DEMANDE D'ENCRYPTAGE

Demander à RACF® de générer une version cryptée de PassTicket.

Voir aussi REQUETE DE PASSTICKET.

Syntaxe

DEMANDE D'ENCRYPTAGE

Lire le diagramme syntaxiqueSauter le diagramme syntaxique visuelREQUESTENCRYPTPTKT( ptr_ref)FLENGTH( zone de données)ENCRYPTKEY( zone de données)ESMAPPNAME( valeur de données)ESMREASON( zone de données)ESMRESP( zone de données)

Conditions : NOTAUTH, INVREQ

Cette commande est sûre pour les threads.

NOHANDLE, RESP, et RESP2 sont des options communes qui peuvent être ajoutées à toutes les commandes EXEC CICS pour traiter les conditions d'erreur. Elles ne sont pas explicitement incluses dans le diagramme syntaxique de la commande et dans les descriptions des options. Pour plus d'informations sur ces options communes et la syntaxe de la commande EXEC CICS, voir EXEC CICS Format de la commande et considérations de programmation.

Description

La commande REQUEST ENCRYPTPTKT demande à RACF de générer un PassTicket crypté. Pour plus d'informations sur les PassTickets, voir Comment ça marche : PassTickets .

ENCRYPTKEY doit contenir une valeur renvoyée par une commande précédente VERIFY TOKEN pour la même tâche CICS®.
Note: Lorsqu'une commande VERIFY TOKEN est exécutée avec l'option ENCRYPTKEY, toute valeur précédente de ENCRYPTKEY obtenue pour la même tâche n'est plus valide. Cela signifie que si plusieurs commandes VERIFY TOKEN sont exécutées, seule la valeur ENCRYPTKEY de la dernière commande est valable pour une commande REQUEST ENCRYPTPTKT.

Une valeur dans ENCRYPTKEY peut être utilisée une fois pour obtenir un PassTicket crypté avec une commande REQUEST ENCRYPTPTKT. Après avoir exécuté une commande REQUEST ENCRYPTPTKT une fois, si un autre PassTicket crypté est requis, il est nécessaire d'exécuter à nouveau une commande VERIFY TOKEN pour obtenir une nouvelle valeur avec l'option ENCRYPTKEY. Ensuite, vous pouvez exécuter une commande REQUEST ENCRYPTPTKT pour la deuxième fois.

Le PassTicket chiffré renvoyé par une commande REQUEST ENCRYPTPTKT est destiné à être déchiffré par le sous-système qui a fourni le jeton Kerberos et qui a été utilisé avec la commande VERIFY TOKEN avec l'option ENCRYPTKEY.

Le PassTicket crypté que RACF génère est destiné à l'ID utilisateur associé à la tâche qui émet la commande REQUEST ENCRYPTPTKT. Utilisez la commande EXEC CICS ASSIGN avec l'option USERID pour identifier l'identifiant de l'utilisateur associé à la tâche. Un PassTicket ne peut être obtenu pour l'ID utilisateur par défaut.

Pour plus d'informations sur les conditions préalables pour les PassTickets, voir Mise en œuvre des PassTickets pour l'authentification sécurisée.

Options

ENCRYPTPTKT (ptr-ref )
Spécifie une zone de données dans laquelle le PassTicket crypté est renvoyé.
FLENGTH(mot complet de la zone de données binaires)
Renvoie la longueur du PassTicket crypté.
ENCRYPTKEY (data-area )
Il s'agit du jeton de 4 octets obtenu à partir d'un VERIFY TOKEN précédent, représentant la clé à utiliser pour chiffrer le PassTicket.
ESMAPPNAME(valeur des données)
Spécifie le nom de profil à huit caractères par lequel le gestionnaire de sécurité externe fait référence à l'application pour laquelle le PassTicket fourni est utilisé. Par exemple, si l'application est une autre région CICS, le nom du profil peut être l'APPLID de la région CICS. Pour plus d'informations sur les noms de profil RACF et PassTickets,, voir Utilisation de PassTickets dans z/OS Security Server RACF Security Administrator's Guide.
ESMRESP (zone de données)
Renvoie le code de réponse de RACF sous la forme d'une variable binaire à mot complet. Lorsque RACF est utilisé, les valeurs possibles sont les codes de retour fournis lorsque vous utilisez le service de connexion sécurisée RACF pour générer un PassTicket, comme suit :
0
Un PassTicket a été produit.
8
Un PassTicket n'a pas été produit.
ESMREASON (data-area)
Renvoie le code de motif de RACF, sous la forme d'une variable binaire à mot complet.

Les valeurs possibles sont les RACF codes de raison fournis par le z/OS Security Server RACF Services appelables > Fonctions GSS-API (code de fonction 2) > Codes des sous-fonctions > Envelopper un message. Voir Codes de sous-fonction GSS-API dans z/OS Security Server RACF Callable Services. Pour une explication d'un code de motif, voir R_GenSec Codes de retour et codes de motif dans z/OS Security Server RACF Callable Services et Codes d'état dans z/OS Integrated Security Services Administration du service d'authentification réseau.

Conditions

16 INVREQ
RESP2 valeurs :
251
L'interface entre CICS et RACF n'est pas active.
252
La valeur renvoyée par RACF dans ESMRESP n'est pas classée par CICS. Voir la documentation ESM pour une explication des valeurs ESMRESP et ESMREASON.
254
RACF ne prend pas en charge les demandes de PassTicket.
255
Clé de chiffrement invalide.
256
Cette commande n'est pas valide lorsque vous travaillez sous l'ID utilisateur par défaut.
257
L'option ENCRYPTTOKEN a été spécifiée, mais le jeton kerberos associé provient d'un système qui ne prend pas en charge la confidentialité des messages.
70 NOTAUTH
RESP2 valeurs :
250
PassTicket pas construit avec succès. RACF n'autorise pas une demande de PassTicket pour la combinaison de l'ID utilisateur associé à la tâche qui a émis cette commande, et le nom de profil qui est spécifié dans ESMAPPNAME.
260
RACF n'autorise pas une demande de génération d'un PassTicket pour cette région.