IBM Rational Developer for z Systems バージョン 9.5.1

ホスト構成リファレンス

SC43-2912-00

目次

注: 本資料をご使用になる前に、必ず特記事項に記載されている情報をお読みください。

変更の始まり本書は、IBM® Rational® Developer for z Systems™ バージョン 9.5 (プログラム番号 5724-T07、またはプログラム番号 5697-CDT の一部) および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。変更の終わり

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

 

原典:
SC27-8578-00
IBM Rational Developer for z Systems
Version 9.5
Host Configuration Reference Guide
発行:
日本アイ・ビー・エム株式会社
担当:
トランスレーション・サービス・センター

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、 自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

© Copyright IBM Corporation 2000, 2015

本書について

この資料では、IBM Rational Developer for z Systems 本体と、その他の z/OS® コンポーネントおよび製品 (WLM や TCP/IP など) の各種構成作業の背景情報について説明しています。

これ以降、本書では以下の名前が使用されています。
  • 変更の始まりIBM Explorer for z/OSz/OS Explorer と呼ばれます。変更の終わり
  • IBM Rational Developer for z SystemsDeveloper for z Systems と呼ばれます。
  • IBM Rational Developer for z Systems 統合デバッガー統合デバッガー と呼ばれます。
  • 共通アクセス・リポジトリー・マネージャー は、CARMA と省略されます。
  • Software Configuration and Library Manager Developer ToolkitSCLM Developer Toolkit と呼ばれ、SCLMDT と省略されます。
  • z/OS UNIX システム・サービス は、z/OS UNIX と呼ばれます。
  • 顧客情報管理システム (CICS) Transaction Server は、CICSTS と呼ばれ、CICS® と略されます。
本書は、Developer for z Systems のホスト構成を説明した文書セットの一部です。これらの文書は、それぞれ特定の読者を対象としています。 Developer for z Systems の構成を行うためにすべての資料に目を通す必要はありません。
  • IBM Rational Developer for z Systems ホスト構成ガイド」(SC43-2913) では、すべての計画タスク、構成タスクおよびオプション (任意のオプションも含めて) について詳しく説明し、代替方法も記載しています。
  • IBM Rational Developer for z Systems ホスト構成リファレンス」(SC43-2912) は、Developer for z Systems の設計について説明し、Developer for z Systems、z/OS コンポーネント、および Developer for z Systems に関連するその他の製品 (WLM および TCP/IP など) のさまざまな構成タスクに関する背景情報を提供しています。
  • IBM Rational Developer for z Systems ホスト構成クイック・スタート・ガイド」(GI88-4171) では、Developer for z Systems の最小限のセットアップについて説明します。

本書の情報は、すべての IBM Rational Developer for z Systems バージョン 9.5.1 パッケージに適用されます。

本書の最新バージョンについては、IBM Rational Developer for z Systems ホスト構成リファレンス (SC43-2912) (http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss?CTY=US&FNC=SRX&PBL=SC43-2912) を参照してください。

インストールの説明、ホワイト・ペーパー、ポッドキャスト、およびチュートリアルを含む、資料一式の最新バージョンについては、IBM Rational Developer for z Systems Web サイトの ライブラリー・ページ (http://www-01.ibm.com/software/sw-library/en_US/products/Z964267S85716U24/) を参照してください。

本書の対象読者

本書は、IBM Rational Developer for z Systems バージョン 9.5.1 を構成およびチューニングするシステム・プログラマーを対象としています。

実際の構成は他の資料に記載されていますが、本書では、チューニング、セキュリティーのセットアップなど、各種の関連テーマについて詳しく挙げています。 本書を使用するには、z/OS UNIX システム・サービスおよび MVS™ ホスト・システムに精通している必要があります。

変更の要約

変更の始まりこのセクションでは、「IBM Rational Developer for z Systems バージョン 9.5.1 ホスト構成リファレンス・ガイド (SC43-2912-00)」(2015 年 12 月更新) の変更点を要約します。変更の終わり

本文または図表に対して技術的な変更または追加が行われている場合には、その個所の左側に縦線を引いて示してあります。

変更の始まり新しい情報:変更の終わり

変更の始まり
  • 新しい MVS データ・セット名および z/OS UNIX パスを使用しています。
変更の終わり

変更の始まり削除された情報:変更の終わり

変更の始まりバージョン 9.5.1 では、RSE および JES ジョブ・モニター関連の機能が、IBM Rational Developer for z Systems から、IBM Explorer for z/OS という別の製品に移行されました。 この移行には、関連する資料も含まれます。変更の終わり

変更の始まり
  • RSE 固有のデータは、すべての章から削除されました。
  • JES ジョブ・モニター固有のデータは、すべての章から削除されました。
  • TSO コマンド・サービス固有のデータは、すべての章から削除されました。
  • 構成およびバージョン管理のためのクライアントへのプッシュに関するデータは、すべての章から削除されました。
  • TCP/IP のセットアップ方法に関する資料が削除されました。
変更の終わり

変更の始まり本書には、「IBM Rational Developer for z Systems Version 9.5 ホスト構成リファレンス」(SC43-0629-09) に記載されていた情報が含まれています。変更の終わり

変更の始まり新しい情報: 変更の始まり変更の終わり 変更の終わり
変更の始まり削除された情報: 変更の始まり
  • Application Deployment Manager の提供は終了したため、それに関するすべての情報は削除されました。
変更の終わり 変更の終わり

変更の始まり本書には、「IBM Rational Developer for System z Version 9.1.1 ホスト構成リファレンス」(SA88-4226-07) に記載されていた情報が含まれています。変更の終わり

新しい情報:
  • 統合デバッガーのセキュリティー・プロファイルが更新されました。デバッグ・セキュリティーを参照してください。
  • パスフレーズ・サポートに関する情報が追加されました。認証方式を参照してください。

本書には、「IBM Rational Developer for System z バージョン 9.1.1 ホスト構成リファレンス 」(SA88-4226-07) に記載されていた情報が含まれています。

新しい情報:

本書には、「IBM Rational Developer for System zバージョン 9.0.1 ホスト構成リファレンス」(SA88-4226-07) に記載されていた情報が含まれています。

新しい情報:

本書には、「IBM Rational Developer for System zバージョン 9.0.1 ホスト構成リファレンス」(SA88-4226-04) に記載されていた情報が含まれています。

新しい情報:

  • タイム・スタンプを持つログ・ファイル名に関する情報が追加されました。ログ・ファイルを参照してください。
  • 新しい監査可能イベントに関する情報が追加されました。監査データを参照してください。
本書には、「IBM Rational Developer for System z バージョン 9.0 ホスト構成リファレンス」(SA88-4226-04) に記載されていた情報が含まれています。
新しい情報:
  • TCP/IP ポートの使用方法が更新されました。TCP/IP ポートを参照してください。
  • 2 つの RSE デーモンを自動的に同期するサンプルが追加されました。自動同期を参照してください。
  • 新しいログ・ファイルに関する情報が追加されました。ログ・ファイルを参照してください。

本書には、「IBM Rational Developer for System zバージョン 8.5.1 ホスト構成リファレンス」(SA88-4226-03) に記載されていた情報が含まれています。

新しい情報:

本書には、「IBM Rational Developer for System zバージョン 8.5 ホスト構成リファレンス」(SA88-4226-02) に記載されていた情報が含まれています。

新しい情報:

文書内容の説明

ここでは、本書に記載されている情報を要約します。

Developer for z Systems について

Developer for z Systems ホストは、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。 これらのコンポーネントの設計を理解しておくと、構成に関して適切な判断を行うことができます。

セキュリティーに関する考慮事項

変更の始まりDeveloper for z Systems は、他のホスト・コンポーネントとやり取りするため、セキュリティーへの影響があります。変更の終わり

TCP/IP に関する考慮事項

Developer for z Systems では、TCP/IP を使用して、非メインフレーム・ワークステーションのユーザーに、メインフレームからアクセスすることができます。 また、各種コンポーネントと他の製品との通信にも TCP/IP が使用されます。

WLM に関する考慮事項

従来の z/OS アプリケーションとは異なり、Developer for z Systems は、ワークロード・マネージャー (WLM) で容易に識別できる一体構造のアプリケーションではありません。Developer for z Systems は、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。これらのサービスの一部は異なるアドレス・スペースでアクティブとなるため、WLM 分類も異なることになります。

クライアントへのプッシュの考慮事項

変更の始まりDeveloper for z Systems は、プロジェクト定義をサポートして、z/OS Explorer のクライアントへのプッシュ (ホストベースのクライアント制御) を拡張します。変更の終わり

CICSTS に関する考慮事項

この章には、CICS Transaction Server 管理者に有益な情報が記載されています。

変更の始まり

AT-TLS のセットアップ

変更の始まりこのセクションは、Application Transparent Transport Layer Security (AT-TLS) のセットアップ時、または既存のセットアップの検査時や変更時に起きる可能性があるいくつかの一般的な問題について、ユーザーを支援するためのものです。変更の終わり

変更の終わり

Developer for z Systems について

Developer for z Systems ホストは、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。 これらのコンポーネントの設計を理解しておくと、構成に関して適切な判断を行うことができます。

この章では、以下のトピックについて説明します。変更の始まり変更の終わり

変更の始まりDeveloper for z Systems は、IBM Explorer for z/OS 上に構築されています。 z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『セキュリティーに関する考慮事項』を参照してください。変更の終わり

コンポーネントの概要

図 1. コンポーネントの概要
コンポーネントの概要
図 1 は、ホスト・システムにおける z/OS Explorer と Developer for z Systems の組み合わせをレイアウトした、一般的な概要を示しています。変更の始まり
  • リモート・システム・エクスプローラー (RSE) は、クライアントをホストに接続したり、特定のサービス用に他のサーバーを始動するなどの、コア・サービスを提供します。RSE は、次の 2 つの論理エンティティーから構成されます。
    • RSE デーモン (RSED)。これは接続セットアップを管理します。また、単一サーバー・モードでの実行を担当します。そのために、RSE デーモンは RSE スレッド・プール (RSEDx) と呼ばれる子プロセスを 1 つ以上作成します。
    • RSE サーバー。これは個々のクライアント要求を処理します。RSE サーバーは、RSE スレッド・プール内のスレッドとしてアクティブになります。
  • デバッグ・マネージャー (DBGMGR) は統合デバッガーのアクティビティーを調整します。
  • (z/OS Explorer) TSO コマンド・サービス (TSO cmd) は、TSO および ISPF コマンドに、バッチに似たインターフェースを提供します。
  • (z/OS Explorer) JES ジョブ・モニター (JMON) は、JES に関連したすべてのサービスを提供します。
  • 共通アクセス・リポジトリー・マネージャー (CARMA) は、CA Endevor などの Software Configuration Manager (SCM) と対話するためのインターフェースを提供します。
  • ほかにも、Developer for z Systems 自体または相互前提条件のソフトウェアで各種のサービスが提供されています。
変更の終わり

