2 (MVS/ESA 版) ではロケーション名は 16 文字までに制限されています)。
  3. 選択した LU 名を VTAM に登録するため、VTAM APPL 定義を作成する。

DDF BSDS の構成

DB2 (MVS/ESA 版) は始動処理中に BSDS を読み取って、システム・インストール・パラメーターを取得します。 BSDS に保管されるレコードの 1 つは DDF レコード と呼ばれるものです。そのように呼ばれるのは、VTAM に接続するとき、その中に収められている情報を DDF が使用するからです。この情報は次のものから構成されます。

以下の 2 つの方法で、DDF BSDS 情報を DB2 (MVS/ESA 版) に指定できます。

DDF が (DB2 (MVS/ESA 版) の始動に伴って自動的に、あるいは DB2 (MVS/ESA 版) の START DDF コマンドによって) 始動すると、 DDF は VTAM に接続し、LU 名とパスワードを VTAM に渡します。 VTAM は、 LU 名とパスワード (VTAM パスワードが必要な場合) を DB2 (MVS/ESA 版) システムの VTAM APPL ステートメントで定義された値と照合することによって、 DB2 (MVS/ESA 版) システムを認識します。 VTAM パスワードは、指定された LU 名を DB2 (MVS/ESA 版) が VTAM 上で使用する許可を得ているかどうかを検査するために使用されます。 VTAM パスワードはネットワークの中を伝送されることはありませんし、ネットワーク内の他のシステムを DB2 (MVS/ESA 版) に接続するために使用されることもありません。

VTAM がパスワードを必要としない場合は、ログ目録変更ユーティリティーで PASSWORD= キーワードを省略してください。このキーワードを指定しないということは、VTAM パスワードが不要であるということです。

VTAM APPL 定義の作成

VTAM LU 名とパスワードを DB2 (MVS/ESA 版) に定義したら、次にこれらの値を VTAM に登録する必要があります。 VTAM では、ローカル LU 名を定義するのに APPL ステートメントを使用します。 図 5 は、LU 名 LUDBD1 を VTAM に定義する方法を示しています。

図 5. DB2 (MVS/ESA 版) APPL 定義のサンプル

 DB2APPLS VBUILD TYPE=APPL
 *
 *--------------------------------------------------------------------*
 *                                                                    *
 *           APPL DEFINITION FOR THE SYDNEY DB2 SYSTEM                *
 *                                                                    *
 *--------------------------------------------------------------------*
 *
 LUDBD1   APPL  APPC=YES,                                               X
                AUTH=(ACQ),                                             X
                AUTOSES=1,                                              X
                DMINWNL=10,                                             X
                DMINWNR=10,                                             X
                DSESLIM=20,                                             X
                EAS=9999,                                               X
                MODETAB=RDBMODES,                                       X
                PRTCT=PSWDBD1,                                          X
                SECACPT=ALREADYV,                                       X
                SRBEXIT=YES,                                            X
                VERIFY=NONE,                                            X
                VPACING=2,                                              X
                SYNCLVL=SYNCPT,                                         X
                ATNLOSS=ALL                                             X

VTAM APPL ステートメントでは多くのキーワードを使用できます。キーワードの意味は、 DB2 管理の手引き に詳細に説明されています。ここでは本書の内容に関係のあるキーワードだけを説明します。 図 5 に関係するキーワードを以下に説明します。

LUDBD1
VTAM は、LU 名として APPL ステートメント・ラベルを使用します。この場合、LU 名は LUDBD1 です。 APPL の構文では、完全な NETID.LUNAME の値を指定することができません。 VTAM APPL ステートメントに NETID 値は指定されません。各アプリケーションには VTAM システムの NETID が自動的に割り当てられるからです。

AUTOSES=1
APPC セッション数変更 (CNOS) が発行されるときに自動的に開始する SNA 回線争奪勝者セッションの数。 VTAM CNOS 処理が失敗した場合に DB2 (MVS/ESA 版) に通知するため、 AUTOSES には非ゼロ値を指定する必要があります。

任意の 2 つの分散データベース・パートナー間のすべての APPC セッションを自動的に開始する必要はありません。 AUTOSES 値が回線争奪勝者の限度 (DMINWNL) より小さい場合には、分散データベース・アプリケーションが必要とするまで、 VTAM は残りの SNA セッションの開始を遅らせます。

