ネットワーク・セキュリティー・サービス (NSS) サーバーは、IPSec 規律用のネットワーク・セキュリティー・サービスのセットを提供します。これらのサービスには、証明書サービスとリモート管理サービスが含まれます。証明書サービスとリモート管理サービスは、NSS IPSec クライアントによって使用されます。NSS IPSec クライアントが証明書サービスを使用する場合、NSS サーバーは NSS IPSec クライアントの代わりにデジタル署名を作成して妥当性検査を行います。証明書および鍵生成情報を、ネットワーク内のより安全性の低いゾーンにある可能性のあるクライアントに保管する必要がなくなります。NSS IPSec クライアントがリモート管理サービスを使用している場合、NSS サーバーは IPSec ネットワーク管理インターフェース (NMI) 要求を、その NSS IPSec クライアントに送付します。これにより、NSS IPSec クライアントはリモート側から管理できるようになります。NSS IPSec クライアントは、これらの要求に対する応答を NSS サーバーに提供します。
複数の TCP/IP スタックの代わりに、IKE デーモンに NSS IPSec クライアントの役割を実行させるように構成することができます。それぞれのスタックは、NSS サーバーからは別々の NSS IPSec クライアントのように見えます。NSS サーバーによって提供されるリモート管理サービスを使用する NSS IPSec クライアントを管理するには、ipsec コマンドで -z オプションを使用するか、IPSec NMI を使用します。ipsec コマンド を使用した NSS IPSec クライアントの管理について詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。IPSec NMI を使用した NSS IPSec クライアントの管理について詳しくは、「z/OS Communications Server: IP Programmer's Guide and Reference」を参照してください。
NSS IPSec クライアントには、NSS サーバー・システムの SAF ユーザー ID が必要です。NSS サーバーによって提供されるサービスを使用するには、このユーザー ID が特定の SERVAUTH リソース・プロファイルへの読み取りアクセス権を持っている必要があります。 以下の SERVAUTH リソース・プロファイルが NSS IPSec クライアントに適用されます。
- EZB.NSS.sysname.clientname.IPSEC.CERT
このプロファイルは、NSS IPSec クライアントが NSS サーバーの IPSec 証明書サービスにアクセスすることを許可します。
- EZB.NSS.sysname.clientname.IPSEC.NETMGMT
このプロファイルは、NSS IPSec クライアントが NSS サーバーの IPSec リモート管理サービスを使用することを許可します。NSS サーバーの IPSec リモート管理サービスにより、NSS IPSec クライアントを NSS サーバーによって管理することができます。
- EZB.NSSCERT.sysname.mappedlabelname.HOST
このプロファイルは、NSS IPSec クライアントが NSS サーバーの鍵リング上の個人証明書またはサイト証明書にアクセスすることを許可します。 NSS IPSec クライアントと関連付けられたそれぞれの個人証明書またはサイト証明書ごとに、プロファイル項目が必要です。デジタル署名モードの認証を使用するフェーズ 1 セキュリティー・アソシエーション・ネゴシエーション時に、証明書が使用されます。
- EZB.NSSCERT.sysname.mappedlabelname.CERTAUTH
このプロファイルは、NSS IPSec クライアントが NSS サーバーの鍵リング上の CERTAUTH 証明書にアクセスすることを許可します。以下の条件が当てはまる場合、NSS サーバーの鍵リングに接続されている CERTAUTH 証明書には、プロファイル項目が必要です。
- その証明書のラベルが、NSS IPSec クライアント用の IPSec ポリシー定義内の RemoteSecurityEndpoint ステートメントの CaLabel パラメーターに構成されている。RemoteSecurityEndpoint ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
- NSS IPSec クライアントが、リモート・セキュリティー・エンドポイントに対応する認証局 (CA) に関する情報の組み込みを望んでいる。 この情報は、対応する RemoteSecurityEndpoint ステートメントで CaLabel パラメーターが指定されない場合に送信される CA のデフォルト・セットの一部です。
これらのプロファイルの定義に関する追加の詳細情報については、ネットワーク・セキュリティー・サービスを参照してください。
以下の SERVAUTH リソース・プロファイルは、ipsec コマンドの -z オプション、または IPSec NMI を使用して NSS IPSec クライアントを管理する場合に適用されます。
- EZB.NETMGMT.sysname.clientname.IPSEC.DISPLAY
このプロファイルは、ユーザー ID が -z オプションを指定した ipsec コマンドを発行して、NSS IPSec クライアントに関する情報を取得すること、または NSS IPSec クライアントに関する情報を取得するための IPSec NMI 要求を出すことを許可します。
- EZB.NETMGMT.sysname.tcpname.IPSEC.CONTROL
このプロファイルは、ユーザー ID がローカル・スタックの IPSec 状態を変更する IPSec NMI 要求を行うことを許可します。
