Host On Demand のような Telnet クライアントを使用して SNA アプリケーションにアクセスするユーザーは、通常、アクセスしたいアプリケーションのユーザー ID およびパスワードを知っている必要があります。ID とパスワードによる認証プロセスでは、いくつかの問題が発生する可能性があります。例えば、ユーザーが自分の ID およびパスワードを忘れることがあります。忘れた場合にはシステム管理者がパスワードをリセットしなければならず、それは時間のかかる作業になります。一方、ID とパスワードを書き留めておいたり、それらを複数のユーザーが共用したりすると、セキュリティー・リスクが発生します。特にパスワードは比較的長期間にわたって有効にするのが普通であるため、リスクは増大します。
このような問題に対する IBM のソリューションは高速ログオン機能 (ELF) で、Telnet クライアントと X.509 証明書を持つワークステーション上のユーザーは、ID やパスワードを入力せずに SNA アプリケーションにログオンすることができます。高速ログオン機能は、2 層および 3 層のネットワーク設計でサポートされます。2 層の設計は、z/OS® TN3270E Telnet サーバーを使用します。3 層の設計は、中層 Telnet サーバーおよびデジタル証明書アクセス・サーバー (DCAS) を使用します。
どちらのネットワーク設計でも、クライアント認証および X.509 証明書による SSL (Secure Sockets Layer) 接続をサポートする、Telnet クライアント・ワークステーションが必要になります。z/OS で RACF® サービスを使用している場合は、クライアント証明書は有効なユーザー ID と関連付けられていなければなりません。高速ログオン機能をサポートするクライアント側の製品は、IBM® WebSphere® Host On Demand V5.0 およびそれ以降のリリースのみです。
2 層の設計では、SSL を備えた z/OS TN3270E Telnet サーバーとクライアント認証が必要で、高速ログオン機能がオンになっていなければなりません。サーバーのセットアップについては、高速ログオン機能を参照してください。
- CS2 6.1
- CS/NT 6.1.1 PTF
- CS/AIX 6.0.0.1 PTF
デジタル証明書アクセス・サーバー (DCAS) はホスト上にあります。 DCAS は、RACF サービスを使用して、デジタル証明書にマップされているユーザー ID を入手します。
ホストは RACF セキュア・サインオン・サービスも提供しており、DCAS または MVS™ ホスト Telnet サーバーは、これを使用してパスチケット を生成します。パスチケットは、有効時間が 10 分のみである点を除き、パスワードに類似した RACF トークンです。
- 2 層設計では、ユーザーはレベル 2 のクライアント認証でセキュア接続を開始し、その結果、クライアント証明書が TN3270E Telnet サーバーに渡されます。TN3270E Telnet サーバーは、RACF セキュア・サインオン・サービスを使用して、ユーザー ID およびパスチケットを入手します。
- 3 層の設計では、ユーザーは中層 Telnet サーバーへの Telnet 接続を開始します。DCAS のクライアントは中層 Telnet サーバーまたは DCAR であり、ワークステーション・クライアントのために SNA アプリケーションへのログオンを試みます。DCAS は DCAR からデジタル証明書を受け取り、ユーザー ID およびパスチケットを戻します。DCAS と DCAR の間では、セキュア通信が使用されます。サーバーはクライアントが高速ログオン機能を使用したいことを認識して DCAR を呼び出し、DCAR はクライアント認証とのセキュア接続をオープンして、ワークステーションの証明書およびアプリケーション名をホスト上の DCAS に渡します。DCAS は、RACF セキュア・サインオン・サービスを使用して、 ユーザー ID およびパスチケットを入手し、それを DCAS が DCAR に戻します。 DCAR はこの情報を中層 Telnet サーバーに戻します。
どちらの場合でも、ELF 機能を備えたクライアントとサーバーは、これで TSO へのログオンを完了するだけの十分な情報を持っています。ユーザーがユーザー ID とパスワードを入力しなくても、これまでの処理が行われます。