ポリシーは、複数の異なる方法で定義できます。
表 1 は、さまざまなポリシー・タイプに対する使用可能なフォーマットを示しています。
ポリシー・タイプ | テキスト・ファイル・フォーマット ¹ | LDAP フォーマット |
---|---|---|
QoS | はい | はい ² |
IDS | はい | はい ² |
AT-TLS | はい | いいえ |
IPSec | はい | いいえ |
ポリシー・ベース・ルーティング | はい | いいえ |
¹ Configuration Assistant は、テキスト・ファイル・フォーマットでのみポリシー定義を作成します。 ² IDS および QoS ポリシー用の LDAP スキーマのフォーマットは、z/OS® V1R2 では固定されていました。IDS および QoS ポリシーの保管に LDAP サーバーを使用している場合は、そのリリースでサポートされている IDS および QoS ポリシーのみがサポートされます。LDAP サーバーでのポリシーの定義については、ポリシー定義のための LDAP サーバーの使用を参照してください。 |
ポリシー・エージェントは、単一システムのポリシー決定ポイント (Policy Decision Point: PDP) の役目をする場合、ローカル構成ファイル、または Lightweight Directory Access Protocol (LDAP) を使用する中央リポジトリー、あるいはその両方から、ポリシー定義を読み取ることができます。また、ポリシー・エージェントは、1 つ以上の z/OS Communications Server スタックにポリシーをインストールします。必要に応じて既存のポリシーの置き換え、または更新に使用できます。
ポリシー・エージェントは、ポリシー・サーバーの役目をする場合、ローカル・システムの PDP の役目もします。したがって、ローカル構成ファイルまたは LDAP サーバーからポリシーを読み取り、ローカル・スタックにインストールすることができます。しかし、ポリシー・クライアントに代わって、ローカル構成ファイルからポリシーを読み取ることもあります。 これらのポリシーは、ポリシー・クライアントによって検索されますが、ポリシー・サーバー上のローカル・スタックにインストールされません。
ポリシー・エージェントが、ポリシー・クライアントの役目をする場合、ポリシー・サーバーからリモート・ポリシーを検索し、構成ファイルまたは LDAP サーバーからのローカル・ポリシーを使用することもできます。 ローカル・ポリシーかリモート・ポリシーかの選択は、サポートされるポリシー・タイプ (QoS、IDS、IPSec、Routing、または AT-TLS) ごとに個別に行うことができます。 ポリシー・クライアントは、そのローカル機能をポリシー・サーバーに通知するので、ポリシー・サーバーはポリシーの適切な解析を実行できます。例えば、ポリシー・クライアントが IPSec 3DES 暗号化アルゴリズムをサポートしないものとします。したがって、ポリシー・サーバーは、ポリシー・サーバー自体が 3DES をサポートする場合であっても、3DES を指定する IPSec ポリシーを不合格にする必要があります。
ポリシー・クライアントとポリシー・サーバーのリリース・レベルが異なる場合は、ポリシー・サーバーにポリシーを定義するときに注意が必要です。
原則として、ポリシーはターゲット・システムに基づいて構成します (そのポリシーが定義されているシステムには基づきません)。
特定のリリース・レベルにのみ有効なステートメント、パラメーター、パラメーター値、および規則または制限の表については、「z/OS Communications Server: IP 構成解説書」を参照してください。
ポリシー・クライアントは、1 次ポリシー・サーバーだけでなく、バックアップを使用して構成できます。ポリシー・クライアントは、1 次ポリシー・サーバーへの接続 (およびバックアップが構成されている場合は、バックアップへの接続) を継続して再試行します。この再試行には、接続が正常に確立されるまで ServerConnection ステートメントに構成されている接続再試行値を使用します。
詳しくは、次のトピックを参照してください。
ローカル・ポリシーは、ポリシー・エージェント構成ファイルまたは LDAP サーバー、あるいはその両方に定義されます。リモート・ポリシーは、ポリシー・サーバー上のポリシー・エージェント構成ファイルで定義されます。構成ファイルと LDAP サーバーからのポリシーは、1 つのリストに結合されます。 そのためには、個々のタイプ (QoS、IDS、IPSec、Routing、および AT-TLS) ごとに、それぞれ固有のポリシー・オブジェクト名が必要です。ポリシー・クライアントでは、所定のタイプのポリシーは、ローカル側またはリモート側のどちらかで検索されますが、両方では検索されません。
LDAP サーバー上で定義される ポリシーの場合、識別名 (DN) は固有でなければなりませんが、ユーザー・フレンドリー名は固有である必要はありません (ただし、固有であることをお勧めします)。LDAP サーバー上で定義されたポリシーのスコープ内で LDAP のユーザー・フレンドリー名を固有にすることが必要な場合は、ポリシー・エージェントが固有の接尾部を付け加えます。構成ファイルからのポリシーを LDAP 定義のポリシーと結合する場合、構成ファイルで定義された名前に対して、LDAP のユーザー・フレンドリー名は固有でなければなりません。この時点で重複名を持つ、同一タイプ (つまり、QoS または IDS) のポリシー・オブジェクトはすべて、ポリシー・エージェントによって廃棄され、エラーが報告されます。