TCP/IP スタックが初期化を行ってから、ポリシー・エージェントが構成済みポリシーをスタックにインストールします。したがって、本来なら AT-TLS がカバーするはずの接続が平文接続になってしまう時間枠があります。SERVAUTH クラスの RACF® リソース EZB.INITSTACK.sysname.tcpname を使用して、このリソースへのアクセスが許可されたユーザー ID 以外は、スタック・アクセスがブロックされます。この初期化時間中に無許可のアプリケーションからのソケット要求が出されると、スタックの起動前に受信されるものと同じエラー番号 (JrTcpNotActive での EAGAIN) を受信します。
検査が行われるのは、TCP/IP プロファイルが AT-TLS を活動化する場合のみです。 SERVAUTH クラス内にこのリソース名をカバーするプロファイルがない場合は、ポリシー・エージェントからソケット要求も含め、すべてのソケット要求が失敗します。検査が停止されるのは、ポリシー・エージェントが AT-TLS ポリシーの完了を初めて指示した時点、または TCP/IP プロファイル変更により AT-TLS が非活動化された時点です。
制限アクセスを行う時間枠が始まると、スクロール不能メッセージ EZZ4248E が、システム・コンソールに書き込まれます。このメッセージには、ポリシー・エージェントが AT-TLS ポリシーをインストールするのを TCP/IP が待っている旨の表示があります。 この制限状態が終了すると、このメッセージは解放されます。プロシージャーの AUTOLOG 項目に、オプションの DELAYSTART パラメーターを TTLS サブパラメーターとともに指定することにより、この時間枠の間、AUTOLOG プロシージャーの開始を遅らせることができます。これが指定されていると、プロシージャーは、EZZ4248E メッセージが削除されて、AT-TLS サービスが利用可能であることを示すメッセージ EZZ4250I が発行された後で開始されます。
スタックの完全な初期化を保証するためには、限定された管理アプリケーションのセットのみをプロファイルに対して許可する必要があります。 お客様の環境でポリシー・エージェントが他アプリケーションに依存している場合は、それらのアプリケーションも許可する必要があります。 AT-TLS を必要とせず、一般のアプリケーションよりも先に開始させたい他アプリケーションに、許可を与えることができます。最小限、以下のアプリケーションをプロファイルに対して許可する必要があります。
このリソース・プロファイル名を作成し、ユーザーにそのリソースへのアクセス権を付与するために必要なセキュリティー製品コマンドの例については、サンプル・データ・セット SEZAINST のメンバー EZARACF を参照してください。