DMINWNL=10
この DB2 (MVS/ESA 版) システムが回線争奪勝者となるセッションの数。 DMINWNL パラメーターは CNOS 処理の省略時値ですが、 DB2 (MVS/ESA 版) 通信データベースの SYSIBM.SYSLUMODES 表に行を追加することにより、任意のパートナーに合わせてオーバーライドできます。

DMINWNR=10
パートナー・システムが回線争奪勝者となるセッションの数。 DMINWNR パラメーターは CNOS 処理の省略時値ですが、 DB2 (MVS/ESA 版) 通信データベースの SYSIBM.SYSLUMODES 表に行を追加することにより、任意のパートナーに合わせてオーバーライドできます。

DSESLIM=20
DB2 (MVS/ESA 版) と特定のモード・グループ名の別の分散システムとの間に確立できるセッションの合計数 (勝者および敗者セッション)。 DSESLIM パラメーターは CNOS 処理の省略時値ですが、 DB2 (MVS/ESA 版) 通信データベースの SYSIBM.SYSLUMODES 表に行を追加することにより、任意のパートナーに合わせてオーバーライドできます。

パートナーが DSESLIM、DMINWNL、または DMINWNR パラメーターで要求されたセッションの数をサポートできない場合には、 CNOS 処理はパートナーが受け入れ可能なこれらのパラメーターの新しい値を折衝します。

EAS=9999
この VTAM LU で必要とされるセッションの合計数の見積もり。

MODETAB=RDBMODES
各 DB2 (MVS/ESA 版) モード名が存在する VTAM MODE 表を指定します。

PRTCT=PSWDBD1
DB2 (MVS/ESA 版) が VTAM への接続を試行するときに使用される VTAM パスワードを指定します。 PRTCT キーワードを省略する場合、パスワードは不要であり、 DB2 (MVS/ESA 版) のログ目録変更ユーティリティーから password= キーワードを省略する必要があります。

SECACPT=ALREADYV
リモート・システムから分散データベース要求を受け取ったときにこの DB2 (MVS/ESA 版) システムが受け入れる、最大の SNA 会話レベル機密保護値を指定します。 ALREADYV キーワードは、この DB2 (MVS/ESA 版) システムが、この DB2 (MVS/ESA 版) システムにデータを要求する他の DRDA システムから、以下の 3 つの SNA セッション機密保護オプションを受け入れることができることを示しています。

各 DB2 (MVS/ESA 版) パートナーの SNA 会話機密保護レベルは DB2 (MVS/ESA 版) 通信データベース (SYSIBM.SYSLUNAMES 表の USERSECURITY 列) から取られるため、常に SECACPT=ALREADYV と指定するのが最良です。 SECACPT=ALREADYV を指定すると、USERSECURITY の値を柔軟に選択できるようになります。

VERIFY=NONE
この DB2 (MVS/ESA 版) システムで必要な SNA セッション機密保護の (パートナー LU 検査) レベルを識別します。 NONE 値は、パートナー LU 検査が必要ではないことを示しています。

DB2 (MVS/ESA 版) では、VERIFY キーワードの選択に制限はありません。信頼性の低いネットワークの場合は VERIFY=REQUIRED をお勧めします。 VERIFY=REQUIRED を指定すると、パートナー LU 検査を実行できないパートナーを VTAM が拒否することになります。 VERIFY=OPTIONAL を選択すると、 VTAM はサポートを提供するパートナーにのみパートナー LU 検査を実行します。

VPACING=2
VTAM の歩調合わせカウントを 2 に設定します。

SYNCLVL=SYNCPT
DB2 (MVS/ESA 版) が 2 フェーズ・コミットをサポートできるということを示します。 VTAM は、この情報を使用して、パートナーに 2 フェーズ・コミットが使用可能であることを通知します。このキーワードを指定すると、パートナーが 2 フェーズ・コミットをサポートできる場合に、 DB2 (MVS/ESA 版) は自動的に 2 フェーズ・コミットを使用します。

ATNLOSS=ALL
VTAM セッションが終了するたびに DB2 (MVS/ESA 版) が通知を受ける必要があることを示します。これにより、DB2 (MVS/ESA 版) は必要なときに SNA 再同期を実行することになります。