前の段落とリストで説明したのは、RSE に割り当てられている中心的な役割です。わずかな例外を除き、クライアント通信はすべて RSE を経由します。これにより、クライアント/ホスト通信に使用されるポートの数が限定されるため、セキュリティーに関連したネットワーク・セットアップが容易になります。

変更の始まりクライアントからの接続とワークロードを管理するために、RSE は、スレッド・プーリング・アドレス・スペースを制御するデーモン・アドレス・スペースから構成されています。デーモンは接続と管理のためのフォーカル・ポイントとして機能し、スレッド・プールはクライアント・ワークロードを処理します。rse.env 構成ファイルに定義されている値と実際のクライアント接続数に基づいて、デーモンは複数のスレッド・プール・アドレス・スペースを開始することができます。変更の終わり

タスク所有者

図 2. タスク所有者
タスク所有者

変更の始まり図 2 は、z/OS Explorer および Developer for z Systems のさまざまなタスクで使用されるセキュリティー資格情報の所有者の基本的概要を示しています。変更の終わり

変更の始まりタスクの所有権は、2 つの部分に分けることができます。開始タスクは、ご使用のセキュリティー・ソフトウェアで開始タスクに割り当てられているユーザー ID が所有します。それ以外のすべてのタスク (RSE スレッド・プール (RSEDx) は例外) は、クライアント・ユーザー ID が所有します。変更の終わり

図 2 は、z/OS Explorer および Developer for z Systems の開始タスク (DBGMGR、JMON、および RSED) およびサンプルの開始タスクと、Developer for z Systems が通信するシステム・サービスを示しています。 USS REXEC タグは、z/OS UNIX REXEC (または SSH) サービスを表します。

RSE デーモン (RSED) は、クライアント要求を処理するために RSE スレッド・プール・アドレス・スペース (RSEDx) を 1 つ以上作成します。各 RSE スレッド・プールは、複数のクライアントをサポートし、RSE デーモンと同じユーザーによって所有されます。各クライアントには、スレッド・プール内に専用のスレッドがあり、これらのスレッドはクライアント・ユーザー ID が所有します。

クライアントが実行するアクションによっては、1 つ以上の追加のアドレス・スペース (いずれもクライアント・ユーザー ID が所有) を開始して要求されたアクションを実行できます。これらのアドレス・スペースにできるのは、MVS バッチ・ジョブ、APPC トランザクション、または z/OS UNIX 子プロセスです。z/OS UNIX 子プロセスは、z/OS UNIX イニシエーター (BPXAS) 内でアクティブとなり、JES では開始タスクとして表示されることに注意してください。

これらのアドレス・スペースの作成は、ほとんどの場合、スレッド・プール内のユーザー・スレッドによって、直接的に、あるいは ISPF などのシステム・サービスを使用してトリガーされます。ただし、アドレス・スペースはサード・パーティーが作成する可能性もあります。例えば、z/OS UNIX でビルドを開始する際には、z/OS UNIX REXEC または SSH が関与します。

ユーザー固有のアドレス・スペースは、タスクが完了するか、または非アクティブ・タイマーの期限が切れると終了します。開始タスクはアクティブなままとなります。 図 2 に示されているアドレス・スペースは、表示の対象となるほど長くシステムに残ります。ただし、z/OS UNIX の設計仕様のために、存続期間の短い一時的なアドレス・スペースもいくつか存在することに注意してください。

統合デバッガー

 

図 3. 統合デバッガー
統合デバッガー

 

 

統合デバッガーは、さまざまなアプリケーションのデバッグに使用されます。 図 5 に、Developer for z Systems クライアントがアプリケーションのデバッグをどのように行えるかに関する概念図を示します。
  1. クライアントは、標準 Developer for z Systems ホスト・ログオンを使用してホストに接続します。
  2. ログオンの一部として、デバッグ・マイナーがユーザーをデバッグ・マネージャーに登録します。デバッグ・マネージャーは DBGMGR 開始タスクでアクティブになっています。
  3. アプリケーションがデバッグを必要とする標識付きで開始した場合、言語環境プログラム (Language Environment® (LE)) がデバッグ・プローブを呼び出します。
  4. デバッグ・プローブはデバッグ・マネージャーに登録します。
  5. デバッグ・マイナーを使用して、デバッグ・マネージャーはこのデバッグ・セッションを受け取るユーザーの Developer for z Systems クライアントに通知します。ユーザーがこの時点で登録されていない場合、デバッグ・セッションは休止し、ユーザーがデバッグ・マネージャーに登録されるまで待機します。
  6. クライアント内のデバッグ・エンジンはデバッグ・マネージャーに連絡を取り、今度はデバッグ・マネージャーがデバッグ・エンジンとデバッグ・プローブ間で行き来するデータの受け渡しを行います。

CARMA

図 4. CARMA フロー
CARMA フロー
CARMA (Common Access Repository Manager) は、ホスト・ベースの Software Configuration Manager (SCM) (CA Endevor® SCM など) にアクセスするために使用されます。図 4 は、サポートされたホスト・ベースの Software Configuration Manager (SCM) に Developer for z Systems のクライアントがアクセスする仕組みの概要図です。
  1. クライアントには、共通アクセス・リポジトリー・マネージャー (CARMA) プラグインがあります。
  2. CARMA プラグインは CARMA マイナーと通信します。これは RSE スレッド・プール (RSEDx) 内のユーザー固有のスレッドとしてアクティブになっています。この通信は、 既存の RSE 接続経由で行われます。
  3. クライアント要求が SCM にアクセスすると、CARMA マイナーは TCP/IP ポートにバインドし、ポート番号を始動引数として、ユーザー固有の CARMA サーバーを始動します。 すると CARMA サーバーは、このポートに接続し、このパスをクライアントとの通信に使用します。 ホスト・ベースの SCM は、単一ユーザーのアドレス・スペースを想定してサービスにアクセスすることに注意してください。そのため、CARMA はユーザーごとに CARMA サーバーを始動する必要があります。複数のユーザーをサポートする単一サーバーを作成することはできません。
  4. CARMA サーバーは、要求された SCM をサポートする Repository Access Manager (RAM) をロードします。
  5. この RAM は、特定の SCM との対話の技術的な詳細を処理し、クライアントへの共通インターフェースを提供します。

CARMA 構成ファイル

Developer for z Systems は CARMA サーバーを始動する複数の方式をサポートしています。 それぞれの方式には利点と欠点があります。Developer for z Systems も、複数の Repository Access Manager (RAM) を提供します。これらは実動 RAM とサンプル RAM という 2 つのグループに分けられます。 事前構成されたセットアップとして、 RAM とサーバー始動方式のさまざまな組み合わせが可能です。

すべてのサーバー始動方式は共通の構成ファイル CRASRV.properties を共有します。このファイルは (特に) どの始動方式を使用するかを指定します。

CRASTART

「CRASTART」方式は、CARMA サーバーを RSE 内のサブタスクとして始動します。この方式では、CARMA サーバーを始動するために必要なデータ・セット割り振りとプログラム呼び出しを別個の構成ファイルで定義し、その構成ファイルを使用するので、非常に柔軟なセットアップが可能です。この方式では最良のパフォーマンスが得られ、使用するリソースも最少で済みますが、モジュール CRASTART を LPA 内に配置する必要があります。

RSE は、ロード・モジュール CRASTART を呼び出します。これは crastart*.conf の定義を使用してバッチ TSO と ISPF コマンドを実行するのに有効な環境を作成します。 Developer for z Systems はこの環境を使用して、CARMA サーバー CRASERV を稼働させます。Developer for z Systems は複数の crastart*.conf ファイルを提供します。これらのファイルは、それぞれ特定の RAM 用に事前構成されています。

バッチ実行依頼

「バッチ実行依頼」方式は、ジョブを実行依頼することによって CARMA サーバーを始動します。これが、提供されたサンプル構成ファイルで使用されるデフォルトの方式です。この方式の利点は、ジョブ出力内で CARMA ログに簡単にアクセスできることです。また、開発者自身が保守する開発者ごとのカスタム・サーバー JCL を使用できます。ただし、この方式では、CARMA サーバーを始動した開発者ごとに 1 つずつ JES イニシエーターが使用されます。

RSE は CLIST CRASUB* を呼び出します。これは次に組み込み JCL を実行依頼して、バッチ TSO と ISPF コマンドを実行するのに有効な環境を作成します。 Developer for z Systems はこの環境を使用して、CARMA サーバー CRASERV を稼働させます。Developer for z Systems は、複数の CRASUB* メンバーを提供します。これらのメンバーは、それぞれ特定の RAM 用に事前構成されています。

z/OS UNIX ディレクトリー構造

図 5. z/OS UNIX ディレクトリー構造
z/OS UNIX ディレクトリー構造

図 5 は、Developer for z Systems が使用する z/OS UNIX ディレクトリーの概要を示しています。以下のリストでは、Developer for z Systems が関与する各ディレクトリー、ロケーションの変更方法、および内部のデータを保守する当事者について説明します。

変更の始まり
  • /usr/lpp/ibm/rdz/ は、Developer for z Systems 製品コードのルート・パスです。 実際のロケーションは、rdz.env 構成ファイル (変数 RDZ_HOME) で指定されます。この中のファイルは、SMP/E が保守します。
  • Developer for z Systems は、z/OS Explorer のバイナリー・ディレクトリーである /usr/lpp/ibm/zexpl/bin にファイルを置きます。 実際のロケーションは、z/OS Explorer 構成で指定されます。 この中のファイルは、SMP/E が保守します。
  • /etc/zexpl/ には、z/OS Explorer および Developer for z Systems の構成ファイルが保持されます。 実際のロケーションは、RSED 開始タスク (変数 CNFG) で指定されます。この中のファイルは、システム・プログラマーが保守します。
  • /tmp/ は、レガシー ISPF ゲートウェイが一時データを保管するために使用します。 ここに出力を保管する IVP もあります。この中のファイルは、ISPF および IVP が保守します。このロケーションは、rse.envTMPDIR 変数でカスタマイズできます。これは Java™ ダンプ・ファイルのデフォルト・ロケーションでもあります。このロケーションは、rse.env_CEE_DUMPTARG 変数でカスタマイズできます。
    注: 各クライアントが一時ファイルを作成できるようにするには、/tmp/ に許可ビット・マスク 777 が必要です。
  • /var/zexpl/WORKAREA は、レガシー ISPF ゲートウェイおよび SCLMDT が、z/OS UNIX と MVS ベースのアドレス・スペース間でデータを転送するために使用します。 実際のロケーションは、rse.env (変数 CGI_ISPWORK) で指定されます。この中のファイルは、ISPF および SCLMDT が保守します。
    注: 各クライアントが一時ファイルを作成できるようにするには、/var/zexpl/WORKAREA に許可ビット・マスク 777 が必要です。
    Developer for z Systems は、/var/zexpl/zexpl/logs/$LOGNAME に配置された z/OS Explorer ログ・ファイルにログ・メッセージを書き込みます。 実際のロケーションは、z/OS Explorer 構成で指定されます。 この中のファイルは、z/OS Explorer および Developer for z Systems 製品コードによって保守されます。
  • /var/rdz/sclmdt/CONFIG/ には、汎用の SCLMDT 構成ファイルが保持されます。実際のロケーションは、rdz.env (変数 SCLMDT_CONF_HOME) で指定されます。この中のファイルは、SCLM 管理者が保守します。
  • /var/rdz/sclmdt/CONFIG/PROJECT/ には、SCLMDT プロジェクト構成ファイルが保持されます。実際のロケーションは、rdz.env (変数 SCLMDT_CONF_HOME) で指定されます。この中のファイルは、SCLM 管理者が保守します。
  • /var/rdz/sclmdt/CONFIG/script/ には、他の製品が使用する SCLMDT 関連のスクリプトが保持されます。実際のロケーションはどこにも指定されません。この中のファイルは、SCLM 管理者が保守します。
  • /var/rdz/pushtoclient/ は、クライアントの構成ファイル、クライアント製品の更新情報、およびホスト・ベースのプロジェクト情報 (ホストへの接続時にクライアントに送信される) を保持しています。実際のロケーションは、pushtoclient.properties (変数 pushtoclient.folder) で指定されます。この中のファイルは、Developer for z Systems クライアント管理者が保守します。
  • /var/rdz/pushtoclient/projects/ には、ホスト・ベースのプロジェクト定義ファイルが保持されます。実際のロケーションは、/var/rdz/pushtoclient/keymapping.xml で指定されます。これは、Developer for z Systems クライアント管理者が作成し、保守します。この中のファイルは、プロジェクト・マネージャーまたは主任開発者が保守します。
変更の終わり

