DB2 (VSE 版) のアプリケーション・サポートによって、 DB2 (VSE 版) は DRDA アプリケーション・リクエスターのサーバーとして機能することができます。 DB2 (VSE 版) アプリケーション・サーバーに接続できるアプリケーション・リクエスターは以下のいずれかです。
ネットワーク接続を VSE アプリケーション・サーバーに接続するには、以下のステップが必要です。
DB2 (VSE 版) アプリケーション・サーバーは、 CICS LU 6.2 リンクを介してアプリケーション・リクエスターと通信します。この目的で使用される CICS 区画には、アプリケーション・リクエスターのあるリモート・システムへの LU 6.2 リンクがなければなりません。 CICS/VSE 相互通信の手引き には、リモート・システムとの CICS LU 6.2 リンクを定義および確立することについての詳細が説明されています。
SIT または初期化一時変更を使用して、以下のモジュールをご使用のシステムに組み込まなければなりません。
CICS Restart Resynchronization Support が使用できない場合、 CICS システム がインストールされているときは、以下の CICS 表を更新して、 CICS Restart Resynchronization 機能を使用可能にしてください。
DFHJCT Journal Control Table A journal used for the CICS system log must be defined in the DFHJCT specifying JFILEID=SYSTEM in a DFHJCT TYPE=ENTRY macro. DFHPCT Program Control Table To generate the DFHPCT entry to use the CICS Restart Resynchronization capability, enter: DFHPCT TYPE=GROUP,FN=RMI DFHPPT Processing Program Table To generate the DFHPPT entry to use the CICS Restart Resynchronization capability, enter: DFHPPT TYPE=GROUP,FN=RMI DFHSIT System Initialization Table. The DFHSIT macro must include the JCT parameter. Specify JCT=YES or JCT=(jj<,....>) where jj is the SUFFIX parameter value specified in th DFHJCT TYPE=INITIAL macro defining the CICS system log journal data set.
LU 6.2 接続をサポートする場合、 CICS を VTAM アプリケーション大ノードとして VTAM (VSE 版) に定義しなければなりません。 VTAM APPL ステートメントにコード化されるアプリケーション大ノードは、 APPLID パラメーターにより SIT に指定された CICS 区画の APPLID です。これは、 CICS システムを識別するために VTAM で使用される (そして CICS の通信相手により使用される) LU 名です。
図 36 を参照してください。
VBUILD TYPE=APPL ************************************************************************ * * * LU Definition for Toronto VSE SQL/DS System * * * ************************************************************************ VSEGATE APPL ACBNAME=VSEGATE, AUTH=(ACQ,SPO,VPACE), APPC=NO, SONSCIP=YES, ESA=30 MODTAB=RDBMODES, PARSESS=YES, VPACING=0 |
SPO は、CICS が MODIFY vtamname USERVAR コマンドを出すことを許可します。
VPACE は、システム間フローの歩調合わせを許可します。
注: | APPC=NO が指定されているため、SYNCLVL=SYNCPT は必要ありません。 CICS は分散作業単位に関するすべての SYNCPT 同期点レベルの活動を管理します。 |
オンライン資源定義 (RDO) において CEDA DEFINE CONNECTION コマンドを使用してすべてのリモート LU を定義します。
会話およびセッション・レベル機密保護に関する詳細は、 機密保護の提供を参照してください。
上記の定義済みの各接続ごとに、CEDA DEFINE SESSIONS コマンドを使用して、 LU へのリンクごとのパラレル・セッションのグループを定義します。
DRDA アプリケーション・リクエスターの通信ソフトウェア (たとえば、 IBM Communications Server for OS/2) が使用する値を指定する。
より大きな数で SENDSize および RECEIVESize を定義すると、データ伝送率は上がりますが、ネットワーク上でより多くの仮想記憶域が必要になります。 SNA ネットワークのすべての層がサポートしているサイズは、4 K バイトです。そのため、DRDA サーバーが設定された時に、送信および受信バッファーのサイズを 4 K バイトに設定してください。接続がリモート・ユーザーから正常に行われた場合、これらのパラメーターを調整して、最適値に決定してください。
CICS サインオン・テーブル (DFHSNT) にすべてのユーザーを定義します。 CICS ターミナルで CESN ログオンを実行することにより、ユーザー ID の妥当性を検査することができます。ローカル・サインオンは成功しなければなりません。
サンプル定義については、 分散関係データベース体系 接続の手引き を参照してください。
CEDA DEFINE TRANSACTION コマンドを使用して、これまでに定義された各トランザクションの項目を DBNAME ディレクトリーに追加します。 LU 6.2 セッションが確立されると、リモート・アプリケーション・リクエスターは DB2 (VSE 版) アプリケーション・サーバーとの会話を開始できます。これは、TPN (トランザクション・プログラム名) を指定して、アプリケーション・サーバーとの LU 6.2 会話を割り当てることにより行います。この TPN は、 DB2 (VSE 版) サーバーへのまたはこのサーバーからの要求を経路指定する AXE トランザクションの CICS トランザクション ID でなければなりません。 TPN がアプリケーション・リクエスターからアクセスされるためには、TPN は、 DB2 (VSE 版) サーバーにマップされる DB2 (VSE 版) DBNAME ディレクトリーになければなりません。 DB2 (VSE 版) データベース管理者の責任で、DBNAME ディレクトリーを更新したり、リモート・ユーザーに TPN からサーバーへのマッピングを通知します。
