IKE デーモンにより、ネットワーク・セキュリティー・サービス (NSS) クライアントとしてスタックを定義することができます。スタックが NSS クライアントとして定義される場合、IKE デーモンはそのスタックの代わりに、少なくとも 1 つのネットワーク・セキュリティー・サービスを使用します。ネットワーク・セキュリティー・サービスは、NSS サーバーによって提供されます。NSS サーバーは、証明書サービスとリモート管理サービスを提供します。NSS サーバーの構成について詳しくは、ネットワーク・セキュリティー・サービスを参照してください。
NSS サーバーの証明書サービスは、NSS クライアントの代わりにデジタル署名を作成し、検証するのに使用されます。NSS 証明書サービスを使用するように構成されるスタックの証明書は、NSS サーバーの鍵リングにある必要があります。NSS 証明書サービスを使用するように IKE デーモンを構成する方法について詳しくは、ステップ 6: IKE デーモンをデジタル署名認証用にセットアップ (オプション)を参照してください。
NSS サーバーのリモート管理サブシステムにより、NSS クライアントの IP フィルター規則とセキュリティー・アソシエーションを、NSS サーバーが実行しているシステムからモニターし、管理することができます。 ipsec コマンドを使用した NSS クライアントのモニターと管理について詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。IPSec NMI を使用した NSS クライアントのモニターと管理について詳しくは、「z/OS Communications Server: IP Programmer's Guide and Reference」を参照してください。
NSS サーバーは、IKE デーモンと同じシステム上に存在する必要はありません。NSS サーバーの位置は、IkeConfig ステートメントの NetworkSecurityServer パラメーター、およびオプションとして NetworkSecurityServerBackup パラメーターによって指定されます。 IkeConfig ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
IKE デーモン構成ファイル内の NssStackConfig ステートメントは、スタックを NSS クライアントとして定義するのに使用されます。 NssStackConfig ステートメントの ServiceType パラメーターは、スタックが使用するネットワーク・セキュリティー・サービスを指定します。 ServiceType 値 Cert が指定される場合、NSS 証明書サービスが使用されます。ServiceType 値 RemoteMgmt が指定される場合、NSS リモート管理サービスが使用されます。ServiceType パラメーターは複数回指定できます。 NssStackConfig ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
NSS リモート管理サービスを使用するようにスタックが構成される場合、NSS サーバーは、デフォルト IP フィルター・ポリシーと IP セキュリティー・フィルター・ポリシーを切り替える要求を IKE デーモンに送信することができます。フィルター・セットを変更するために、IKE デーモンは、スタックがアクセスする特定のマーカー・ファイルを作成または削除します。 このマーカー・ファイルは、ipsec -f reload または ipsec -f default IP フィルター・オプションが -z オプションなしにローカル側で指定されるときに ipsec コマンドによって作成または削除されるのと同じマーカー・ファイルです。 マーカー・ファイルについて詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。
NssStackConfig ステートメントの ClientName パラメーターは、NSS クライアント名をスタックに関連付けます。これは、NSS サーバーがスタックを認識するのに使用する名前です。NssStackConfig ステートメントの UserId パラメーターは、NSS クライアント名を、NSS サーバーのシステムで定義されるユーザー ID に関連付けます。SERVAUTH プロファイルを検査して、NSS クライアントが特定アクションを要求する権限があることを確認する場合、NSS サーバーはクライアント名とユーザー ID の両方を使用します。NSS サーバーによって検査される SERVAUTH プロファイルについて詳しくは、ネットワーク・セキュリティー・サービスを参照してください。
NssStackConfig ステートメントの AuthBy パラメーターは、NSS クライアントの役目をするスタックに関連付けられているユーザー ID の認証方法を定義します。 このユーザー ID は、パスワードまたはパスチケットを使用して認証できます。パスチケットを使用する場合、アプリケーション・キーは、ローカル外部セキュリティー・マネージャー・データベースに保管されます。
アプリケーション・キーをローカル外部セキュリティー・マネージャー・データベースに保管するには、セキュア・サインオン機能が使用可能であり、PTKTDATA プロファイルが作成されなければなりません。 このキーは、NSSD のアプリケーション ID に関連付けられる必要があります。セキュア・サインオン機能の使用可能化、およびシングル・サインオン機能で使用されるプロファイルの定義について詳しくは、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
次のコマンドは、NSS サーバーと NSS クライアント用のアプリケーション・キーを保管するために発行可能な RACF® コマンドの例です。
RDEFINE PTKTDATA NSSD SSIGNON(KEYMASKED(E001193519561977)) UACC(NONE)図 1 は、システム SYSTEMA 上の IKE デーモンの部分構成を示しています。IkeConfig ステートメントの NetworkSecurityServer パラメーターは、IP アドレス 9.1.1.1 を listen する NSS サーバーからのネットワーク・セキュリティー・サービスを使用するように IKE デーモンが構成されることを指定します。1 つの NssStackConfig ステートメントが表示されています。 ClientName パラメーターはスタック STACK1 を、NSS クライアント名 SYSTEMA_STACK1 に関連付けます。これは、NSS サーバーがこのスタックを認識するのに使用する名前です。UserId パラメーターは、クライアント名をユーザー ID A1S1 に関連付けます。A1S1 ユーザー ID は、NSS サーバーのシステムで定義されなければなりません。 NSS クライアントの許可を検証する場合、クライアント名とユーザー ID の両方が NSS サーバーで使用されます。複数の ServiceType パラメーターは、IKE デーモンが NSS 証明書サービスと NSS リモート管理サービスの両方を使用することを示します。
IKE デーモンは、NSS サーバーとの通信が AT-TLS を使用して保護されることを要求します。AT-TLS ハンドシェーク時に、NSS サーバーは、その ID の認証に使用できる証明書を提供します。IKE デーモンはこの証明書を調べ、証明書内の ID が、IkeConfig ステートメントの NetworkSecurityServer パラメーターで指定された ID と一致することを確認します。
NSS サーバーからの IPSec モニター要求または IPSec 管理要求を処理する場合、IKE デーモンは SERVAUTH 検査を実行しません。 NSS サーバーが SERVAUTH 検査を実行して、IPSec モニターまたは管理要求の要求側が許可されていることを確認します。NSS サーバーによって課される SERVAUTH 要件について詳しくは、「z/OS Communications Server: IP Programmer's Guide and Reference」を参照してください。
IKE デーモンは、NSS クライアントの現在の状態に関する情報を表示するためにローカル NMI 要求を処理するときに、EZB.NETMGMT.sysname.sysname.IKED.DISPLAY プロファイルに対する SERVAUTH 検査を実行します。追加の詳細については、「z/OS Communications Server: IP Programmer's Guide and Reference」を参照してください。