DSESLIM、DMINWNL、および DMINWNR により、すべてのパートナーに当てはまる、省略時の VTAM セッション限度を確立できます。特殊なセッション限度要件があるパートナーの場合は、 SYSIBM.SYSLUMODES 表を使って省略時のセッション限度をオーバーライドできます。たとえば、OS/2 システムに適した VTAM 省略時セッション限度を指定する場合、他のパートナーに適したセッション限度を定義する行を SYSIBM.SYSLUMODES 表に作成できます。次のサンプル値を考慮してください。

DSESLIM=4,DMINWNL=0,DMINWNR=4

これらのパラメーターにより、各パートナーは、自分が回線争奪勝者であるセッションを最大 4 つまで DB2 (MVS/ESA 版) との間で作成できるようになります。 OS/2 は DB2 (MVS/ESA 版) と LU 6.2 会話を作成するので、 OS/2 を回線争奪勝者としても大幅なパフォーマンスの向上は望めません。 OS/2 は、使用可能な回線争奪勝者セッションを持っている場合、新しい LU 6.2 会話を開始する許可を求める必要はありません。

リモート・システムの定義

DB2 (MVS/ESA 版) アプリケーションがリモート・システムからデータを要求するとき、 DB2 (MVS/ESA 版) は通信データベース表を検索して、リモート・システムに関する情報を探します。次の情報が含まれます。

通信データベースは、DB2 (MVS/ESA 版) システム管理者が管理する、SQL 表のグループです。 DB2 (MVS/ESA 版) システム管理者は、使用される可能性のある各 DRDA パートナーを記述する行を通信データベースに挿入するのに、 SQL を使用する必要があります。 通信データベースは以下の 5 つの表から構成されています。

  1. SYSIBM.SYSLOCATIONS

    DB2 (MVS/ESA 版) は、この表を使って、 DB2 (MVS/ESA 版) アプリケーションが選択した各 RDB_NAME の LU 名と TPN 値を判別します。列は次のとおりです。

    LOCATION
    リモート・システムの RDB_NAME。 DB2 (MVS/ESA 版) では RDB_NAME 値が 16 バイトまでに制限されていて、 DRDA で定義されている 18 バイトという制限より 2 バイト短くなっています。

    LOCTYPE
    現在使用されていません。ブランクにする必要があります。

    LINKNAME
    リモート・システムの LU 名。

    LINKATTR
    リモート・システムの TPN。リモート・システムが DB2 (MVS/ESA 版) システムである場合、またはリモート・システムが省略時の DRDA TPN 値 (X'07F6C4C2' 1 ) を使用する場合、TPN に空ストリングを指定できます。 DB2 (MVS/ESA 版) が自動的に正しい値を選択するためです。

    リモート・システムが省略時値以外の TPN 値を必要とする場合、ここでその値を指定してください。

  2. SYSIBM.SYSLUNAMES

    この表は、リモート・システムのネットワーク属性を定義します。列は次のとおりです。

    LUNAME
    リモート・システムの LU 名。

    SYSMODENAME
    DB2 (MVS/ESA 版) 2 次サーバー・サポート (システム主導アクセス) 用の、 DB2 (MVS/ESA 版) 同士のシステム間 会話を確立するのに使用される、 VTAM ログオン・モード名。この列をブランク値にすると、DB2 (MVS/ESA 版) システム会話に IBMDB2LM が使用されることになります。

    USERSECURITY
    この DB2 (MVS/ESA 版) システムがリモート・システムのサーバーとして機能する場合の、リモート・システムのネットワーク機密保護受け入れに関する必須オプション (インバウンド機密保護 要件)。

    ENCRYPTPSWDS
    このパートナーとのパスワード交換を暗号化するかどうか。暗号化パスワードは、DB2 (MVS/ESA 版) リクエスターおよびサーバーでのみサポートされます。

    MODESELECT
    SYSIBM.SYSMODESELECT 表を使用し、要求を出したエンド・ユーザーとアプリケーションに基づいて VTAM ログオン・モード項目 (モード名) を選択するかどうかを決定します。この列に 'Y' が入っている場合、 SYSIBM.SYSMODESELECT 表を使用して、各アウトバウンド分散データベース要求のモード名を取得します。

    MODESELECT に 'Y' 以外の値が入っている場合、システム主導アクセス要求にモード名 IBMDB2LM が使用され、 DRDA 要求にモード名 IBMRDB が使用されます。

    モード名に関連した VTAM サービス・クラス (COS) を指定することにより、 MODESELECT 列を使って分散データベース要求を優先順位付けすることが可能になります。