セキュリティーに関する考慮事項

変更の始まりDeveloper for z Systems は、追加機能の提供により z/OS Explorer を拡張します。それらの追加機能の中には、他のシステム・コンポーネントおよび製品 (Software Configuration Manager (SCM) など) とやり取りするものがあります。 提供されるそれらの機能をセキュアにするために、Developer for z Systems 固有のセキュリティー定義を使用します。変更の終わり

Developer for z Systems サーバーとサービスが使用するセキュリティー・メカニズムは、それが存在するデータ・セットとファイル・システムがセキュアであることに依存しています。つまり、信頼されたシステム管理者のみがプログラム・ライブラリーと構成ファイルを更新できる状態でなければなりません。

変更の始まりDeveloper for z Systems は、IBM Explorer for z/OS 上に構築されています。 z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『セキュリティーに関する考慮事項』を参照してください。変更の終わり

この章では、以下のトピックについて説明します。

変更の始まり変更の終わり

認証方式

変更の始まり

CARMA 認証

クライアント認証は、クライアントの接続要求の一環として、RSE デーモンによって行われます。 CARMA は、ユーザー固有のスレッドから開始され、ユーザーのセキュリティー環境を継承することで、追加の認証を不要にします。

SCLM Developer Toolkit 認証

クライアント認証は、クライアントの接続要求の一環として、RSE デーモンによって行われます。 SCLMDT は、ユーザー固有のスレッドから開始され、ユーザーのセキュリティー環境を継承することで、追加の認証を不要にします。

変更の終わり

デバッグ・マネージャーでの認証

変更の始まりクライアント認証は、クライアントの接続要求の一環として、RSE デーモンによって行われます。 ユーザーが認証されると、デバッグ・マネージャーへの自動ログオンも含め、その後のすべての認証要求には、自己生成された PassTicket が使用されます。変更の終わり

デバッグ・マネージャーが、RSE から提供されたユーザー ID と PassTicket を妥当性検査するためには、PassTicket を評価できる必要があります。これは、ロード・モジュール AQEZPCM (デフォルトではロード・ライブラリー FEL.SFEKAUTH 内にある) に APF 許可が必要であることを意味します。

クライアント・ベースのデバッグ・エンジンがデバッグ・マネージャーに接続する際には、認証用の有効なセキュリティー・トークンを提示する必要があります。

接続セキュリティー

変更の始まり

Developer for z Systems クライアントとホストの間の通信の大部分を RSE を介して行うことで、z/OS Explorer によって提供される接続セキュリティーを利用します。

変更の始まり一部の Developer for z Systems サービスでは、分離した外部 (クライアント/ホスト) 通信パスを使用します。
  • クライアントの統合デバッガー・エンジンは、ホスト上のデバッグ・マネージャーに接続します。暗号化の詳細は、Application Transparent Transport Layer Security (AT-TLS) ポリシーによって制御されます。
  • z/OS UNIX サブプロジェクトのリモート (ホスト・ベースの) アクションでは、ホスト上の REXEC サーバーまたは SSH サーバーを使用します。SSH 通信は常に暗号化します。
変更の終わり
変更の終わり

統合デバッガーでの暗号化通信

変更の始まりオプションのデバッグ・マネージャーを使用した外部 (クライアント/ホスト) 通信も、暗号化できます。暗号化を行うには、デバッグ・マネージャーで 外部通信用に使用されるポート (デフォルトでは 5335) の Application Transparent TLS (AT-TLS) ポリシーを作成します。 図 6 にサンプル・ポリシーを示してあります。 AT-TLS のセットアップについて詳しくは、AT-TLS のセットアップ を参照してください。
図 6. デバッグ・マネージャーの AT-TLS ポリシー
TTLSRule                      RDz_Debug_Manager
{
 LocalPortRange           5335
 Direction                Inbound
 TTLSGroupActionRef       grp_Production
 TTLSEnvironmentActionRef RDz_Debug_Manager
}
TTLSEnvironmentAction         RDz_Debug_Manager
{
 HandshakeRole Server
 TTLSKeyRingParms
 {
  Keyring dbgmgr.racf     # Keyring must be owned by the Debug Manager
 }
}
TTLSGroupAction               grp_Production
{
 TTLSEnabled              On
 Trace                    2
}
変更の終わり
注: Developer for z Systems クライアント上のデバッグ・エンジンがホスト上のデバッグ・マネージャーと通信するために使用される通信方式は、デフォルトで、Developer for z Systems クライアントが RSE デーモンと通信するために使用する通信方式と関連しています。 これは、RSE で暗号化を有効化すると、デバッグ・マネージャーでも有効化されると想定されることを意味します。 ただし、他のセットアップに対して使用可能な代替のシナリオもあります。

デバッグ・セキュリティー

オプションの統合デバッガーでは、ユーザーは、指定されたセキュリティー・プロファイルに対する十分なアクセス権限を持っている必要があります。ユーザーが必要な権限を持っていない場合、デバッグ・セッションは開始しません。

Developer for z Systems は、表 1 にリストされたプロファイルへのアクセスを確認して、デバッグ権限が付与されているかを判別します。

表 1. デバッグ機能のための SAF 情報
FACILITY プロファイル 必要なアクセス権 結果
AQE.AUTHDEBUG.STDPGM READ ユーザーは問題プログラム状態のアプリケーションをデバッグ可能
AQE.AUTHDEBUG.AUTHPGM READ ユーザーは問題プログラム状態かつ許可済みであるアプリケーションをデバッグ可能
注:
  • プロファイルへのアクセス許可がユーザーに付与されているかどうかが判断できないことをセキュリティー・ソフトウェアが示した場合、Developer for z Systemsそのユーザーにはアクセス許可が付与されていないと仮定します。 この一例として、プロファイルが定義されていない場合があります。
  • 9.1.1 より前のバージョンの Developer for z Systems では、読み取り専用 CICS トランザクションのデバッグを行うために、プロファイル AQE.AUTHDEBUG.WRITEBUFFER に対する UPDATE アクセス権を検査していました。このプロファイルは使用されなくなっており、ホスト・システムにバージョン 9.1.1 以降の Developer for z Systems しかない場合は、削除してもかまいません。
以下のサンプルのセキュリティー定義は、RDZDEBUG グループ内のすべてのユーザーに、問題プログラム状態のアプリケーションのデバッグを許可します。
RDEFINE FACILITY (AQE.AUTHDEBUG.STDPGM) -
  UACC(NONE) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS – DEBUG PROBLEM-STATE')
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) -
  ID(RDZDEBUG) ACCESS(READ)
SETROPTS RACLIST(FACILITY) REFRESH

CICSTS セキュリティー

オプションの統合デバッガーを使用すると CICS トランザクションをデバッグできます。詳しくは、CICS トランザクションのデバッグ を参照してください。

SCLM セキュリティー

SCLM Developer Toolkit サービスは、ビルド、プロモート、およびデプロイ機能に対するオプションのセキュリティー機能を提供します。

SCLM 管理者による機能に対してセキュリティーが有効の場合、保護された機能を呼び出し元ユーザー ID または代理ユーザー ID で実行する権限を確認するために、SAF 呼び出しが行われます。

必要な SCLM セキュリティー定義の詳細については、「SCLM Developer Toolkit 管理者ガイド」(SC88-5664) を参照してください。

セキュリティー定義

変更の始まりサンプル FELRACF ジョブをカスタマイズし、実行依頼してください。これには、Developer for z Systems 用の基本セキュリティー定義を作成する、サンプルの RACF® コマンドが含まれています。サンプル AQERACF ジョブをカスタマイズし、実行依頼してください。これには、統合デバッガー用のセキュリティー定義を作成する、サンプルの RACF コマンドが含まれています。変更の終わり

変更の始まりFELRACF および AQERACF は、FEL.#CUST.JCL に置かれます。ただし、FEL.SFELSAMP(FELSETUP) ジョブをカスタマイズして実行依頼したときに別のロケーションを指定した場合は除きます。詳しくは、 「Rational Developer for z Systems ホスト構成ガイド」の『カスタマイズのセットアップ』を参照してください。変更の終わり

RACF コマンドの詳細については、「RACF コマンド言語解説書」(SA88-8617) を参照してください。

要件およびチェックリスト

セキュリティー・セットアップを完了するために、セキュリティー管理者は表 2 にリストされた値を認識しておく必要があります。これらの値は、前のステップである Rational Developer for z Systems のインストールとカスタマイズで定義されています。
表 2. セキュリティー・セットアップの変動要素
説明
  • デフォルト値
  • 正解の入手先
Developer for z Systems 製品の高位修飾子
  • 変更の始まりFEL変更の終わり
  • SMP/E インストール
 
Developer for z Systems カスタマイズ高位修飾子
  • FEL.#CUST
  • FEL.SFELSAMP(FELSETUP) (「Rational Developer for z Systems ホスト構成ガイド」の『カスタマイズのセットアップ』を参照)
 
統合デバッガー開始タスク名
  • DBGMGR
  • FEL.#CUST.PROCLIB(DBGMGR) (「Rational Developer for z Systems ホスト構成ガイド」の『PROCLIB の変更』を参照)
 
変更の始まり次のリストは、Developer for z Systems の基本的なセキュリティー・セットアップを完了するために必要なアクションの概要を示したものです。以下の各セクションで説明されているように、これらの要件を満たすために、必要なセキュリティー・レベルに応じてさまざまな方式を使用できます。変更の始まり変更の終わり 変更の終わり

