TCP を介したエージェントへの接続

TCP 接続を指定するサブエージェントについては、インストール・システムの SAF 準拠のセキュリティー・プロダクト (z/OS® セキュリティー・サーバー (RACF®) など) を利用して、SNMP サブエージェントのいずれに SNMP エージェントへの接続を許可するかを制御することができます。各 TCP/IP スタック、各 MVS™ イメージについて、1 つのセキュリティー・プロダクト・リソース名を作成することができます。セキュリティー・プロダクト・リソース名は、次の形式で指定します。

 EZB.SNMPAGENT.sysname.tcpprocname

ここで、sysname は MVS システム・イメージの名前、tcpprocname は TCP/IP 開始プロシージャー名です。

プロファイルは SERVAUTH クラスの下に作成する必要があります。プロファイルを作成した後、セキュリティー・プロダクトを使用して、TCP を介した SNMP エージェントへの接続を許可するサブエージェントのユーザー ID を定義します。許可の失敗は、セキュリティー・プロダクトの障害メッセージおよび SNMP エージェント・トレースによって示されます。

注: この許可機能を使用する場合、SNMP エージェントである同じ TCP/IP スタックに関連付けられている SNMP サブエージェントのみが、そのエージェントへの接続を許可されます。他の TCP/IP スタックに関連付けられたローカル SNMP サブエージェント、またはリモート SNMP サブエージェントは、接続を許可されません。次の ICH0408I RACF エラー・メッセージが出されます。

   ICH408I JOB(OSNMPD  ) STEP(OSNMPD  )  
     EZB.SNMPAGENT.sysname.tcpprocname CL(SERVAUTH)
     INSUFFICIENT ACCESS AUTHORITY
     FROM EZB.SNMPAGENT.** (G)
     ACCESS INTENT(READ   )  ACCESS ALLOWED(NONE   )

ICH0408I メッセージでは、ユーザー ID ではなく JOB 名と STEP 名のみが表示されます。サブエージェントは SNMP エージェントと同じ TCP/IP スタックに関連付けられていなかったため、エージェントはユーザー ID を取得できませんでした。

また、エージェントのセキュリティー・プロダクト・リソース名を作成する前にその SNMP エージェントに接続されていたサブエージェントがある場合、そのサブエージェントはそのセキュリティー・プロダクトを介して許可されていません。

この許可を定義するには、SEZAINST(EZARACF) に提供されたものと同じサンプル JCL ジョブで制御ステートメントを使用することができます。例えば、ユーザー ID USER2 に関連付けられたすべての SNMP サブエージェントに、SNMP エージェントへの接続を許可したい場合は、次の定義を使用します。

RDEFINE SERVAUTH EZB.SNMPAGENT.MVSA.TCP1 UACC(NONE) 
PERMIT EZB.SNMPAGENT.MVSA.TCP1  ACCESS(READ) CLASS(SERVAUTH) ID(USER2)