接続するクライアントのポート、およびクライアントに使用する構成ファイルを選択するポリシー・クライアント一致ステートメントを定義します。 クライアントのユーザー ID と一致するユーザー ID をサーバー上で作成し、セキュリティーをセットアップします。
ポリシー・サーバーとしてポリシー・エージェントを使用したい場合は、以下のステップを実行します。
DynamicConfigPolicyLoad ステートメントでポリシー・クライアント名に正規表現を使用すると、そのステートメントを複数のポリシー・クライアントと一致させることができます。 DynamicConfigPolicyLoad ステートメントでサポートされている正規表現の説明については、「z/OS Communications Server: IP 構成解説書」を参照してください。
例えば、式 (.+)_(.+) は、1 つ以上の文字と、その後に続く下線、さらにその後に続く 1 つ以上の文字で構成される任意のクライアント名と一致します。ポリシー・クライアントの PolicyServer ステートメントで構成されるデフォルト・クライアント名が、この式と一致します。
次の 2 通りの方式を使用すると、イメージ固有ファイル名の部分内にあるクライアント名の全部または一部を置き換えることができます。
使用される一致階層は次のとおりです。
次の例は、単純ワイルドカードをシミュレートするために正規表現を使用する DynamicConfigPolicyLoad ステートメントの一致、および使用される結果の構成ファイルを、IPSec ポリシーを使用して示しています。
DynamicConfigPolicyLoad Rem.*
{
PolicyType IPSec
{
CommonPolicyLoad //'ETC.COMMON.IPSEC'
PolicyLoad //'ETC.IPSEC(*)'
}
}
DynamicConfigPolicyLoad Remote.*
{
PolicyType IPSec
{
PolicyLoad /etc/*.ipsec
}
}
DynamicConfigPolicyLoad Remote5
{
PolicyType IPSec
{
CommonPolicyLoad /user10/common_remote.ipsec
PolicyLoad /user10/pagent_remote5.ipsec
}
}
さまざまなポリシー・クライアントに使用される結果の構成ファイルが表 1 に表示されています。
ポリシー・クライアント名 | 一致ステートメント | 共通 IPSec 構成ファイル | イメージ IPSec 構成ファイル |
---|---|---|---|
Remote1 | Remote.* | なし | /etc/Remote1.ipsec |
Remote5 | Remote5 | /user10/common_remote.ipsec | /user10/pagent_remote5.ipsec |
Rem42 | Rem.* | //'ETC.COMMON.IPSEC' | //'ETC.IPSEC(REM42)' |
remote5 | 該当なし | なし | /etc/pagent_remote.ipsec |
次の例は、もっと複雑な正規表現を使用する DynamicConfigPolicyLoad ステートメントの一致、および使用される結果の構成ファイルを、IDS ポリシーを使用して示しています。正規表現は、下線文字で区切られる 2 つのストリングと一致します。 各ストリングの先頭は英大文字、末尾は数字でなければなりません。
DynamicConfigPolicyLoad ^([A-Z].+[0-9]+)_([A-Z].+[0-9]+)$
{
PolicyType IDS
{
CommonPolicyLoad //'ETC.COMMON.IDS'
PolicyLoad //'ETC.$1($2)'
}
}
さまざまなポリシー・クライアントに使用される結果の構成ファイルが表 2 に表示されています。
ポリシー・クライアント名 | 一致ステートメント | 共通 IDS 構成ファイル | イメージ IDS 構成ファイル |
---|---|---|---|
SYS42_TCPIP2 | ^([A-Z].+[0-9]+)_([A-Z].+[0-9]+)$ | //'ETC.COMMON.IDS' | //'ETC.SYS42(TCPIP2)' |
Remote1_Image5 | ^([A-Z].+[0-9]+)_([A-Z].+[0-9]+)$ | //'ETC.COMMON.IDS' | //'ETC.REMOTE1(IMAGE5)' |
SYS123_TCPIP | 該当なし | なし | /etc/pagent_remote.ids |
ポリシー・クライアントを表す SAF ユーザー ID が、セキュリティー製品に対して定義されなければなりません。 ユーザー ID は、OMVS セグメントを使用して使用して定義されている必要があります。 セキュリティー製品として RACF® が使用される場合は、次のコマンドを使用して SAF ユーザー ID を定義してください。
ADDUSER client PASSWORD(password) DFLTGRP(OMVSGRP) OMVS(UID(x) HOME('/home/client'))
各ポリシー・クライアントは、固有のユーザー ID を使用する必要はありません (ただし、構成オプションです)。 ポリシー・サーバーでは、ユーザー ID は次の 2 つの目的に使用されます。
PERMIT BPX.DAEMON CLASS(FACILITY) ID(userid) ACCESS(READ)
RDEFINE PTKTDATA profile SSIGNON(KEYMASKED(key)) UACC(UPDATE)
ポリシー・エージェントによって使用されるアプリケーション名は PAGENT であるので、この名前でプロファイルを定義する必要があります。 プロファイルで定義されるアプリケーション・キーは、ポリシー・クライアントとポリシー・サーバーで同一でなければなりません。
ポリシー・サーバーに AT-TLS を使用可能にするのに使用される AT-TLS ポリシー・ステートメントの例は次のとおりです。
TTLSRule PolicyServerRule
{
LocalPortRange 16310
JobName PAGENT
Direction Inbound
TTLSGroupActionRef PolicyServerGroup
TTLSEnvironmentActionRef PolicyServerConn
}
TTLSGroupAction PolicyServerGroup
{
TTLSEnabled On
}
TTLSEnvironmentAction PolicyServerConn
{
TTLSKeyRingParms
{
Keyring PAGENT/keyring
}
TTLSCipherParmsRef RequireEncryption
HandshakeRole SERVER
}
TTLSCipherParms RequireEncryption
{
V3CipherSuites TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DH_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DH_DSS_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DH_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DH_DSS_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DHE_RSA_WITH_DES_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_DES_CBC_SHA
V3CipherSuites TLS_DH_RSA_WITH_DES_CBC_SHA
V3CipherSuites TLS_DH_DSS_WITH_DES_CBC_SHA
V3CipherSuites TLS_RSA_WITH_DES_CBC_SHA
V3CipherSuites TLS_RSA_WITH_RC4_128_SHA
V3CipherSuites TLS_RSA_WITH_RC4_128_MD5
V3CipherSuites TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
V3CipherSuites TLS_RSA_EXPORT_WITH_RC4_40_MD5
}
PERMIT EZB.INITSTACK.sysname.tcpname CLASS(SERVAUTH) ID(userid) ACCESS(READ)