セキュリティーの設定およびクラスをアクティブにする

Developer for z Systems では、さまざまなセキュリティー・メカニズムを使用して、クライアントにとってセキュアで制御されたホスト・システム環境を確保します。そのためには、以下のサンプル RACF コマンドで示すように、いくつかのクラスとセキュリティー設定をアクティブにする必要があります。
  • 現行の設定を表示する
    • SETROPTS LIST
  • 統合デバッガーのファシリティー・クラスをアクティブにする
    • SETROPTS GENERIC(FACILITY)
    • SETROPTS CLASSACT(FACILITY) RACLIST(FACILITY)
  • 統合デバッガーの開始タスク定義をアクティブにする
    • SETROPTS GENERIC(STARTED)
    • RDEFINE STARTED ** STDATA(USER(=MEMBER) GROUP(STCGROUP) TRACE(YES))
    • SETROPTS CLASSACT(STARTED) RACLIST(STARTED)
  • 統合デバッガーのプログラム制御をアクティブにする
    • RDEFINE PROGRAM ** ADDMEM('SYS1.CMDLIB'//NOPADCHK) UACC(READ)
    • SETROPTS WHEN(PROGRAM)
      注: すでに PROGRAM クラス内に * プロファイルがある場合は、** プロファイルを作成しないでください。セキュリティー・ソフトウェアによって使用される検索パスが、分かりにくく、複雑なものになります。その場合は、既存の * 定義と新しい ** 定義をマージする必要があります。** プロファイルを使用してください。これについては、「Security Server RACF セキュリティー管理者のガイド」(SA88-8613) に説明があります。
      重要:WHEN PROGRAM」がアクティブの場合、一部の製品 (FTP など) はプログラムで制御することが必要です。このプログラム制御は、実動システム上でアクティブにする前にテストしてください。

Developer for z Systems ユーザーの OMVS セグメントを定義する

Developer for z Systems のユーザーごとに、有効なゼロ以外の z/OS UNIX ユーザー ID (UID)、ホーム・ディレクトリー、およびシェル・コマンドを指定する RACF OMVS セグメントまたは同等のものを定義する必要があります。また、ユーザーのデフォルト・グループも、グループ ID を持つ OMVS セグメントを必要とします。

オプションの統合デバッガーを使用するときには、デバッグするアプリケーションをアクティブ化したユーザー ID、およびそのデフォルト・グループにも、有効な RACF OMVS セグメントまたは同等のものが必要です。

以下のサンプルの RACF コマンドでは、#userid#user-identifier#group-name、および #group-identifier の各プレースホルダーを実際の値に置き換えてください。

  • ALTUSER #userid
    OMVS(UID(#user-identifier) HOME(/u/#userid) PROGRAM(/bin/sh) NOASSIZEMAX)
  • ALTGROUP #group-name OMVS(GID(#group-identifier))

Developer for z Systems 開始タスクの定義

変更の始まり以下のサンプル RACF コマンドは、保護されたユーザー ID (STCDBM) とそれに割り当てられたグループ STCGROUP を使用して、DBGMGR 開始タスクを作成します。変更の終わり

変更の始まり
  • ADDGROUP STCGROUP OMVS(AUTOGID)
    DATA('GROUP WITH OMVS SEGMENT FOR STARTED TASKS')
  • ADDUSER STCDBM DFLTGRP(STCGROUP) NOPASSWORD NAME('DEBUG MANAGER')
    OMVS(AUTOUID HOME(/tmp) PROGRAM(/bin/sh) )
    DATA('Rational Developer for z Systems') 
  • RDEFINE STARTED DBGMGR.* DATA('DEBUG MANAGER')
    STDATA(USER(STCDBM) GROUP(STCGROUP) TRUSTED(NO))
  • SETROPTS RACLIST(STARTED) REFRESH
変更の終わり
注: 変更の始まり
  • NOPASSWORD キーワードを指定することにより、開始タスクのユーザー ID が必ず保護されるようにしてください。
  • デバッグ・マネージャー開始タスク (DBGMGR) は、統合デバッガー・フィーチャーによってのみ使用されます。
変更の終わり

セキュアな z/OS UNIX サーバーとしてデバッグ・マネージャーを定義する

変更の始まり統合デバッガーは、デバッグ・スレッドのセキュリティー環境を作成または削除するため、BPX.SERVER プロファイルに対する UPDATE アクセス権を必要とします。UID(0) を使用してこの要件を回避することはサポートされていません。この許可は、オプションの統合デバッガー・フィーチャーが使用される場合にのみ必要です。変更の終わり

変更の始まり
  • RDEFINE FACILITY BPX.SERVER UACC(NONE)
  • PERMIT BPX.SERVER CLASS(FACILITY) ACCESS(UPDATE) ID(STCDBM)
  • SETROPTS RACLIST(FACILITY) REFRESH
変更の終わり
重要: BPX.SERVER プロファイルを定義すると、z/OS UNIX 全体が UNIX レベルのセキュリティーから、より安全な z/OS UNIX レベルのセキュリティーに切り替わります。この切り替えによって、他の z/OS UNIX アプリケーションと操作が影響を受ける場合もあります。セキュリティーは、実動システム上でアクティブにする前にテストしてください。さまざまなセキュリティー・レベルの詳細については、「UNIX System Services 計画」(GA88-8639) を参照してください。

デバッグ・マネージャーの MVS プログラム制御ライブラリーを定義する

変更の始まりBPX.SERVER に対する権限を持つサーバーは、クリーンなプログラム制御環境で実行する必要があります。この要件は、デバッグ・マネージャーによって呼び出されるすべてのプログラムも、プログラムで制御する必要があることを意味します。MVS ロード・ライブラリーの場合、プログラム制御はセキュリティー・ソフトウェアによって管理されます。変更の終わり

変更の始まりデバッグ・マネージャーは、システム・ライブラリー、言語環境プログラム (Language Environment) のランタイム、および Developer for z Systems の (ISP.SISPLOAD) ロード・ライブラリーを使用します。
  • RALTER PROGRAM ** UACC(READ) ADDMEM('SYS1.LINKLIB'//NOPADCHK)
  • RALTER PROGRAM ** UACC(READ) ADDMEM('SYS1.CSSLIB'//NOPADCHK)
  • RALTER PROGRAM ** UACC(READ) ADDMEM('CEE.SCEERUN'//NOPADCHK)
  • RALTER PROGRAM ** UACC(READ) ADDMEM('CEE.SCEERUN2'//NOPADCHK)
  • 変更の始まりRALTER PROGRAM ** UACC(READ) ADDMEM('FEL.SFELAUTH'//NOPADCHK)変更の終わり
  • SETROPTS WHEN(PROGRAM) REFRESH
変更の終わり
注: すでに PROGRAM クラス内に * プロファイルがある場合は、** プロファイルを使用しないでください。プロファイルは、セキュリティー・ソフトウェアによって使用される検索パスが、分かりにくく、複雑なものになります。その場合は、既存の * 定義と新しい ** 定義をマージする必要があります。** プロファイルを使用してください。これについては、「Security Server RACF セキュリティー管理者のガイド」(SA88-8613) に説明があります。

変更の始まりオプションのサービスを使用できるようにするには、以下の前提条件の追加ライブラリーがプログラムで制御されるようにする必要があります。このリストには、Developer for z Systems がやり取りする製品 (IBM Explorer for z/OS など) に固有のデータ・セットは含まれていません。変更の終わり

変更の始まり
  • 代替 REXX ランタイム・ライブラリー (SCLM Developer Toolkit 用)
    • REXX.*.SEAGALT
変更の終わり
注: LPA 配置用に設計されたライブラリーは、LINKLIST または STEPLIB によってアクセスされる場合、追加のプログラム制御権限も必要とします。 この資料では、以下の LPA ライブラリーの使用法について説明します。 変更の始まり
  • REXX ランタイム・ライブラリー (SCLM Developer Toolkit 用)
    • REXX.*.SEAGLPA
  • Developer for z Systems (CARMA 用)
    • FEL.SFELLPA
変更の終わり

RSE の PassTicket サポートを定義する

クライアントのパスワードまたは、X.509 証明書などのその他の識別手段は、接続時に ID を検査するためにのみ使用されます。その後は、スレッド・セキュリティーを維持するために PassTicket が使用されます。このステップは、クライアントが接続可能になるために必要です。

PassTicket は、有効期間が約 10 分のシステム生成パスワードです。パスチケットは、秘密鍵に基づいて生成されます。この鍵は 64 ビット番号 (16 個の 16 進文字) です。 以下のサンプル RACF コマンドでは、key16 プレースホルダーを、0 から 9 までと A から F までの文字を持つユーザー指定の 16 文字の 16 進数ストリングに置き換えてください。
  • RDEFINE PTKTDATA FEKAPPL UACC(NONE) SSIGNON(KEYMASKED(key16)) 
    APPLDATA('NO REPLAY PROTECTION – DO NOT CHANGE') 
    DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
  • RDEFINE PTKTDATA IRRPTAUTH.FEKAPPL.* UACC(NONE) 
    DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
  • PERMIT IRRPTAUTH.FEKAPPL.* CLASS(PTKTDATA) ACCESS(UPDATE) ID(STCRSE)
  • SETROPTS RACLIST(PTKTDATA) REFRESH 

RSE は、FEKAPPL 以外のアプリケーション ID の使用をサポートしています。これをアクティブにするには、IBM Rational Developer for z Systems ホスト構成ガイド」の『_RSE_JAVAOPTS での追加 Java 始動パラメーターの定義』の説明に従って、rdz.env 内の「APPLID=FEKAPPL」オプションをコメント解除してカスタマイズします。PTKTDATA クラス定義は、RSE が使用する実際のアプリケーション ID と一致している必要があります。

OMVSAPPL はアプリケーション ID として使用しないでください。これは、大部分の z/OS UNIX アプリケーションの秘密鍵を公開するからです。また、デフォルトの MVS アプリケーション ID (MVS の直後にシステムの SMF ID を続けたもの) も使用しないでください。これは、大部分の MVS アプリケーション (ユーザー・バッチ・ジョブを含む) の秘密鍵を公開するからです。
注:
  • PTKTDATA クラスがすでに定義されている場合は、上記のリストにあるプロファイルを作成する前に、それが総称クラスとして定義されていることを確認してください。PTKTDATA クラス内の総称文字のサポートは、PassTicket に Java インターフェースが導入された z/OS リリース 1.7 からの新機能です。
  • RSE が PassTicket を生成できるユーザー ID を制限するには、IRRPTAUTH.FEKAPPL.* 定義の中のワイルドカード (*) を、有効なユーザー ID マスクで置き換えます。
  • RACF の設定によっては、プロファイルを定義しているユーザーが、そのプロファイルのアクセス・リストにも入っている場合があります。PTKTDATA プロファイルのこの許可を削除してください。
  • RSE が提示した PassTicket を JES ジョブ・モニターが評価できるようにするには、JES ジョブ・モニターと RSE が、同じアプリケーション ID を持っている必要があります。JES ジョブ・モニターの場合、アプリケーション ID は FEJJCNFG 構成ファイルで APPLID ディレクティブによって設定されます。
  • システムに暗号製品がインストールされており、使用可能になっている場合、保護されたサインオン・アプリケーション鍵を暗号化して、保護を強化することができます。 それを行うには、KEYMASKED ではなく KEYENCRYPTED キーワードを使用します。詳しくは、「Security Server RACF セキュリティー管理者のガイド」(SA88-8613) を参照してください。
重要: パスチケットが正しくセットアップされていないと、クライアント接続要求は失敗します。

