入り口ポートは、FTP サーバーの作業の起点です。
FTP サーバーにログインするユーザーごとに入り口ポートを確立する必要があります。
始める前に
次の情報について把握しておく必要があります。
- FTP サーバーにログインするクライアントの IP アドレス
- 接続パートナーがネットワーク・アクセス・セキュリティー・ゾーン内にいるかどうか
- RACF® SETROPTS オプションが TERMINAL(READ) か TERMINAL(NONE) か
IPv4 接続パートナーには、端末アクセスまたは SERVAUTH アクセスのいずれかを確立することができます。IPv6 接続パートナーは、SERVAUTH アクセスを使用する必要があります。これは自動的に確立されます。
以下の手順では、セキュリティー製品として RACF の使用が想定されています。ただし、どの SAF 準拠のセキュリティー製品も使用することができます。
手順
FTP サーバーの IPv4 および IPv6 ユーザー用の入り口ポートをセットアップするには、以下のステップを実行します。
- IPv4 接続パートナー用の端末アクセスを確立するには、次のいずれかのアクションを実行します。
- RACF SETROPTS オプションが TERMINAL(NONE) の場合:
- TERMINAL クラス内に、システムに許可したい IP アドレスのプロファイルを定義します。
FTP サーバーに接続するすべてのクライアントの IP アドレスを、IPv4 アドレスを含む 8 バイトの 16 進文字のストリングに変換します。そのストリングを TERMINAL クラスに追加します。
例えば、IP アドレス 163.97.227.17 は A361E311 に変換されます。163.97.227.17 サブネット内のすべてのアドレスを許可するには、次のステートメントにコーディングします。
RDEFINE TERMINAL A361E3* UACC(READ)
- ログイン・ユーザー ID が、クライアント・システムの IP アドレスを含む TERMINAL プロファイルへの READ アクセスをもっていることを確認します。
- RACF SETROPTS オプションが TERMINAL(READ) の場合、すべての端末はユーザーのシステムにアクセスを許可されるため、RACF データベースに余分のリソース定義を追加する必要はありません。
- IPv4 接続パートナーに対して、端末アクセスではなく、SERVAUTH アクセスを確立するには、FTP.DATA ファイルに PORTOFENTRY4 SERVAUTH を指定します。FTP サーバーは UNIX システム・サービスの _poe() サービスを使用して、制御ソケットを入り口ポートとして識別します。
- IPv6 接続パートナーに対する SERVAUTH アクセスを確立するには、何も必要ありません。IPv6 接続パートナーは自動的に SERVAUTH アクセスを確立します。IPv6 接続パートナーがネットワーク・アクセス・セキュリティー・ゾーンに入っていない場合、_poe() サービスは入り口ポートのリソース名を渡さず、入り口ポートは検査されません。ネットワーク・アクセス・セキュリティー・ゾーンについては、ネットワーク・アクセス制御を参照してください。 端末アクセスまたは SERVAUTH アクセス権のいずれかをもっている IPv4 および IPv6 ユーザーの場合、WHEN(TERMINAL=...) または WHEN(SERVAUTH=...) 条件を RACF 内の DATASET リソース・プロファイルに追加することにより、ログイン・セッション中、オプションで DATASET リソースへのアクセスを制限することができます。
タスクの結果
終了すると、クライアントの入り口ポートに基づいて FTP サーバーへのアクセスが制御されます。