制限なしスタックの構成

制限なしスタックを構成するには、以下のアクションを実行します。

  1. 制限なしスタックは、SYSMULTI セキュリティー・ラベルを指定して実行する必要があります。 ユーザー ID をスタック・ジョブへ関連付け、そのユーザー ID に、SYSMULTI セキュリティー・ラベルを許可してください。 SYSMULTI セキュリティー・ラベルを、ユーザー ID プロファイル内でデフォルト・セキュリティー・ラベルにします。
  2. SYSMULTI セキュリティー・ラベルを持つ SERVAUTH クラス内で、そのスタックに STACKACCESS プロファイルを定義します。 このプロファイルは、多くの場合、UACC(READ) です。
  3. そのスタックに必要なインターフェースと VIPA アドレスを決定します。

    複数のインスタンスをさまざまなセキュリティー・ラベルの下で実行する必要があるサーバー・アプリケーションを実行する場合は、それぞれのセキュリティー・ラベルごとに 1 つ以上の VIPA が必要になります。

  4. そのスタックのセキュリティー・ゾーン名を定義します。

    そのスタック上にある一部の IP アドレスに異なる扱いを必要とする任意アクセス制御ポリシーを持っている場合は、それらを別々のセキュリティー・ゾーンに入れる必要があります。

    特定のセキュリティー・ラベルと一緒に使用するよう定義した VIPA は、別個のセキュリティー・ゾーンに入れる必要があります。

  5. SERVAUTH クラス内で、そのスタックに NETACCESS プロファイルを定義します。

    特定のセキュリティー・ラベルと一緒に使用する VIPA 用に作成されたプロファイルは、適切なセキュリティー・ラベルを使用して定義されます。 アクセス制御ポリシーが強制アクセス制御の適用のみを必要とする場合は、z/OS® システム名および TCP スタック・ジョブ名に関しては、これらのプロファイルは汎用である可能性があります。それらは、多くの場合、UACC(READ) です。

    そのスタック上にあるその他のゾーンのプロファイルは、SYSMULTI セキュリティー・ラベルを使用して定義されます。 RACF® データベースを共用する z/OS システムがあり、それらが同じシスプレックスのメンバーでないか、z/OS V1R5 以降でない場合は、すべての総称プロファイルが UACC(NONE) を持つ必要があります。完全修飾プロファイルは、多くの場合、UACC(READ) です。

  6. そのシステムの IP アドレスをセキュリティー・ゾーン名にマップする NETACCESS ステートメントを定義します。 これは、共用データ・セット内に置くことができ、ネットワーク内にあるその他の z/OS CS システムの PROFILE.TCPIP に含めることができます。
    ヒント: 複数の制限なしスタックを持ち、OMPROUTE ルーティング・デーモンを使用する場合は、ローカル・アドレス・セキュリティー・ゾーンについて詳しくは、OMPROUTEを参照してください。
  7. IPCONFIG および IPCONFIG6 ステートメント上で SOURCEVIPA を使用可能にした場合は、多くの環境で明示的なパケットのタグ付けを回避できる可能性があります。 セキュリティー・ラベルを考慮するために、ソース IP アドレス選択アルゴリズムが機能強化されました。LINK ステートメント指定で定義されている IPv4 インターフェースの場合、HOME リストの後方検索は、アプリケーションのセキュリティー・ラベルと同じセキュリティー・ラベル、またはセキュリティー・ラベル SYSMULTI のある最初の VIPA で停止します。IPv4 ソース VIPA を、それらを使用できる物理インターフェース IP アドレスより前にある HOME リストに入れます。 SYSMULTI セキュリティー・ゾーン内の VIPA は、他のゾーンにあるものより前に置く必要があります。 INTERFACE ステートメントによって定義されている IPv4 インターフェースの場合は、SOURCEVIPAINTERFACE パラメーターを使用してソース VIPA を選択します。 IPv6 アドレスの場合、アプリケーションと同じセキュリティー・ラベルまたは SYSMULTI を持つアドレスのみが考慮されます。等しいセキュリティー・ラベルを持つアドレスは、セキュリティー・ラベル SYSMULTI を持つアドレスよりも優先されます。IPv6 VIPA を VIRTUAL6 INTERFACE ステートメント上に置きます。 その他の INTERFACE ステートメント上では SOURCEVIPAINTERFACE パラメーターを使用し、使用できるソース VIPA のセットを各 IPv6 インターフェースへ関連付けます。
  8. アプリケーションの障害を回避するために、そのスタックに TCPSTACKSOURCEVIPA を定義する場合は、SYSMULTI セキュリティー・ラベルを持つセキュリティー・ゾーンにそれを入れる必要があります。
親トピック: 制限付きと制限なしのどちらのスタックを使用するかの判断