RSE 用の z/OS UNIX ファイル・アクセス許可の定義

MODIFY LOGS オペレーター・コマンドは、RSED 開始タスクのユーザー ID を使用して、ホスト・ログおよびセットアップ情報を収集します。 また、デフォルトで、セキュア・ファイル・アクセス許可 (所有者のみがアクセス権を保持する) を使用して、ユーザー・ログ・ファイルが作成されます。セキュア・ユーザー・ログ・ファイルを収集できるようにするには、RSED 開始タスクのユーザー ID が、それらのファイルを読み取る許可を持っていなければなりません。

MODIFY LOGS オペレーター・コマンドの OWNER 引数を指定すると、指定されたユーザー ID が、収集されたデータの所有者になります。所有権を変更するには、RSED 開始タスクのユーザー ID が、CHOWN z/OS UNIX サービスを使用する許可を持っていなければなりません。

  • RDEFINE UNIXPRIV SUPERUSER.FILESYS UACC(NONE) DATA('OVERRIDE UNIX FILE ACCESS RESTRICTIONS')
  • RDEFINE UNIXPRIV SUPERUSER.FILESYS.CHOWN UACC(NONE) DATA('OVERRIDE UNIX CHANGE OWNER RESTRICTIONS')
  • PERMIT SUPERUSER.FILESYS CLASS(UNIXPRIV) ACCESS(READ) ID(STCRSE)
  • PERMIT SUPERUSER.FILESYS.CHOWN CLASS(UNIXPRIV) ACCESS(READ) ID(STCRSE)
  • SETROPTS RACLIST(UNIXPRIV) REFRESH

SUPERUSER.FILESYS.ACLOVERRIDE プロファイルが定義されている場合、ACL (アクセス制御リスト) で定義されているアクセス許可は、SUPERUSER.FILESYS を介して付与された許可よりも優先される点に注意してください。 ACL 定義をバイパスする場合、RSED 開始タスクのユーザー ID には、SUPERUSER.FILESYS.ACLOVERRIDE プロファイルに対する READ アクセス権が必要になります。

RSE のアプリケーション保護の定義

クライアントがログオンするときに、RSE デーモンはユーザーがアプリケーションの使用を許可されていることを検証します。

  • RDEFINE APPL FEKAPPL UACC(READ) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
  • SETROPTS RACLIST(APPL) REFRESH
注:
  • RSE の PassTicket サポートを定義するで詳しく説明するように、RSE は FEKAPPL 以外のアプリケーション ID の使用をサポートしています。APPL クラス定義は、RSE が使用する実際のアプリケーション ID と一致している必要があります。
  • アプリケーション ID が APPL クラスに定義されていない場合、クライアント接続要求は成功します。
  • アプリケーション ID が定義されていて、ユーザーがプロファイルに対する READ 権限を欠いている場合にのみ、クライアント接続要求は失敗します。

RSE の z/OS UNIX プログラム制御ファイルを定義する

BPX.SERVER に対する権限を持つサーバーは、クリーンなプログラム制御環境で実行する必要があります。この要件は、RSE によって呼び出されるすべてのプログラムも、プログラムで制御する必要があることを意味します。z/OS UNIX ファイルの場合、プログラム制御は extattr コマンドによって管理されます。このコマンドを実行するには、 FACILITY クラス内の BPX.FILEATTR.PROGCTL に対する READ アクセス権を持つか、または UID(0) であることが必要です。

RSE サーバーは、RACF の Java 共用ライブラリー (/usr/lib/libIRRRacf*.so) を使用します。
  • extattr +p /usr/lib/libIRRRacf*.so
注:
  • z/OS 1.9 以降、/usr/lib/libIRRRacf*.so は SMP/E RACF のインストール中に、プログラムによる制御モードでインストールされます。
  • z/OS 1.10 以降、/usr/lib/libIRRRacf*.so はベース z/OS に付属の SAF の一部であるので、RACF 以外のお客様にもご利用いただけます。
  • RACF 以外のセキュリティー製品を使用している場合は、セットアップが異なることがあります。詳しくは、ご使用のセキュリティー製品の資料を参照してください。
  • Developer for z Systems の SMP/E インストールは、内部 RSE プログラムのプログラム制御ビットを設定します。
  • プログラム制御ビットの現在の状況を表示するには、z/OS UNIX コマンド ls -Eog を使用します。2 番目のストリング内に英字の p が表示される場合、そのファイルはプログラムで制御されます。
    $ ls -Eog /usr/lib/libIRRRacf*.so
    -rwxr-xr-x  aps-  2     69632 Oct  5  2007 /usr/lib/libIRRRacf.so
    -rwxr-xr-x  aps-  2     69632 Oct  5  2007 /usr/lib/libIRRRacf64.so                                 

JES コマンド・セキュリティーを定義する

JES ジョブ・モニターは、ユーザーが要求したすべての JES オペレーター・コマンドを、拡張 MCS (EMCS) コンソールを通じて発行します。このコンソールの名前は、Rational Developer for z Systems ホスト構成ガイド」の『FEJJCNFG、JES ジョブ・モニター構成ファイル』にあるように、CONSOLE_NAME ディレクティブによって制御されます。

以下のサンプル RACF コマンドは、Developer for z Systems ユーザーに、JES コマンドの限定セット (保留、保留解除、キャンセル、およびパージ) に対する条件付きアクセス権を与えます。ユーザーは、JES ジョブ・モニターによってコマンドを発行した場合にのみ、実行権限を持ちます。#console プレースホルダーは、実際のコンソール名に置き換えてください。
  • RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ) 
    DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
  • RDEFINE OPERCMDS JES%.** UACC(NONE)
  • PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) WHEN(CONSOLE(JMON)) ID(*)
  • SETROPTS RACLIST(OPERCMDS) REFRESH
注:
  • コンソールの使用は、MVS.MCSOPER.#console プロファイルが定義されていない場合に許可されます。
  • WHEN(CONSOLE(JMON)) が機能するためには、CONSOLE クラスがアクティブでなければなりませんが、CONSOLE クラス内に EMCS コンソールがあるかどうかについての実際のプロファイル検査はありません。
  • WHEN(CONSOLE(JMON)) 文節内で、JMON を実際のコンソール名に置き換えないでください。JMON キーワードは、コンソール名ではなく、入り口点アプリケーションを表しています。
重要: ご使用のセキュリティー・ソフトウェアで汎用アクセス NONE を使用して JES コマンドを定義すると、他のアプリケーションや操作に影響が出る場合があります。セキュリティーは、実動システム上でアクティブにする前にテストしてください。

表 3 および表 4 は、JES2 および JES3 について発行されたオペレーター・コマンドと、それらを保護するために使用できる個別セキュリティー・プロファイルを示しています。

表 3. JES2 ジョブ・モニターのオペレーター・コマンド
アクション コマンド OPERCMDS プロファイル 必要なアクセス権
保留 $Hx(jobid)

x = {J、S、または T}

jesname.MODIFYHOLD.BAT
jesname.MODIFYHOLD.STC
jesname.MODIFYHOLD.TSU
UPDATE
保留解除 $Ax(jobid)

x = {J、S、または T}

jesname.MODIFYRELEASE.BAT
jesname.MODIFYRELEASE.STC
jesname.MODIFYRELEASE.TSU
UPDATE
キャンセル $Cx(jobid)

x = {J、S、または T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
パージ $Cx(jobid),P

x = {J、S、または T}

jesname.CANCEL.BAT
jesname.CANCEL.STC
jesname.CANCEL.TSU
UPDATE
表 4. JES3 ジョブ・モニターのオペレーター・コマンド
アクション コマンド OPERCMDS プロファイル 必要なアクセス権
保留 *F,J=jobid,H
jesname.MODIFY.JOB
UPDATE
保留解除 *F,J=jobid,R
jesname.MODIFY.JOB
UPDATE
キャンセル *F,J=jobid,C
jesname.MODIFY.JOB
UPDATE
パージ *F,J=jobid,C
jesname.MODIFY.JOB
UPDATE
注:
  • 「保留」、「保留解除」、「キャンセル」、「パージ」の各 JES オペレーター・コマンドと「JCL の表示」コマンドは、クライアント・ユーザー ID が所有しているスプール・ファイルに対してのみ実行できます。ただし、JES ジョブ・モニター構成ファイル内で、LIMIT_COMMANDS= が値 LIMITED または NOLIMIT に指定されている場合は除きます。詳しくは、「ホスト構成リファレンス」(SA88-4226)『ジョブに対するアクション - ターゲットの制限』を参照してください。
  • ユーザーは、JES ジョブ・モニター構成ファイル内で LIMIT_VIEW=USERID が定義されている場合を除き、すべてのスプール・ファイルを参照できます。詳しくは、「ホスト構成リファレンス」 (SA88-4226)『スプール・ファイルへのアクセス』を参照してください。
  • ユーザーにこれらのオペレーター・コマンドの許可がない場合でも、これらのリソースを保護できるプロファイル (JESINPUT、JESJOBS、および JESSPOOL クラス内のプロファイルなど) に対して十分な権限を持っていれば、JES ジョブ・モニターを通じてジョブを実行依頼し、ジョブ出力を読み取ることができます。

TSO セッションから JMON コンソールを作成することによって JES ジョブ・モニター・サーバーの ID を装うことは、セキュリティー・ソフトウェアによって防止されます。コンソールを作成できても、例えば、JES ジョブ・モニターと TSO とでは、エントリー・ポイントが異なります。この資料で説明されているとおりにセキュリティーがセットアップされており、ユーザーが他の手段によって JES コマンドに対する権限を持っていない場合は、そのコンソールから発行された JES コマンドはセキュリティー検査で不合格になります。

統合デバッガーへのアクセスの定義

ユーザーが問題プログラム状態のプログラムのデバッグに統合デバッガーを使用できるようになるには、リストされている AQE.AUTHDEBUG.* プロファイルのいずれかに対する READ アクセス権が必要です。AQE.AUTHDEBUG.AUTHPGM プロファイルへのアクセスが許可されているユーザーは、APF 許可済みのプログラムをデバッグすることもできます。#apf プレースホルダーは、許可済みプログラムのデバッグが許可されているユーザーの、有効なユーザー ID または RACF グループ名に置き換えてください。