    USERNAMES
    必要な come-from 検査とユーザー ID 変換のレベル。この列は、リモート・パートナーからデータを要求するときにこの DB2 (MVS/ESA 版) サブシステムが使用する機密保護パラメーターも指定します (アウトバウンド機密保護 要件)。 usernames の値は I、 O、または B のいずれかとすることができます。
  3. SYSIBM.SYSLUMODES

    この表は、パートナー・システムごとに LU 6.2 セッション限度 (CNOS 限度) を定義するために使用されます。列は次のとおりです。

    LUNAME
    リモート・システムの LU 名。

    MODENAME
    制限を指定する対象となる VTAM ログオン・モードの名前。 MODENAME 列にブランク値を指定すると、IBMDB2LM に省略時解釈されます。

    CONVLIMIT
    このログオン・モードの場合の、ローカルな DB2 (MVS/ESA 版) とリモート・システム間のアクティブな会話の最大数。この値は、このログオン・モードのための VTAM APPL 定義ステートメントの DSESLIM パラメーター (DB2 (MVS/ESA 版) の省略時の VTAM セッション限度を指定する) をオーバーライドするために使用されます。

    CONVLIMIT に指定された値は、 CNOS 中に DMINWNR および DMINWNL 値を CONVLIMIT/2 に設定するために使用されます。

    AUTO
    DDF の始動時に CNOS 処理とセッションの事前割り振りを自動的に開始させるか、このログオン・モードを介して LU 名への最初の参照が行われるまで据え置くかを指定します。
  4. SYSIBM.SYSMODESELECT

    この表により、エンド・ユーザーおよび DB2 (MVS/ESA 版) アプリケーションごとに異なるモード名を指定できるようになります。各 VTAM モード名にはサービス・クラス (COS) を関連付けることができるので、この表を使って、AUTHID、PLANNAME、および LUNAME の組み合わせに基づいて、分散データベース・アプリケーションにネットワーク伝送優先順位を割り当てることができます。列は次のとおりです。

    AUTHID
    DB2 (MVS/ESA 版) ユーザーの許可 ID (ユーザー ID)。省略時値はブランクです。これは、指定されたログオン・モード名をすべての許可 ID に当てはめることを意味します。

    PLANNAME
    リモート・データベース・システムへのアクセスを要求しているアプリケーションに関連したプラン名。省略時値はブランクです。これは、指定されたログオン・モード名をすべてのプラン名に当てはめることを意味します。 BIND PACKAGE コマンドで使用されるプラン名は DSNBIND です。

    LUNAME
    リモート・データベース・システムと関連した LU 名。

    MODENAME
    分散データベース要求を指定のリモート・システムに経路指定するときに使用される VTAM ログオン・モードの名前。省略時値はブランクです。これは、システム主導アクセス会話には IBMDB2LM を使用し、 DRDA 会話には IBMRDB を使用することを意味します。
  5. SYSIBM.SYSUSERNAMES

    この表は、パスワード、名前変換、および come-from 検査を指定することによって、エンド・ユーザー名を管理するために使用します。 DB2 (MVS/ESA 版) はエンド・ユーザー名を許可 ID として参照します。他の製品の大部分は、この名前をユーザー ID として参照します。

    この表を使用すると、SNA ユーザー ID および DB2 (MVS/ESA 版) 許可 ID に別の名前を使用するよう、名前変換を行うことができます。名前変換処理は、リモート・システムへの要求 (アウトバウンド 要求) のため、およびリモート・システムから送られてくる要求 (インバウンド 要求) のために、行うことができます。パスワードが暗号化されていない場合、ユーザー ID とパスワードの両方をリモート・サイトに送るときに、この表はエンド・ユーザーのパスワードの情報源となります。列は次のとおりです。

    TYPE
    行の使用法の説明 (アウトバウンドまたはインバウンド用の名前変換を記述した行か、それとも come-from 検査要求を記述した行か)。

    AUTHID
    アウトバウンド名前変換の場合、これは変換対象の DB2 (MVS/ESA 版) 許可 ID。インバウンド名前変換の場合、これは変換対象の SNA ユーザー ID。どちらの場合でも、ブランクの AUTHID 値はすべての許可 ID またはユーザー ID にあてはまります。