- EZB.NETMGMT.sysname.clientname.IPSEC.CONTROL
このプロファイルは、ユーザー ID が -z オプションを指定した ipsec コマンドを発行して NSS IPSec クライアントの IPSec 状態を変更すること、または NSS IPSec クライアントの IPSec 状態を変更するための IPSec NMI 要求を出すことを許可します。
- EZB.NETMGMT.sysname.sysname.NSS.DISPLAY
このプロファイルは、ユーザー ID が -x オプションを指定した ipsec コマンドを発行するか、IPSec NMI 要求を行って、NSS サーバーに関する情報を取得することを許可します。また、このプロファイルは、ユーザー ID が nssctl コマンドを発行して、NSS サーバーに関する情報を取得するための NMI 要求を出すことを許可します。
ipsec コマンドを使用して NSS IPSec クライアントを管理するためのプロファイルの定義について詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。IPSec NMI を使用して NSS IPSec クライアントを管理するためのプロファイルの定義について詳しくは、「z/OS Communications Server: IP Programmer's Guide and Reference」を参照してください。
ipsec コマンドの -w オプションまたは IPSec NMI を使用して、IKE デーモンの NSS IPSec クライアントに関する情報を表示する場合、以下の SERVAUTH リソース・プロファイルが適用されます。
- EZB.NETMGMT.sysname.sysname.IKED.DISPLAY
このプロファイルは、ユーザー ID が -w オプションを指定した ipsec コマンドを発行するか、IPSec NMI 要求を行って、IKE デーモンの NSS 構成に関する情報を取得することを許可します。
ipsec コマンドを使用して NSS IPSec クライアントを管理するためのこのプロファイルの定義について詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。IPSec NMI を使用して NSS IPSec クライアントを管理するためのこのプロファイルの定義について詳しくは、「z/OS Communications Server: IP Programmer's Guide and Reference」を参照してください。
IPSec ネットワーク・セキュリティー・サービスにアクセスする前に、NSS IPSec クライアントは有効な資格情報を提示する必要があります。有効な資格情報は、NSS IPSec クライアントを表すユーザー ID と、有効なパスワードまたはパスチケットで構成されます。パスチケットの使用方法について詳しくは、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
NSS IPSec クライアントを表す証明書と秘密鍵は、単一 SAF 鍵リングに保管されます。NSS サーバーには、この鍵リング上の証明書へのアクセス権が必要です。証明書と関連付けられた秘密鍵は、NSS IPSec クライアントには送信されません。NSS IPSec クライアントがデジタル署名の認証モードを使用する場合、NSS サーバーはクライアントの代わりにデジタル署名を作成します。NSS サーバーは、NSS IPSec クライアントの代わりにデジタル署名を作成するために個人証明書にアクセスする前に、EZB.NSSCERT.sysname.mappedlabelname.HOST プロファイルを調べて、NSS IPSec クライアントがその証明書 (および関連する秘密鍵) の使用を許可されているか確認します。
NSS IPSec クライアントによってサポートされている認証局の証明書は、この単一鍵リングにも保管されている必要があります。NSS サーバーは、クライアントがアクセスできる認証局に関する情報を NSS IPSec クライアントに提供します。 NSS IPSec クライアントは、認証用にデジタル署名モードが使用されるときに、認証局の情報をそのピアに公示します。EZB.NSSCERT.sysname.mappedlabelname.CERTAUTH プロファイルは、NSS IPSec クライアントがどの認証局を IKE ピアに公示できるかを識別します。 このプロファイル名については、NSS サーバー証明書ラベルの命名に関する考慮事項を参照してください。
図 1 は、単一 TCP/IP スタックの NSS IPSec クライアントの役目をする IKE デーモンの例を示しています。IKE デーモンの構成ファイルは、スタックがどのネットワーク・セキュリティー・サービスを使用できるかと共に、これらのサービスが取得される元の NSS サーバーに関する情報を識別します。 スタックに対して NSS 証明書サービスが使用可能である場合、IKE デーモンは、デジタル署名モードの認証が使用されるフェーズ 1 ネゴシエーション時にこのサービスを使用します。スタックに対して NSS IPSec リモート管理サービスが使用可能である場合、IKE デーモンは、NSS サーバーから開始される管理要求に応答します。
図 1 の例は、1 つの TCP/IP スタックが NSS クライアントの役目をする簡単な例です。 図 2 に示されているように、NSS サーバーは、複数の NSS クライアントにサービスを提供できます。 z/OS® システム上の IKE デーモンは、最大 8 つの TCP/IP スタックに対する NSS クライアントの役目をすることができます (つまり、そのシステムで実行されるスタックごとに 1 つずつ)。 複数の IKE デーモンは、同時にネットワーク・セキュリティー・サービスにアクセスできます。これらの IKE デーモンを NSS サーバーと同じシスプレックス内に配置する必要はありません。