TPN とそれに対応するサーバー名 (DBNAME ディレクトリーで定義されているデータベース名) の両方が、アプリケーション・リクエスターで識別されていなければなりません。
詳細については、 DB2 システム管理 (VSE 版) を参照してください。
問題判別: |
|
DB2 (VSE 版) アプリケーション・サーバーは、システム間通信の機密保護の点で CICS に依存しています。 CICS はいくつかのレベルの機密保護を提供します。
SNA LU 6.2 セッション・レベル LU 間妥当性検査を CICS で実現したものです。バインド実行時機密保護の実施は、LU 6.2 体系では任意選択です。アプリケーション・サーバーの側では、アプリケーション・リクエスターへの接続を定義するときに CEDA DEFINE CONNECTION コマンドで BINDPASSWORD を指定することにより、この機能を使用可能にすることができます。アプリケーション・リクエスター上で、アプリケーション・リクエスターにサービスを提供するパートナー LU はバインド実行時の機密保護もサポートして、パートナー LU 検査のために同じパスワードを使用しなければなりません。
権限のないリモート・システムが CICS を使用してセッションを確立 (バインド) するのを阻止するために、バインド実行時機密保護を使用できます。
リンク機密保護を使用して、リモート・システム (およびそれに常駐する DRDA アプリケーション・リクエスター) が特定のセットの AXE トランザクションだけに接続するように制限できます。
たとえば、2 つの AXE トランザクションを定義できるとします。 AXE2 は機密保護キー 2 で、AXE3 は機密保護キー 3 で定義します。リモート・システムからのアプリケーション・リクエスターは、操作員機密保護 3 と割り当てることができ (たとえば、 CEDA DEFINE SESSION コマンドで OPERSECURITY パラメーターを使用)、これで AXE3 だけに接続を許可できます。 AXE2 が優先アクセスを有している間は、 AXE3 はサーバーへの優先アクセスを持つことはできません。リモート・アプリケーション・リクエスターによるアプリケーション・サーバーへの特権アクセスについての詳細は、 DB2 システム管理 (VSE 版) を参照してください。
リンク機密保護を使用可能にする方法については、 CICS/VSE 相互通信の手引き を参照してください。
エンド・ユーザーに妥当性検査を提供する SNA LU 6.2 会話レベル機密保護を CICS で実現したものです。
ユーザー機密保護は、会話を開始する要求を受け入れる前に、 CICS サインオン・テーブル (DFHSNT) でユーザー ID の妥当性検査をします。たとえば、CICS サインオン・テーブルに定義されていない DRDA アプリケーション・リクエスターは、 AXE トランザクションに接続して DB2 (VSE 版) サーバーとの会話を開始するように許可されていません。リモート・システムのユーザー機密保護レベルは、 ATTACHSEC パラメーターを使用して CEDA DEFINE CONNECTION コマンドで選択できます。接続機密保護の 3 つのレベルは以下のとおりです。
アプリケーション・サーバーの責任でデータベース資源を管理するので、アプリケーション・リクエスターがどのネットワーク機密保護メカニズムを提供しなければならないかを、アプリケーション・サーバーが指示します。たとえば、DB2 (VM 版) アプリケーション・リクエスターでは、 図 37 に示されているとおり、適切な値を :security タグに設定して、アプリケーション・サーバーの会話レベル機密保護要求をアプリケーション・リクエスターの通信ディレクトリーに記録しなければなりません。
ユーザー ID 変換は、VSE アプリケーション・サーバーでサポートされていません。 CICS は、リクエスターから直接伝送されたユーザー ID を使用します。
アプリケーション・リクエスターにより開始された後、 AXE トランザクションは CICS からユーザー ID を抽出し、これを DB2 (VSE 版) サーバーに渡します。データベース資源で必要なレベルのユーザー権限を設定するには、ユーザー ID を DB2 (VSE 版) カタログ SYSTEM.SYSUSERAUTH に更新しなければなりません。
DB2 (VSE 版) アプリケーション・サーバーは CICS により指定されたユーザー ID にデータベースへアクセスするための CONNECT 権限があるかどうかを検査し、権限がない場合には接続を拒否します。
データベース資源の所有者として、DB2 (VSE 版) アプリケーション・サーバーは、そこにある SQL オブジェクトに対してデータベース機密保護機能を制御します。 DB2 (VSE 版) により制御されるオブジェクトへのアクセスは特権のセットを使用して制御されます。この特権は、DB2 (VSE 版) システム管理者または特定のオブジェクトの所有者により認可されます。 DB2 (VSE 版) アプリケーション・サーバーは、2 つのクラスのオブジェクトを制御します。
アプリケーションが DB2 (VSE 版) でプリプロセスされるとき、パッケージにはアプリケーション・プログラムにある SQL ステートメントが含まれています。これらの SQL ステートメントは以下のように分けられます。
エンド・ユーザーがパッケージを実行する特権を与えられるとき、そのユーザーはパッケージに含まれる各静的 SQL ステートメントを実行する権限を自動的に持ちます。それで、パッケージに静的 SQL ステートメントしか含まれていない場合には、エンド・ユーザーは DB2 (VSE 版) 表特権の必要はありません。
データの表示を参照してください。
以下のチェックリストは DRDA アプリケーション・サーバーを使用可能にするためのステップを要約したものですが、初めに次のような前提事項があります。まず、 VSE システムがテレプロセシング・アクセス方式として ACF/VTAM を使用してインストールされていること、そして、リモート・システムとの通信に必要な VTAM 定義 (NCP 定義など) がすでに完了していることです。
これらのステートメントには、1 つのグループ (たとえば、 IBMG) のもとにすべての定義がなければなりません。 CEDA INSTALL GROUP(IBMG) でグループをインストールします。