  • RDEFINE FACILITY AQE.AUTHDEBUG.STDPGM UACC(NONE)        
  • PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) ACCESS(READ) ID(*)
  • RDEFINE FACILITY AQE.AUTHDEBUG.AUTHPGM UACC(NONE)
  • PERMIT AQE.AUTHDEBUG.AUTHPGM CLASS(FACILITY) ACCESS(READ) ID(#apf)        
  • SETROPTS RACLIST(FACILITY) REFRESH                       
注: バージョン 9.1.1 より前のバージョンの IBM Rational Developer for System z® では、現在使用されていない別の FACILITY クラス・プロファイル AQE.AUTHDEBUG.WRITEBUFFER を使用していました。ご使用のホスト・システムにバージョン 9.1.1 以上の IBM Rational Developer for System z しかない場合、このプロファイルは削除できます。

データ・セット・プロファイルを定義する

ほとんどの Developer for z Systems データ・セットの場合、ユーザーには READ アクセス権限、システム・プログラマーには ALTER アクセス権限で十分です。 #sysprog プレースホルダーは、有効なユーザー ID または RACF グループ名に置き換えてください。また、正しいデータ・セット名については、製品をインストールおよび構成したシステム・プログラマーに問い合わせてください。FEK はインストール時に使用されたデフォルトの高位修飾子で、FEL.#CUST はカスタマイズ・プロセスで作成されたデータ・セットのデフォルトの高位修飾子です。

  • 変更の始まり
    ADDGROUP (FEL) OWNER(IBMUSER) SUPGROUP(SYS1) 
    DATA('IBM Rational Developer for z Systems - HLQ STUB')
                           
    変更の終わり
  • 変更の始まり
    ADDSD  'FEL.*.**' UACC(READ) 
    DATA('IBM Rational Developer for z Systems')
    変更の終わり
  • 変更の始まり
    PERMIT 'FEL.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
    変更の終わり
  • SETROPTS GENERIC(DATASET) REFRESH
注:
  • 変更の始まりこのデータ・セットは APF 許可されているため、更新に対して FEL.SFELAUTH を保護します。変更の終わり
  • この資料内および FELRACF ジョブ内のサンプル・コマンドは、Enhanced Generic Naming (EGN) がアクティブであることを想定しています。EGN がアクティブであるとき、** 修飾子を使用して、DATASET クラス内の任意の数の修飾子を表すことができます。使用しているシステムで EGN がアクティブでない場合は、** を * に置き換えてください。EGN の詳細については、「Security Server RACF セキュリティー管理者のガイド」(SA88-8613) を参照してください。
変更の始まり一部の Developer for z Systems コンポーネントには、追加のセキュリティー・データ・セット・プロファイルが必要です。#sysprog および #ram-developer の各プレースホルダーは、有効なユーザー ID または RACF グループ名に置き換えてください。
  • SCLM Developer Toolkit のロング/ショート・ネーム変換を使用している場合は、ユーザーにマッピング VSAM の FEL.#CUST.LSTRANS.FILE に対する UPDATE アクセス権が必要です。
    • 変更の始まり
      ADDSD  'FEL.#CUST.LSTRANS.*.**' UACC(UPDATE)
       DATA('IBM Rational Developer for z Systems - SCLMDT')
                   
      変更の終わり
    • PERMIT 'FEL.#CUST.LSTRANS.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
    • SETROPTS GENERIC(DATASET) REFRESH
  • CARMA RAM (Repository Access Manager) 開発者には、CARMA VSAM である FEL.#CUST.CRA* に対する UPDATE アクセス権が必要です。
    • ADDSD  'FEL.#CUST.CRA*.**' UACC(READ) 
      DATA('IBM Rational Developer for z Systems - CARMA')
                              
    • PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
    • PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(UPDATE) ID(#ram-developer)
    • SETROPTS GENERIC(DATASET) REFRESH
変更の終わり

セキュリティー設定の検査

セキュリティーに関連するカスタマイズの結果を表示するには、以下のサンプル・コマンドを使用します。

変更の始まり
  • セキュリティーの設定とクラス
    • SETROPTS LIST
  • 開始タスク
    • LISTGRP STCGROUP OMVS
    • LISTUSER STCDBM OMVS
    • RLIST STARTED DBGMGR.* ALL STDATA
  • セキュアな z/OS UNIX サーバーとしてのデバッグ・マネージャー
    • RLIST FACILITY BPX.SERVER ALL
  • デバッグ・マネージャーの MVS プログラム制御ライブラリー
    • RLIST PROGRAM ** ALL
  • 統合デバッガーのアクセス
    • RLIST FACILITY AQE.** ALL
  • データ・セット・プロファイル
    • LISTGRP FEL
    • LISTDSD PREFIX(FEL) ALL
変更の終わり

TCP/IP に関する考慮事項

Developer for z Systems では、TCP/IP を使用して、非メインフレーム・ワークステーションのユーザーに、メインフレームからアクセスすることができます。 また、各種コンポーネントと他の製品との通信にも TCP/IP が使用されます。

この章では、以下のトピックについて説明します。変更の始まり変更の終わり

変更の始まりDeveloper for z Systems は、IBM Explorer for z/OS 上に構築されています。 z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『TCP/IP に関する考慮事項』を参照してください。変更の終わり

TCP/IP ポート

図 7. TCP/IP ポート
TCP/IP ポート

変更の始まり図 7 は、z/OS Explorer および Developer for z Systems で使用できる TCP/IP ポートを示しています。 矢印は、バインドの実行元 (矢印の先) と接続元を示しています。変更の終わり

外部通信

z/OS ホストを保護しているファイアウォールに対して、以下のポートを定義してください。これらのポートは、クライアント/ホスト通信 (tcp プロトコルを使用) に使用されるためです。変更の始まり
  • 変更の始まり(z/OS Explorer) クライアント/ホスト通信セットアップ用の RSE デーモン、デフォルト・ポート 4035。 このポートは、rse.env 構成ファイルで設定できます。このポート上の通信は、暗号化できます。変更の終わり
  • 変更の始まり(z/OS Explorer) クライアント/ホスト通信用の RSE サーバー。デフォルトでは、使用可能な任意のポートを使用できますが、これは rse.env 内の _RSE_PORTRANGE 定義によって、指定する範囲に制限できます。_RSE_PORTRANGE 用のデフォルトのポート範囲は 8108-8118 (11 ポート) です。このポート上の通信は、暗号化できます。変更の終わり
  • 変更の始まり統合デバッガー・サービスのデバッグ・マネージャー、デフォルト・ポート 5335。このポートは DBGMGR 開始タスク JCL で設定できます。このポート上の通信は、暗号化できます。変更の終わり
  • z/OS UNIX サブプロジェクトのリモート (ホスト・ベースの) アクション用の以下のいずれかの INETD サービス。
    • REXEC (z/OS UNIX バージョン)、デフォルト・ポート 512
    • 変更の始まりSSH (z/OS UNIX バージョン)、デフォルト・ポート 22。このポート上の通信は、暗号化されます。変更の終わり
  • 変更の始まり(z/OS Explorer) Host Connect Emulator 用の TN3270 Telnet サービス、デフォルト・ポート 23。通信は、暗号化できます (デフォルト・ポート 992)。TN3270 Telnet サービスに割り当てられるデフォルト・ポートは、ユーザーが暗号化の使用を選択するかどうかによって決まります。変更の終わり
  • 変更の始まりホスト・ベースのコード・カバレッジに対し、Developer for z Systems クライアントの統合デバッガー・エンジンに接続するように指示できます。 このポート上の通信は、暗号化できます。このシナリオでは、z/OS ベースのコード・カバレッジ・コレクターは TCP/IP のクライアントで、 ユーザーのパーソナル・コンピューター上の統合デバッガー・エンジンは TCP/IP のサーバーである点に留意してください。デフォルトでは、同じホスト上の IBM Debug Tool でローカルで処理するように設定されています。変更の終わり
変更の終わり
注: 通常、ホストへの接続に使用する TCP/IP アドレスはクライアントが指定します。ただし、デバッグ・セッションが正しいホストと通信することを保証するため、デバッグ・マネージャーは使用しなければならない TCP/IP アドレスをクライアントに指示します。

内部通信

いくつかの Developer for z Systems ホスト・サービスは、別個のスレッドまたはアドレス・スペースで実行され、システムのループバック・アドレスを使用して、TCP/IP ソケットを通信メカニズムとして使用します。 これらすべてのサービスは、クライアントとの通信に RSE を使用し、データ・ストリームをホストだけに限定します。一部のサービスでは、使用可能な任意のポートが使用され、それ以外のサービスでは、使用されるポートまたはポート範囲をシステム・プログラマーが選択できます。
  • JES 関連サービスの JES ジョブ・モニター、デフォルト・ポート 6715。 このポートは、FEJJCNFG 構成メンバーで設定可能であり、rse.env 構成ファイルで繰り返されます。
  • (オプション) デフォルトでは、CARMA 通信は一時ポートを使用しますが、ポート範囲は CRASRV.properties 構成ファイルの中で設定できます。
  • (オプション) デバッグ関連サービスのデバッグ・マネージャー、デフォルト・ポート 5336。このポートは DBGMGR 開始タスク JCL で設定できます。
  • ホスト・ベースのコード・カバレッジは、一時ポートを割り振って、IBM Debug Tool for z/OS と通信して、コード・カバレッジ・レポートに必要なデータを送信できるようにするバッチ・ジョブです。

TCP/IP ポートの予約

変更の始まりz/OS Explorer および Developer for z Systems が使用するポートを予約するのに PROFILE.TCPIP 内の PORT ステートメントまたは PORTRANGE ステートメントを使用する場合、RSE スレッド・プール内でアクティブなスレッドによって多数のバインドが行われることに注意してください。RSE スレッド・プールのジョブ名は、RSEDx です。ここで、RSED は RSE 開始タスクの名前で、x はランダムな 1 桁の数値です。したがって、定義内にワイルドカードが必要です。変更の終わり

変更の始まり
PORT      4035     TCP RSED   ; z/OS Explorer  – RSE daemon
PORT      6715     TCP JMON   ; z/OS Explorer  – JES job monitor
PORT      5335     TCP DBGMGR ;  Developer for z Systems  – Integrated debugger
PORT      5336     TCP DBGMGR ;  Developer for x Systems  – Integrated debugger
PORTRange 8108 11  TCP RSED*  ;  z/OS Explorer  – RSE_PORTRANGE
;PORTRange 5227 100 TCP RSED* ;  Developer for z Systems  - CARMA
変更の終わり

CARMA と TCP/IP

CARMA と TCP/IP ポート

CARMA (Common Access Repository Manager) は、ホスト・ベースの Software Configuration Manager (SCM) (CA Endevor® SCM など) にアクセスするために使用されます。ほとんどの場合、サーバーは RSE デーモンの場合と同様に、ポートにバインドし、接続要求を listen します。しかし CARMA は別の方法を使用します。これは、クライアントが接続要求を開始した時点で CARMA サーバーがまだアクティブでないためです。