    LUNAME
    この行があてはまるリモート・システムの LU 名。ブランクの場合、NEWAUTHID 値はすべてのシステムにあてはまります。

    NEWAUTHID
    新しいエンド・ユーザー名 (SNA ユーザー ID または DB2 (MVS/ESA 版) 許可 ID)。ブランクを指定すると、ID の変換が不要であることを示すものとなります。

    PASSWORD
    パスワードが暗号化されない場合 (SYSIBM.SYSLUNAMES で ENCRYPTPSWDS = 'N' の場合)、割り当て会話で使用されるパスワード。パスワードが暗号化される場合、この列は無視されます。

通信の定義

VTAM は MVS システム用のコミュニケーション・マネージャーです。 VTAM は DB2 (MVS/ESA 版) から LU 6.2 verb を受け入れ、これらの verb を LU 6.2 データ・ストリームに変換して、ネットワーク経由で送信できるようにします。 VTAM が DB2 (MVS/ESA 版) 通信データベースで定義されているパートナー・アプリケーションと通信するためには、 VTAM に以下の情報を提供しなければなりません。

RU サイズおよび歩調合わせの設定

定義する VTAM モード表によって、RU サイズと歩調合わせカウントが指定されます。これらの値を正しく定義できていないと、すべての VTAM アプリケーションに悪影響を与える可能性があります。

RU サイズ、セッション限度、および歩調合わせカウントを選択した後、これらの値が既存の VTAM ネットワークに与える影響を考慮することは非常に重要です。新しい分散データベース・システムをインストールするときには、以下の項目を復習してください。

機密保護の提供

リモート・システムが SQL アプリケーションに代わって分散データベース処理を実行する場合には、アプリケーション・リクエスター、アプリケーション・サーバー、およびそれらに接続しているネットワークの機密保護要件を満たさなければなりません。これらの要件は、以下のカテゴリーのいくつかに分けられます。

エンド・ユーザー名の選択

MVS システムでは、エンド・ユーザーに 1〜8 文字のユーザー ID が割り当てられます。このユーザー ID 値は、特定の MVS システムで固有でなければなりませんが、 SNA ネットワーク全体で固有でなくてもかまいません。たとえば、NEWYORK システムで JONES というユーザーがいて、 DALLAS システムでまた JONES というユーザーがいてもかまいません。この 2 人のユーザーが同一の人であれば、対立は起きません。しかし、DALLAS の JONES が NEWYORK の JONES とは別人の場合、 SNA ネットワーク (およびそのネットワークの分散データベース・システム) は、 NEWYORK の JONES と DALLAS の JONES とを区別できません。この状況を訂正しない場合には、 DALLAS の JONES は NEWYORK システムの JONES に与えられた特権を使用できます。

名前の対立を解消するため、DB2 (MVS/ESA 版) はエンド・ユーザー名前変換のサポートを提供します。 DB2 (MVS/ESA 版) アプリケーション・リクエスターでアプリケーションが分散データベース要求を行うとき、通信データベースでアウトバウンド名前変換が必要であると指定されていれば、 DB2 (MVS/ESA 版) は名前変換を実行します。アウトバウンド名前変換が選択されていると、 DB2 (MVS/ESA 版) は必ず各アウトバウンド分散データベース要求と一緒にパスワードを強制的に送信します。

DB2 (MVS/ESA 版) のアウトバウンド名前変換は、 SYSIBM.SYSLUNAMES 表の USERNAMES 列を 'O' または 'B' に設定すると活動化されます。 USERNAMES を 'O' に設定すると、アウトバウンド要求でエンド・ユーザー名前変換が実行されます。 USERNAMES を 'B' に設定すると、インバウンド要求とアウトバウンド要求の両方でエンド・ユーザー名前変換が実行されます。

DB2 (MVS/ESA 版) の許可は、エンド・ユーザーのユーザー ID および DB2 (MVS/ESA 版) プランまたはパッケージ所有者のユーザー ID に依存しているため、エンド・ユーザー名前変換処理は、エンド・ユーザーのユーザー ID、プラン所有者のユーザー ID、およびパッケージ所有者のユーザー ID に対して実行されます。 2 名前変換処理に際しては、SYSIBM.SYSUSERNAMES 表の中で、次のパターン (TYPE.AUTHID.LUNAME) に一致する行が、次の順番で探索されます。

