ポリシー・エージェントのポリシー

ポリシーは、複数の異なる方法で定義できます。

表 1 は、さまざまなポリシー・タイプに対する使用可能なフォーマットを示しています。

表 1. ポリシー・フォーマット
ポリシー・タイプ	テキスト・ファイル・フォーマット ¹	LDAP フォーマット
QoS	はい	はい ²
IDS	はい	はい ²
AT-TLS	はい	いいえ
IPSec	はい	いいえ
ポリシー・ベース・ルーティング	はい	いいえ
¹ Configuration Assistant は、テキスト・ファイル・フォーマットでのみポリシー定義を作成します。 ² IDS および QoS ポリシー用の LDAP スキーマのフォーマットは、z/OS® V1R2 では固定されていました。IDS および QoS ポリシーの保管に LDAP サーバーを使用している場合は、そのリリースでサポートされている IDS および QoS ポリシーのみがサポートされます。LDAP サーバーでのポリシーの定義については、ポリシー定義のための LDAP サーバーの使用を参照してください。

ポリシー・エージェントは、単一システムのポリシー決定ポイント (Policy Decision Point: PDP) の役目をする場合、ローカル構成ファイル、または Lightweight Directory Access Protocol (LDAP) を使用する中央リポジトリー、あるいはその両方から、ポリシー定義を読み取ることができます。また、ポリシー・エージェントは、1 つ以上の z/OS Communications Server スタックにポリシーをインストールします。必要に応じて既存のポリシーの置き換え、または更新に使用できます。

ポリシー・エージェントは、ポリシー・サーバーの役目をする場合、ローカル・システムの PDP の役目もします。したがって、ローカル構成ファイルまたは LDAP サーバーからポリシーを読み取り、ローカル・スタックにインストールすることができます。しかし、ポリシー・クライアントに代わって、ローカル構成ファイルからポリシーを読み取ることもあります。これらのポリシーは、ポリシー・クライアントによって検索されますが、ポリシー・サーバー上のローカル・スタックにインストールされません。

制約事項: -i 開始オプションを使用したファイル更新の動的モニターは、ポリシー・クライアントに代わって読み取られるファイルに対してサポートされません。

ポリシー・エージェントが、ポリシー・クライアントの役目をする場合、ポリシー・サーバーからリモート・ポリシーを検索し、構成ファイルまたは LDAP サーバーからのローカル・ポリシーを使用することもできます。ローカル・ポリシーかリモート・ポリシーかの選択は、サポートされるポリシー・タイプ (QoS、IDS、IPSec、Routing、または AT-TLS) ごとに個別に行うことができます。ポリシー・クライアントは、そのローカル機能をポリシー・サーバーに通知するので、ポリシー・サーバーはポリシーの適切な解析を実行できます。例えば、ポリシー・クライアントが IPSec 3DES 暗号化アルゴリズムをサポートしないものとします。したがって、ポリシー・サーバーは、ポリシー・サーバー自体が 3DES をサポートする場合であっても、3DES を指定する IPSec ポリシーを不合格にする必要があります。

ポリシー・クライアントとポリシー・サーバーのリリース・レベルが異なる場合は、ポリシー・サーバーにポリシーを定義するときに注意が必要です。

ポリシー・クライアントがポリシー・サーバーより高いリリース・レベルの場合は、下位のポリシー・サーバーのみの構文とセマンティクスを使用して定義することができます。上位のリリース・レベルだけに存在する機能 (新規のステートメント、パラメーター、またはパラメーター値など) は使用できません。エラー検査も使用できない可能性があります。高いリリース・レベルに規則や制限が追加されたり、削除されたりしている可能性があります。
ポリシー・サーバーがポリシー・クライアントより高位のリリース・レベルの場合は、高位のリリース・レベルでのみ使用可能な構文とセマンティクスを使用してポリシーを定義することはできません。ポリシー・サーバーは下位のリリース・レベルのポリシー・クライアントの代わりにそのようなポリシーを構文解析できないため、そのようなポリシーはエラーを含んでいるとして報告されます。
ポリシー・サーバーがポリシー・クライアントより低いリリース・レベルの場合は、高位のリリース・レベルから削除された構文とセマンティクスを使用しているポリシーは依然として構文解析され、ポリシー・サーバーからポリシー・クライアントに戻されます。

原則として、ポリシーはターゲット・システムに基づいて構成します (そのポリシーが定義されているシステムには基づきません)。

特定のリリース・レベルにのみ有効なステートメント、パラメーター、パラメーター値、および規則または制限の表については、「z/OS Communications Server: IP 構成解説書」を参照してください。

ポリシー・クライアントは、1 次ポリシー・サーバーだけでなく、バックアップを使用して構成できます。ポリシー・クライアントは、1 次ポリシー・サーバーへの接続 (およびバックアップが構成されている場合は、バックアップへの接続) を継続して再試行します。この再試行には、接続が正常に確立されるまで ServerConnection ステートメントに構成されている接続再試行値を使用します。

詳しくは、次のトピックを参照してください。

制約事項: LDAP サーバーで AT-TLS ポリシー、IPSec ポリシー、またはルーティング・ポリシーを定義することはできません。

ヒント: LDAP サーバーで定義されたポリシーは、LDAP サーバー製品が提供する構成ファイルおよびメカニズムを使用します。ポリシーのエレメントの定義は、スキーマと呼ばれます。z/OS Communications Server では、LDAP サーバー上で定義できるポリシーのスキーマ定義が、サンプル・ファイル・セットに用意されています。サンプル・ファイルは、LDAP プロトコル・バージョン 3 のフォーマットで提供されています (これらのサンプルの名前については、LDAP サンプル・ファイルを参照してください)。これらのサンプル・ファイルは、スキーマ定義として LDAP サーバーにインストールすることが必要です。ポリシー・エージェントは、z/OS 統合セキュリティー・サーバー LDAP クライアント・ライブラリーを使用して、LDAP サーバーと通信します。LDAP について詳しくは、「z/OS IBM Tivoli Directory Server Administration and Use for z/OS」を参照してください。LDAP のポリシー定義を定義する LDAP 定義ファイルのコピーは、「z/OS Communications Server: IP 構成解説書」にもあります。

ローカル・ポリシーは、ポリシー・エージェント構成ファイルまたは LDAP サーバー、あるいはその両方に定義されます。リモート・ポリシーは、ポリシー・サーバー上のポリシー・エージェント構成ファイルで定義されます。構成ファイルと LDAP サーバーからのポリシーは、1 つのリストに結合されます。そのためには、個々のタイプ (QoS、IDS、IPSec、Routing、および AT-TLS) ごとに、それぞれ固有のポリシー・オブジェクト名が必要です。ポリシー・クライアントでは、所定のタイプのポリシーは、ローカル側またはリモート側のどちらかで検索されますが、両方では検索されません。

LDAP サーバー上で定義されるポリシーの場合、識別名 (DN) は固有でなければなりませんが、ユーザー・フレンドリー名は固有である必要はありません (ただし、固有であることをお勧めします)。LDAP サーバー上で定義されたポリシーのスコープ内で LDAP のユーザー・フレンドリー名を固有にすることが必要な場合は、ポリシー・エージェントが固有の接尾部を付け加えます。構成ファイルからのポリシーを LDAP 定義のポリシーと結合する場合、構成ファイルで定義された名前に対して、LDAP のユーザー・フレンドリー名は固有でなければなりません。この時点で重複名を持つ、同一タイプ (つまり、QoS または IDS) のポリシー・オブジェクトはすべて、ポリシー・エージェントによって廃棄され、エラーが報告されます。