クライアントから接続要求が送信されると、RSE スレッド・プール内でユーザー・スレッドとしてアクティブとなっている CARMA マイナーは、一時ポートを要求するか、CRASRV.properties 構成ファイルに指定されている範囲から空いているポートを見つけ、そのポートにバインドします。次にこのマイナーは、CARMA サーバーを始動してポート番号を渡します。これによって、サーバーは接続先のポートを認識します。サーバーが接続されると、クライアントはサーバーに要求を送信して結果を受信できるようになります。

TCP/IP の観点では、RSE (CARMA マイナー経由) がポートにバインドするサーバーであり、CARMA サーバーがそのポートに接続するクライアントです。

CARMA が使用するポート範囲を予約するのに PROFILE.TCPIP 内の PORT ステートメントまたは PORTRANGE ステートメントを使用する場合、CARMA マイナーが RSE スレッド・プール内でアクティブになっていることに注意してください。RSE スレッド・プールのジョブ名は、RSEDx です。ここで、RSED は RSE 開始タスクの名前で、x はランダムな 1 桁の数値です。したがって、定義内にワイルドカードが必要です。

PORTRange 5227 100 RSED*          ; DEVELOPER FOR Z SYSTEMS - CARMA
注: RSE アドレス・スペース用に CARMA ポートを予約している場合、CARMA IVP、fekfivpc は失敗します。IVP は RSE のアドレス・スペースではなく、IVP を実行しているユーザーのアドレス・スペースで実行され、TCP/IP はバインド要求に失敗するため、これは当然予想されることです

CARMA とスタックのアフィニティー

CARMA (Common Access Repository Manager) は、ホスト・ベースの Software Configuration Manager (SCM) (CA Endevor® SCM など) にアクセスするために使用されます。これを行うために、CARMA はユーザー固有のサーバーを始動します。したがって、スタックのアフィニティーを強制的に設定するために追加の構成が必要になります。

変更の始まりz/OS Explorer および Developer for z Systems の開始タスクと同様に、CARMA サーバーのスタックのアフィニティーは、_BPXK_SETIBMOPT_TRANSPORT 変数を使用して設定されます。この変数は言語環境プログラム (LE (Language Environment)) に渡される必要があります。これは、アクティブな crastart*.conf または CRASUB* 構成ファイル内の始動コマンドを調整することにより実行可能です。変更の終わり

注:
  • 始動コマンドを保持する構成ファイルの正確な名前は、CARMA を構成したシステム・プログラマーによるさまざまな選択によって異なります。これについて詳しくは、「ホスト構成ガイド」 (SC43-2913) の『第 3 章 (オプション) 共通アクセス・リポジトリー・マネージャー (CARMA)』を参照してください。
  • _BPXK_SETIBMOPT_TRANSPORT は、使用される TCP/IP スタックの名前を指定します。この名前は、関連する TCPIP.DATA 内の TCPIPJOBNAME ステートメントで定義されています。
  • SYSTCPD DD ステートメントのコーディングでは、要求されたスタックのアフィニティーは設定されません。
  • デフォルトでは、CARMA は通常の TCP/IP スタックを使用しません。 CARMA は、CARMA マイナーと CARMA サーバーの間の通信にループバック・アドレスを使用します。これによって、セキュリティーが向上し (ローカル・プロセスだけがループバック・アドレスにアクセスできるようにする)、CARMA 通信にスタック・アフィニティーを追加する必要がなくなる可能性が高くなります。

crastart*.conf

以下の部分を置き換えます。
... PARM(&CRAPRM1. &CRAPRM2.)
これを以下と置き換えてください (ここで、TCPIP は、希望する TCP/IP スタックを表します)。
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &CRAPRM1. &CRAPRM2.)
注: CRASTART は、行継続をサポートしないが、受け入れられる行の長さに制限はありません。

CRASUB*

以下の部分を置き換えます。
... PARM(&PORT &TIMEOUT)
これを以下と置き換えてください (ここで、TCPIP は、希望する TCP/IP スタックを表します)。
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &PORT &TIMEOUT)
注: ジョブ実行依頼では、行の長さが 80 文字に制限されます。 これより長い行はブランク ( ) で改行し、1 行目の最後に正符号 (+) を使用して、2 つの行を連結します。

WLM に関する考慮事項

従来の z/OS アプリケーションとは異なり、Rational Developer for z Systems は、ワークロード・マネージャー (WLM) で容易に識別できる一体構造のアプリケーションではありません。Developer for z Systems は、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。Developer for z Systems についてで説明しているように、これらのサービスの一部は異なるアドレス・スペースでアクティブとなるため、WLM 分類も異なることになります。

この章では、以下のトピックについて説明します。

変更の始まりDeveloper for z Systems は、IBM Explorer for z/OS 上に構築されています。 z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『WLM に関する考慮事項』を参照してください。変更の終わり

ワークロード分類

図 8. WLM 分類
WLM 分類

変更の始まり図 8 は、z/OS Explorer および Developer for z Systems のワークロードが WLM に提示されるときに経由するサブシステムの基本的概要を示しています。変更の終わり

変更の始まりRSE デーモン (RSED)、デバッグ・マネージャー (DBGMGR)、および JES ジョブ・モニター (JMON) は、z/OS Explorer および Developer for z Systems の開始タスク (または長期実行バッチ・ジョブ) であり、それぞれが専用のアドレス・スペースを使用します。変更の終わり

変更の始まりRSE デーモンは RSE スレッド・プール・サーバー (不定数のクライアントをサポート) ごとに子プロセスを spawn します。各スレッド・プールは個別のアドレス・スペースでアクティブになります (z/OS UNIX イニシエーター BPXAS を使用)。これらは spawn されたプロセスであるため、開始タスクの分類規則ではなく、WLM OMVS の分類規則を使用して分類されます。変更の終わり

ユーザーが実行するアクションによっては、スレッド・プール内でアクティブなクライアントが他のアドレス・スペースを多数作成する可能性があります。Developer for z Systems の構成によっては、TSO コマンド・サービス (TSO cmd) や CARMA などの一部のワークロードが、異なるサブシステムで実行される可能性があります。

図 8 に示されているアドレス・スペースは、表示の対象となるほど長くシステムに残りますが、z/OS UNIX の設計仕様のために、存続期間の短い一時的なアドレス・スペースもいくつか存在することに注意してください。これらの一時的なアドレス・スペースは、OMVS サブシステム内でアクティブになります。

RSE スレッド・プールは RSE デーモンと同じユーザー ID および同様のジョブ名を使用しますが、スレッド・プールによって開始されるアドレス・スペースはいずれも、アクションを要求しているクライアントのユーザー ID によって所有されることに注意してください。このクライアント・ユーザー ID は、スレッド・プールによって開始されるすべての OMVS ベース・アドレス・スペースのジョブ名 (の一部) としても使用されます。

変更の始まりDeveloper for z Systems が使用するその他のサービス (z/OS UNIX REXEC (USS ビルド) など) によって、さらにアドレス・スペースが作成されます。変更の終わり

分類規則

WLM は、分類規則を使用して、システムに入ってきた作業をサービス・クラスにマッピングします。この分類は、作業修飾子に基づいています。最初の (必須) 修飾子は、作業要求を受け取るサブシステム・タイプです。表 5 に、Developer for z Systems ワークロードを受け取る可能性があるサブシステム・タイプを示します。

表 5. WLM エントリー・ポイント・サブシステム
サブシステム・タイプ 作業の説明
ASCH 作業要求には、IBM 提供の APPC/MVS トランザクション・スケジューラー ASCH によってスケジュールされるすべての APPC トランザクション・プログラムが含まれます。
JES 作業要求には、JES2 または JES3 が開始するすべてのジョブが含まれます。
OMVS 作業要求には、z/OS UNIX システム・サービスで fork された子のアドレス・スペースで処理される作業が含まれます。
STC 作業要求には、START および MOUNT コマンドによって開始されるすべての作業が含まれます。STC には、システム・コンポーネント・アドレス・スペースも含まれます。

表 6 に、ワークロードを特定のサービス・クラスに割り当てるために使用できる追加の修飾子を示します。リストされている作業修飾子の詳細については、「MVS 計画: ワークロード管理」(SA88-8574) を参照してください。

表 6. WLM 作業修飾子
    ASCH JES OMVS STC
AI アカウント情報 x x x x
LU LU 名 (*)        
PF 実行 (*)   x   x
PRI 優先順位   x    
SE スケジューリング環境名   x    
SSC サブシステム・コレクション名   x    
SI サブシステム・インスタンス (*)   x    
SPM サブシステム・パラメーター       x
PX シスプレックス名 x x x x
SY システム名 (*) x   x x
TC トランザクション/ジョブ・クラス (*) x x    
TN トランザクション/ジョブ名 (*) x x x x
UI ユーザー ID (*) x x x x
注: (*) のマークが付いた修飾子については、タイプの省略形に G を付加することで、分類グループを指定できます。例えば、トランザクション名グループは TNG となります。

目標の設定

ワークロード分類で説明しているように、Developer for z Systems はシステム上でさまざまなタイプのワークロードを作成します。これらの各種タスクは互いに通信します。つまり、タスク間接続でのタイムアウトの問題を回避するためには、実際の経過時間が重要になります。このため、Developer for z Systems のタスクは、ハイパフォーマンスのサービス・クラスに配置するか、または優先順位の高い適度なパフォーマンスのサービス・クラスに配置する必要があります。

したがって、現行の WLM の目標を改訂または更新することをお勧めします。これは特に、従来の MVS 作業現場で時間依存型の OMVS ワークロードを初めて扱う場合に当てはまります。

注:
  • このセクションに記載する目標の情報は、あえて説明レベルにとどめています。これは、実際のパフォーマンス目標がサイトによって大きく異なるためです。
  • システムでの特定のタスクの影響を理解しやすくするために、最少のリソース使用量、中程度のリソース使用量、および相当なリソース使用量といった言葉を使用しています。これらはいずれも、システム全体ではなく Developer for z Systems の総リソース使用量を基準としています。

表 7 は、z/OS Explorer および Developer for z Systems が使用するアドレス・スペースを示しています。z/OS UNIX では、「タスク名」列の「x」がランダムな 1 桁の数値で置き換えられます。

変更の始まり
表 7. WLM ワークロード
説明 タスク名 ワークロード
デバッグ・マネージャー DBGMGR STC
(z/OS Explorer) JES ジョブ・モニター JMON STC
(z/OS Explorer) RSE デーモン RSED STC
(z/OS Explorer) RSE スレッド・プール RSEDx OMVS
変更の始まり(ISPF) 対話式 ISPF ゲートウェイ (TSO コマンド・サービス)変更の終わり 変更の始まり<userid>変更の終わり 変更の始まりJES変更の終わり
変更の始まり(ISPF) レガシー ISPF ゲートウェイ (TSO コマンド・サービスおよび SCLMDT)変更の終わり <userid>x OMVS
(z/OS Explorer) TSO コマンド・サービス (APPC) FEKFRSRV ASCH
CARMA (バッチ) CRA<port> JES
CARMA (crastart) <userid>x OMVS
CARMA (ISPF クライアント・ゲートウェイ) <userid> および <userid>x OMVS
MVS ビルド (バッチ・ジョブ) * JES
z/OS UNIX ビルド (シェル・コマンド) <userid>x OMVS
z/OS UNIX シェル <userid> OMVS
変更の終わり