  1. O.AUTHID.LUNAME − 特定のエンド・ユーザーから特定のパートナー・システムへの変換規則。
  2. O.AUTHID.blank − 特定のエンド・ユーザーから任意のパートナー・システムへの変換規則。
  3. O.blank.LUNAME − 任意のユーザーから特定のパートナー・システムへの変換規則。

一致する行が見つからないと、DB2 (MVS/ESA 版) は分散データベース要求を拒否します。行が見つかると、NEWAUTHID 列の値が許可 ID として使用されます (ブランクの NEWAUTHID 値は、元の名前を変換しないで使用することを意味します)。

前述の例を考慮してみましょう。 NEWYORK の JONES が DALLAS に分散データベース要求を出す場合、この JONES に別の名前 (NYJONES) を与えたいものとします。この例において、 JONES が使用するアプリケーションは DSNPLAN (DB2 (MVS/ESA 版) プラン所有者) の所有で、 DALLAS に送信を行うときにこのユーザー ID の変換は不要であるものとします。名前変換規則を通信データベースに指定するのに必要な SQL ステートメントを図 6 に示します。

図 6. アウトバウンド名前変換用 SQL

INSERT INTO SYSIBM.SYSLUNAMES
     (LUNAME, SYSMODENAME, USERSECURITY, ENCRYPTPSWDS, MODESELECT, USERNAMES)
  VALUES ('LUDALLAS', ' ', 'A', 'N', 'N', 'O');
INSERT INTO SYSIBM.SYSLOCATIONS
     (LOCATION, LOCTYPE, LINKNAME, LINKATTR)
  VALUES ('DALLAS', ' ', 'LUDALLAS', '');
INSERT INTO SYSIBM.SYSUSERNAMES
     (TYPE, AUTHID, LUNAME, NEWAUTHID, PASSWORD)
  VALUES ('O', 'JONES', 'LUDALLAS', 'NYJONES', 'JONESPWD');
INSERT INTO SYSIBM.SYSUSERNAMES
     (TYPE, AUTHID, LUNAME, NEWAUTHID, PASSWORD)
  VALUES ('O', 'DSNPLAN', 'LUDALLAS', ' ', 'PLANPWD');

結果として通信データベースの表がどのようになるかを図 7 に示します。

図 7. アウトバウンド名前変換


REQTEXT

ネットワーク機密保護

アプリケーション・リクエスターがリモート・アプリケーションを示すエンド・ユーザー名を選択した後は、そのアプリケーション・リクエスターは必要なネットワーク機密保護情報を提供しなければなりません。 LU 6.2 は、主に 3 つのネットワーク機密保護機能を提供します。

アプリケーション・サーバーの責任でデータベース資源を管理するため、アプリケーション・サーバーは、どのネットワーク機密保護にアプリケーション・リクエスターが必要かを指示します。各アプリケーション・サーバーの会話レベル機密保護要件を SYSIBM.SYSLUNAMES 表に記録する必要があります。そのためには SYSIBM.SYSLUNAMES 表の USERNAMES を、アプリケーション・サーバーの要件を反映するように設定します。

SNA 会話機密保護オプションは以下のとおりです。

SECURITY=SAME
これは検査済みの機密保護とも言います。それは、エンド・ユーザーのユーザー ID だけがリモート・システムに送信されるためです (パスワードは送信されません)。このレベルの会話機密保護は、 SYSIBM.SYSLUNAMES の USERNAMES 列に 'O' または 'B' が入っていない場合に使用してください。

DB2 (MVS/ESA 版) ではエンド・ユーザー名前変換がアウトバウンド会話機密保護に関連付けられているので、アウトバウンド・エンド・ユーザー名変換が活動化されている場合に SECURITY=SAME を使用することはできません。

SECURITY=PGM
このオプションを使用すると、エンド・ユーザー ID とパスワードが妥当性検査のためにリモート・システムに送信されます。この機密保護オプションは、 SYSIBM.SYSLUNAMES 表の USERNAMES 列に 'O' か 'B' のいずれかが入っている場合に使用してください。

SYSIBM.SYSLUNAMES 表に指定されているオプションに応じて、 DB2 (MVS/ESA 版) は 2 つの異なる情報源からユーザーのパスワードを取得します。

