CSFSERV リソース・クラス内でプロファイルを設定するためのステップ

ICSF 暗号サポートへのアクセスを制御するには、以下のステップを実行します。

手順

CSFSERV リソース・クラス内にプロファイルをセットアップするには、以下のステップを実行します。

  1. CSFSERV リソース・クラス内で使用する SAF プロファイルを決定します。
    1. CSFIQF プロファイルに対して IKED および NSSD を許可する必要があります。
    2. ご使用のプロセッサーで使用可能な CP Assist for Cryptographic Function (CPACF) があり、それを利用したい場合は、ICSF を開始しておく必要がありますが SAF プロファイルへの許可を付与する必要はありません。
    3. CPACF が使用可能ではなく、暗号コプロセッサーがある場合、それを利用するには以下の手順に従ってください。
      1. 変更の始まりTCP/IP を以下のプロファイルに対して許可します。変更の終わり
        • CSFCKI
        • CSFCKM (Triple DES でのみ使用)
        • CSFDEC1
        • CSFENC1
        • CSFOWH1
      2. IKED および NSSD を以下のプロファイルに対して許可します。
        • CSFDSG
        • CSFDSV
        • CSFPKI
    4. 手動または動的トンネルの TCP/IP で AES 暗号化を使用している場合、変更の始まりTCP/IP を以下のプロファイルに対して許可する必要があります。変更の終わり
      • CSFDEC1
      • CSFENC1
    5. 動的トンネルの IKED で AES 暗号化を使用している場合、IKED を以下のプロファイルに対して許可します。
      • CSFDEC
      • CSFENC
    6. TCP/IP で SHA2 または AES-XCBC 認証を使用している場合、変更の始まりTCP/IP を以下のプロファイルに対して許可する必要があります。変更の終わり
      • CSF1HMG
      • CSF1TRC
      • CSF1TRD
      • CSFMGN1
    7. SHA2 または AES-XCBC 認証を使用している場合、IKED を以下のプロファイルに対して許可する必要があります。
      • CSF1HMG
      • CSF1TRC
      • CSF1TRD
      • CSFOWH
    8. IKED で Diffie-Hellman グループ 19、20、または 21 を使用している場合、IKED を以下のプロファイルに対して許可する必要があります。
      • CSF1DVK
      • CSF1GAV
      • CSF1GKP
      • CSF1TRC
      • CSF1TRD
    9. IKED でデジタル署名認証を使用している場合、IKED を以下のプロファイルに対して許可する必要があります。
      • CSFDSG
      • CSFDSV
      • CSFPKI
    10. NSSD でデジタル署名認証を使用している場合、NSSD を以下のプロファイルに対して許可する必要があります。
      • CSF1HMG
      • CSF1TRC
      • CSF1TRD
      • CSFDSG
      • CSFDSV
      • CSFMGN
      • CSFOWH
      • CSFPKI
    11. NSSD で Elliptic Curve 署名認証を使用している場合、NSSD を以下のプロファイルに対して許可する必要があります。
      • CSF1GAV
      • CSF1PKS
      • CSF1PKV
    12. TCP/IP で FIPS 140 サポートを有効にしている場合、変更の始まりTCP/IP を以下のプロファイルに対して許可する必要があります。変更の終わり
      • CSF1HMG
      • CSF1SKD
      • CSF1SKE
      • CSF1TRC
      • CSF1TRD
      • CSFRNG
    13. TCP/IP で FIPS 140 サポートを使用可能に設定しており、手動トンネルを使用している場合、z/OS® Communications Server Policy Agent を CSF1TRC プロファイルに対して許可する必要があります。
    14. IKED で FIPS 140 サポートを使用可能に設定している場合、IKED を以下のプロファイルに対して許可する必要があります。
      • CSF1DMK
      • CSF1DVK
      • CSF1HMG
      • CSF1SKD
      • CSF1SKE
      • CSF1TRC
      • CSF1TRD
      • CSFOWH
  2. CSFSERV クラス内に適切なプロファイルを定義します。 
    RDEFINE CSFSERV profile-name UACC(NONE)
  3. TCP/IP に、該当するプロファイルへのアクセス権を与えます。 
    PERMIT profile-name CLASS(CSFSERV) ID(stackname) ACCESS(READ)
  4. 変更の始まりCSFSERV クラスにおいて、該当するリソース・プロファイルへのアクセス権を、IKED、NSSD、およびポリシー・エージェントに関連付けられているユーザー ID に与えます。変更の終わり 
    PERMIT profile-name CLASS(CSFSERV) ID (userid)
  5. CSFSERV クラスを活動化し、ストレージ内 RACF® プロファイルをリフレッシュします。 
    SETROPTS CLASSACT(CSFSERV)
	SETROPTS RACLIST(CSFSERV) REFRESH
  6. MAXLEN 変更の始まりICSF変更の終わり インストール・オプションは、最大の TCP/IP パケット・サイズであるため、65535 以上に設定します。変更の始まりICSF変更の終わり を使用してデータを暗号化および暗号化解除するために使用できる最大長は、ハードウェア暗号方式の MAXLEN インストール・オプションによって決まります。
親トピック: ステップ 5: IP セキュリティーを ICSF に対して許可 (オプション)