[z/OS]

ローカルでバインドされたアプリケーションでの CHCKLOCL の使用

CHCKLOCL は、BATCH 接続を介して行われる接続にのみ適用され、 CICS® または IMSから行われる接続には適用されません。 チャネル・イニシエーターを介して作成された接続は、CHCKCLNT によって制御されます。

概要

ローカルにバインドされたアプリケーションの一部 (すべてではない) についてユーザー ID とパスワードの検査を必須にするように z/OS® キュー・マネージャーを構成する場合は、いくつかの追加構成を行う必要があります。

これは、CHCKLOCL (REQUIRED) を構成すると、MQCONN API 呼び出しを使用するレガシー・バッチ・アプリケーションがキュー・マネージャーに接続できなくなるためです。

z/OS の場合のみ、アドレス・スペースの接続セキュリティーに基づくより細分化されたメカニズムを使用して、明確に定義されたユーザー ID のグローバル CHCKLOCL (REQUIRED) 構成を CHCKLOCL (OPTIONAL) にダウングレードすることができます。 使用されるメカニズムについて、例とともに以下のテキストで説明します。

CHCKLOCL ( REQUIRED) の細分度を EVERYONE よりも高くするには、MQCONN クラスの hlq.batch 接続プロファイルに接続するアドレス・スペースに関連付けられたユーザー ID のアクセス・レベルを変更するのと同じ方法で、 CHCKLOCL を変更します。

アドレス・スペース・ユーザー ID に READ アクセス権 (接続するために最低限必要な権限) しかない場合、CHCKLOCL 構成は、記述されているとおりに適用されます。

アドレス・スペース・ユーザー ID に UPDATE アクセス権 (またはそれ以上) がある場合は、CHCKLOCL 構成は OPTIONAL モードで動作します。 つまり、ユーザー ID とパスワードを指定する必要はありませんが、指定する場合は、ユーザー ID とパスワードは有効なペアでなければなりません。

z/OS キュー・マネージャー用に既に構成されている接続セキュリティー

z/OS キュー・マネージャーに対して接続セキュリティーが構成されていて、 CHCKLOCL (REQUIRED) を WAS ローカル・バインド・アプリケーションに適用し、その他のアプリケーションには適用しない場合は、以下のステップを実行します。
  1. 構成の際に CHCKLOCL (OPTIONAL) から開始します。 これは、指定されたユーザー ID とパスワードの妥当性を検査するが、必須ではないことを意味します。
  2. 以下のコマンドを実行して、接続セキュリティー・プロファイルへのアクセス権を持つすべてのユーザーをリストします。
    
RLIST MQCONN MQ23.BATCH AUTHUSER
    このコマンドを実行すると、以下のように表示されます。
    
CLASS    NAME
-----    ----
MQCONN   MQ23.BATCH

USER     ACCESS  ACCESS COUNT
----     ------  ------ -----
JOHNDOE  READ    000009
JDOE1    READ    000003
WASUSER  READ    000000
  3. リストされた、READ アクセス権を持つ各ユーザー ID について、以下のようにアクセス権を変更します。
    
UPDATE:- PERMIT MQ23.BATCH CLASS(MQCONN) ID(JOHNDOE) ACCESS(UPDATE)
  4. IBM® MQ 構成を CHCKLOCL (REQUIRED) に更新します。

    MQ23.BATCH への UPDATE アクセス権と現行の設定の組み合わせは、CHCKLOCL (OPTIONAL) を使用していることを意味します。

  5. ここで、CHCKLOCL (REQUIRED) 動作を 1 つの特定のユーザー ID (例えば WASUSER) に適用して、その領域から着信するすべての接続がユーザー ID とパスワードを提供するようにします。
    これを行うには、以下のコマンドを実行して上記で行った変更と逆の操作を行います。
    
PERMIT MQ23.BATCH CLASS(MQCONN) ID(WASUSER) ACCESS(READ)

z/OS キュー・マネージャーの接続セキュリティーが構成されていない

この場合、以下のようにする必要があります。
  1. 以下のコマンドを発行して、MQCONN クラス内の hlq.BATCH の接続プロファイルを作成します。
    
RDEFINE MQCONN MQ23.BATCH UACC(NONE)
  2. キュー・マネージャーへのバッチ接続を作成するすべてのユーザー ID に権限を与えて、このプロファイルへの UPDATE アクセス権を持つようにします。 こうすることで、接続時にユーザー ID とパスワードについての CHCKLOCL (REQUIRED) 要件を迂回します。
    これを行うには、以下のコマンドを実行します。
    
PERMIT MQ23.BATCH CLASS(MQCONN)ID(JOHNDOE) ACCESS(UPDATE)
    これらには、以下のようなユーザー ID があります。
    1. CSQUTIL、ISPF パネル、およびその他のローカルでバインドされたツールに使用されます。
    2. キュー・マネージャーへの接続のようなバッチに関連付けられます。 例えば、 Advanced Message Security IBM Integration BusDb2® ストアード・プロシージャー、USS および TSO ユーザー、および Java アプリケーションについて考えてみます。
  3. 以下のコマンドを実行して、キュー・マネージャー用のスイッチ・プロファイルを削除します。
    
hlq.NO.CONNECT.CHECKS
  4. ここで、CHCKLOCL (REQUIRED) 動作を 1 つの特定のユーザー ID (例えば WASUSER) に適用して、その領域から着信するすべての接続がユーザー ID とパスワードを提供するようにします。
    これを行うには、以下のコマンドを実行して上記で行った変更と逆の操作を行います。
    
PERMIT MQ23.BATCH CLASS(MQCONN) ID(WASUSER) ACCESS(READ)