SECURITY=NONE
DRDA はこのオプションをサポートしていないため、 DB2 (MVS/ESA 版) ではこの機密保護オプションを使用できません。

データベース・マネージャー機密保護

アプリケーション・リクエスターが分散データベースの機密保護に貢献できる 1 つの方法は、前にエンド・ユーザー名の選択で説明されたように、アウトバウンド・ユーザー名前変換です。アウトバウンド・ユーザー名前変換を使用すると、要求を出しているユーザーおよびアプリケーションの ID に従って、各アプリケーション・サーバーへのアクセスを制御できます。その他に、DB2 (MVS/ESA 版) アプリケーション・リクエスターが分散システムの機密保護に貢献できる方法には以下のものがあります。

リモート・アプリケーションのバインド
エンド・ユーザーはアプリケーション・サーバーのリモート・アプリケーションを、 DB2 (MVS/ESA 版) BIND PACKAGE コマンドを使ってバインドします。 DB2 (MVS/ESA 版) は、リクエスターでの BIND PACKAGE コマンドの使用を制限しません。ただし、エンド・ユーザーは、リモート・パッケージが DB2 (MVS/ESA 版) プランに組み込まれるまで、このパッケージを使用できません。 DB2 (MVS/ESA 版) は、BIND PLAN コマンドの使用を制限します。エンド・ユーザーは、 DB2 (MVS/ESA 版) GRANT ステートメントで BIND または BINDADD 特権を与えられないかぎり、リモート・パッケージをプランに追加することができません。

パッケージをバインドするときは、 ENABLE/DISABLE オプションを使用して、パッケージを TSO、CICS/ESA、IMS/ESA、またはリモート DB2 (MVS/ESA 版) サブシステムから使用できるかどうかを指定してください。

リモート・アプリケーションの実行
DB2 (MVS/ESA 版) エンド・ユーザーがリモート・アプリケーションを実行するには、そのアプリケーションに関連した DB2 (MVS/ESA 版) プランを実行する権限がエンド・ユーザーになければなりません。 DB2 (MVS/ESA 版) プランの所有者には、自動的にそのプランの実行権限が与えられます。他のエンド・ユーザーは、DB2 (MVS/ESA 版) GRANT EXECUTE ステートメントで、プランの実行権限を与えてもらうことができます。このようにして、分散データベース・アプリケーションの所有者は個々のユーザー・ベースでアプリケーションの使用を制御できます。

機密保護サブシステム

MVS システムの外部機密保護サブシステムは RACF、および RACF と互換性のあるインターフェースを備えた同等の製品により提供されます。 DB2 (MVS/ESA 版) アプリケーション・リクエスターには、外部の機密保護サブシステムを直接呼び出すことはありません。ただし、ネットワーク機密保護で説明された暗号化パスワード・サポートは例外です。しかし、以下の状況ではアプリケーション・リクエスターで外部機密保護サブシステムが間接的に使用されます。

データの表示

DB2 (MVS/ESA 版) は、省略時のインストール・システム・コード化文字セット ID (CCSID) が 500 の状態で出荷されています。この省略時値はおそらく、ご使用のインストール・システムでは正しくない でしょう。

DB2 (MVS/ESA 版) をインストールするときには、インストール・システムの CCSID を、ご使用のサイトの入力装置が生成して DB2 (MVS/ESA 版) に送る文字の CCSID に設定する必要があります。通常、この CCSID はご使用になる言語によって決定されます。インストール・システムの CCSID が間違っていると、文字変換の結果が誤ったものになります。国別または言語別のサポートされる CCSID のリストについては、 DB2 コネクト 使用者の手引き を参照してください。

ご使用の DB2 (MVS/ESA 版) サブシステムが、各アプリケーション・サーバーの CCSID を DB2 (MVS/ESA 版) サブシステムのインストール・システムの CCSID に変換できるかどうか確認する必要があります。変換元 CCSID と変換先の CCSID の一般的な組み合わせについては、 DB2 (MVS/ESA 版) に変換テーブルが用意されていますが、可能なすべての組み合わせに対応しているわけではありません。必要であれば、使用可能な変換テーブルと変換ルーチンのセットを追加できます。 DB2 (MVS/ESA 版) 文字変換の詳細については、 DB2 管理の手引き を参照してください。


脚注:

1
この TPN 値は現時点で DB2 (VM 版) に適用されます。

2
要求が DB2 (MVS/ESA 版) サーバーに送信される場合は、名前変換がパッケージ所有者とプラン所有者に対しても実行されます。パッケージ所有者とプラン所有者の名前がパスワードに関連付けられることはありません。


[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]