[z/OS]

デーモン Secure Sockets Layer

管理コンソール・パネルを使用して、ポートおよび Secure Sockets Layer (SSL) ポートの設定の変更、および SSL 設定 (SSL レパートリー) の指定を行います。デフォルトのレパートリーは、サーバー用に使用されているものと 同じで、SystemSSL IIOP レパートリーです。デーモン初期化時に、セキュリティーが使用可能で、 有効なレパートリーが検出される場合、SSL 使用の初期化が試行されます。 デーモン SSL ポートをオフにするには、セル・レベルの WebSphere® 変数 (DAEMON_security_disable_daemon_ssl) を作成し、1 に設定する必要があります。この変数のデフォルトは 0 です。

以下のような場合に、SSL を使用して、ロケーション・サービス・デーモンを使用する SSL デーモンの ロケーションを保護することができます。
  • 管理セキュリティーが使用可能である場合
  • デーモンの SSL レパートリーが管理コンソールで構成される場合 (デーモンの SSL レパートリーは、デーモン・プロセスに関連付けられた MVS™ ユーザー ID によって所有される有効な RACF® 鍵リングを参照します)
  • 証明書および鍵リングが定義されている場合
管理コンソールで、「システム管理」 > 「ノード・グループ」 > 「sysplex_node_group_name」とクリックします。「追加プロパティー」の下の「z/OS® ロケーション・サービス」をクリックします。
ロケーション・サービス・デーモン

このパネルは、このセルのロケーション・サービス・デーモンの構成設定を指定します。
変更は、セル全体、およびセルの各ノード上のロケーション・サービス・デーモンのインスタンス
に対する設定に適用されます。

ジョブ名          BBODMNC                         ロケーション・サービス・デーモンの
                                                   z/OS ジョブ名を指定します。
ホスト名          BOSSXXXX.PLEX1.L2.IBM.COM       ロケーション・サービス・デーモンと連絡を取る際に
                          使用するホスト名を指定します。
ポート            5755                            ロケーション・サービス・デーモンが非暗号化された
                          通信の場合に listen するポートを指定します。
SSL ポート        5756                            ロケーション・サービス・デーモンが暗号化された
                          通信の場合に listen するポートを指定します。
SSL 設定          PLEX1Manager/DefaultIIOPSSL     接続用に選択を行う、定義済み SSL 設定のリストを
                          指定します。
                                                    これらは、「SSL レパートリー」パネルで
                          構成されます。
以下の WebSphere 変数を使用して、z/OS デーモンに SSL プロトコルおよび TLS プロトコルを設定できます。変数を 1 に設定するとプロトコルが有効になり、0 に設定すると無効になります。
DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled    //* default 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled  //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled  //* default 0
                                                             
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled    //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled    //* default 1
WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドを使用して、デーモンのユーザー ID、UID、および SSL ポートを含む、認証情報を指定できます。 RACF コマンドは、サーバーで使用する鍵リング (デフォルトは WASKeyring) を作成するために生成されます。 z/OS プロファイル管理ツールまたは zpmt コマンドは、デーモン鍵リングおよび証明書を生成します。 z/OS プロファイル管理ツールを使用して、デーモン鍵リングおよび証明書を生成するには 「セキュリティー・ドメイン」 > 「SSL カスタマイズ」 > 「ロケーション・サービス・デーモンで SSL を使用可能にする (Enable SSL on the Location Service Daemon)を選択します。このオプションの横に Y を入力すると、以下のタスクを行うための RACF コマンドが生成されます。
  • デーモン鍵リングおよび証明書を作成します。
  • 証明書と認証局 (CA) 証明書を鍵リングに接続します。
重要: このオプションは、 デーモン SSL の使用を制御しません。
これは、ユーザー ID が同じである場合に適していますが、 デーモンが別個のユーザー ID を持つ場合は、 WebSphere Application Server for z/OS が使用する鍵リングのセットアップを参照してください。 選択された値は、管理コンソールによって取得されます。

デーモン・プロセスが、 セキュアな WebSphere Application Server に割り当てられたのと同じ MVS ユーザー ID を割り当てられる場合、 WebSphere Application Server を保護するために使用する鍵リングは、 デーモン要求を保護するために使用することもできます。 デーモン・プロセスが、 セキュアな WebSphere Application Server に割り当てられたのと同じ MVS ユーザー ID を割り当てられていない場合、 WebSphere Application Server のセットアップと同様に、デーモン SSL セットアップを実行することを推奨します。 BBOCBRAK (または、WebSphere Application Server Network Deployment 上の HLQ.DATA(BBODBRAK)) で生成されたカスタマイズ・ジョブ・コマンドを変更し、 WebSphere Application Server for z/OS が使用する鍵リングのセットアップのステップを実行します。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_daemonssl
ファイル名:csec_daemonssl.html