目標の選択に関する考慮事項

以下に示す WLM の一般的な考慮事項は、Developer for z Systems に対して適切に目標を定義するために役立ちます。
  • 望ましい結果ではなく、実際に達成できることに基づいて目標を設定してください。目標を必要以上に高く設定すると、WLM は重要性の低い作業から重要性の高い作業にリソースを移しますが、この重要性の高い作業が実際にはリソースを必要としない場合があります。
  • SYSTEM および SYSSTC サービス・クラスに割り当てられる作業量を制限してください。これは、これらのクラスのディスパッチング優先順位が WLM 管理クラスよりも高いためです。この 2 つのクラスは、重要性が高く、かつ CPU の使用量が少ない作業に使用してください。
  • 分類規則の対象から外れた作業は、任意の目標を持つ SYSOTHER クラスに割り当てられることになります。任意の目標では、WLM に対してシステムに予備のリソースがあるときに最善策を取ることだけが指示されます。
応答時間目標を使用する場合:
  • WLM で応答時間目標を適切に管理するには、タスクの到着率が一定であることが必要です (少なくとも 20 分間に 10 タスク)。
  • 平均応答時間の目標は、十分に制御されたワークロードにのみ使用してください。1 つの長いトランザクションが平均応答時間に大きく影響し、WLM が過剰反応する可能性があるからです。
速度目標を使用する場合:
  • さまざまな理由から、通常は速度目標の達成率が 90% を超えることは不可能です。例えば、SYSTEM および SYSSTC アドレス・スペースのディスパッチング優先順位は、すべて速度タイプの目標を上回っています。
  • WLM は、その速度目標を、最小限の数の (使用および遅延) サンプルに基づいて決定します。このため、サービス・クラスで実行されている作業が少ないほど、必要な数のサンプルの収集とディスパッチング・ポリシーの調整に時間がかかることになります。
  • ハードウェアを変更する場合は、速度目標を再評価してください。特に、より少ない台数のより高速なプロセッサーへと移行する場合は、速度目標の変更が必要となります。

STC

変更の始まりすべての Developer for z Systems 開始タスクは、リアルタイム・クライアント要求をサービスします。変更の終わり

変更の始まり
表 8. WLM ワークロード - STC
説明 タスク名 ワークロード
デバッグ・マネージャー DBGMGR STC
変更の終わり
変更の始まり
  • デバッグ・マネージャー

    デバッグ・マネージャーは、デバッグされるプログラムと、それらをデバッグするクライアントとを接続するためのサービスを提供します。ハイパフォーマンスの 1 期間の速度目標を指定する必要があります。これは、タスクが WLM に個々のトランザクションを報告しないためです。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。

変更の終わり

OMVS

変更の始まりすべてのワークロードで、クライアント・ユーザー ID をアドレス・スペース名のベースとして使用します。(z/OS UNIX では、「タスク名」列の「x」がランダムな 1 桁の数値で置き換えられます)。変更の終わり

変更の始まりワークロードは、アドレス・スペース命名規則が共通であるために、すべて同じサービス・クラスに割り当てられることになります。このサービス・クラスには、複数期間の目標を指定する必要があります。最初の期間にはハイパフォーマンスのパーセンタイル応答時間目標を指定し、最後の期間には適度なパフォーマンスの速度目標を指定する必要があります。ISPF クライアント・ゲートウェイなどの一部のワークロードは、個々のトランザクションを WLM に報告しますが、それ以外のワークロードはこれを行いません。変更の終わり

表 9. WLM ワークロード - OMVS
説明 タスク名 ワークロード
変更の始まりレガシー ISPF ゲートウェイ (TSO コマンド・サービスおよび SCLMDT)変更の終わり <userid>x OMVS
CARMA (crastart) <userid>x OMVS
CARMA (ISPF クライアント・ゲートウェイ) <userid> および <userid>x OMVS
z/OS UNIX ビルド (シェル・コマンド) <userid>x OMVS
z/OS UNIX シェル <userid> OMVS
変更の始まり
  • 変更の始まりレガシー ISPF ゲートウェイ

    変更の始まりレガシー ISPF ゲートウェイ とは、非対話式の TSO コマンドと ISPF コマンドを実行するために Developer for z Systems によって呼び出される ISPF サービスです。 これには、クライアントが発行する明示的なコマンドと、Developer for z Systems の SCLMDT コンポーネントが 発行する暗黙的なコマンドが含まれます。 リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。変更の終わり

    変更の終わり
  • CARMA

    CARMA はオプションの Developer for z Systems サーバーで、CA Endevor® SCM などのホスト・ベースの Software Configuration Manager (SCM) と対話するために使用されます。Developer for z Systems では、CARMA サーバーをさまざまな方式で始動することができ、その一部は OMVS ワークロードになります。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。

  • z/OS UNIX ビルド

    クライアントが z/OS UNIX プロジェクトのビルドを開始すると、z/OS UNIX REXEC (または SSH) によって、ビルドを実行するための多数の z/OS UNIX シェル・コマンドを実行するタスクが開始されます。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、プロジェクトのサイズに応じて中程度から相当量と予想されます。

  • z/OS UNIX シェル

    このワークロードは、クライアントによって発行される z/OS UNIX シェル・コマンドを処理します。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。

変更の終わり

JES

JES で管理されるバッチ処理は、Developer for z Systems によってさまざまに使用されます。最も一般的な用途は、MVS ビルドです。ここでは、ジョブが実行依頼され、終了のタイミングを判別するためにモニターされます。ただし、Developer for z Systems は、CARMA サーバーをバッチで始動し、TCP/IP を使用してそのサーバーと通信することもできます。

変更の始まり
表 10. WLM ワークロード - JES
説明 タスク名 ワークロード
CARMA (バッチ) CRA<port> JES
MVS ビルド (バッチ・ジョブ) * JES
変更の終わり
変更の始まり
  • CARMA

    CARMA は、CA Endevor® SCM などのホスト・ベースの Software Configuration Manager (SCM) とのやり取りに使用される、Developer for z Systems サーバーです。 Developer for z Systems では、CARMA サーバーをさまざまな方法で始動することができ、その一部は JES ワークロードになります。ハイパフォーマンスの 1 期間の速度目標を指定する必要があります。これは、タスクが WLM に個々のトランザクションを報告しないためです。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。

  • MVS ビルド
    クライアントが MVS プロジェクトのビルドを開始すると、Developer for z Systems によって、ビルドを実行するためのバッチ・ジョブ開始されます。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、プロジェクトのサイズに応じて中程度から相当量と予想されます。ご使用のローカル環境に応じて、適度のパフォーマンスを目標とするさまざまな戦略をお勧めできます。
    • パーセンタイル応答時間目標の期間と、後続の速度目標の期間で構成される、複数期間の目標を指定できます。この場合、開発者は、応答時間が均一のジョブを作成するために、ほぼ同じビルド・プロシージャーとほぼ同じサイズの入力ファイルを使用する必要があります。WLM で応答時間目標を適切に管理するには、ジョブの到着率が一定であることが必要です (少なくとも 20 分間に 10 ジョブ)。
    • 速度目標は、実行時間と到着率にかなりのばらつきがあっても対応できるため、ほとんどのバッチ・ジョブに適しています。
変更の終わり

クライアントへのプッシュの考慮事項

クライアントへのプッシュ (ホスト・ベースのクライアント制御) では、以下の事項についての集中管理をサポートしています。
  • クライアントの構成ファイル
  • クライアントの製品バージョン
  • プロジェクト定義
この章では、以下のトピックについて説明します。変更の始まり変更の終わり

変更の始まりDeveloper for z Systems は、IBM Explorer for z/OS 上に構築されています。 z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『クライアントへのプッシュの考慮事項』を参照してください。変更の終わり

概要

変更の始まりDeveloper for z Systems クライアントは、接続時にホストからクライアントの構成ファイルと製品の更新情報を取り出すことができるので、すべてのクライアントの設定が共通になり、最新のものになります。変更の終わり

変更の始まりクライアント管理者は、異なる開発者グループのニーズに適合するように、複数のクライアント構成のセットと複数のクライアント更新シナリオを作成できるようになりました。これにより、ユーザーは、LDAP グループのメンバーシップやセキュリティー・プロファイルに対する許可などの基準に基づいてカスタマイズされたセットアップを受け取れるようになります。変更の終わり

z/OS プロジェクトは、クライアント上の「z/OS プロジェクト」パースペクティブで個別に定義できます。または、z/OS プロジェクトをホスト上で集中的に定義してクライアントに対して個々のユーザー単位で伝搬することもできます。それらの「ホスト・ベースのプロジェクト」は、クライアント上で定義されたプロジェクトと外観も機能もまったく同じですが、クライアントは、それらの構造、メンバー、およびプロパティーを変更できず、ホストに接続している場合にのみ、それらのプロジェクトにアクセスできます。

開発プロジェクト・マネージャーは、プロジェクトを定義して個々の開発者にそのプロジェクトを割り当てます。

開発プロジェクト・マネージャーがそれぞれに割り当てられたタスクを実行する方法について詳しくは、Developer for z Systems IBM Knowledge Center を参照してください。

複数の開発者グループに対する構成またはバージョン制御のサポートを使用可能にするときには、クライアントへのプッシュの管理に 1 つの追加のチームが関与することになります。 これがどのチームになるかは、開発者が所属するグループを識別するために選択したオプションに応じて異なります。
  • LDAP 管理者は、各開発者を 1 つまたは複数の FEL.PTC.* LDAP グループに配属する、または配属しないようにするグループ定義を保守します。
  • セキュリティー管理者は、FEL.PTC.* セキュリティー・プロファイルに対するアクセス・リストを保守します。 開発者には、1 つまたは複数のプロファイルに対する許可を与えることも、プロファイルに対する許可を与えないこともできます。

ホスト・ベースのプロジェクト

z/OS プロジェクトは、クライアント上の「z/OS プロジェクト」パースペクティブで個別に定義できます。または、z/OS プロジェクトをホスト上で集中的に定義してクライアントに対して個々のユーザー単位で伝搬することもできます。それらの「ホスト・ベースのプロジェクト」は、クライアント上で定義されたプロジェクトと外観も機能もまったく同じですが、クライアントは、それらの構造、メンバー、およびプロパティーを変更できず、ホストに接続している場合にのみ、それらのプロジェクトにアクセスできます。

ホスト・ベースのプロジェクトのベース・ディレクトリー (クライアント管理者が定義する) は、/var/rdz/pushtoclient/keymapping.xml で定義され、デフォルトでは /var/rdz/pushtoclient/projects になっています。

ホスト・ベースのプロジェクトを構成するには、プロジェクト・マネージャーまたは主任開発者が以下のタイプの構成ファイルを定義する必要があります。 すべてのファイルは、UTF-8 でエンコードされた XML ファイルです。
  • プロジェクトのインスタンス・ファイルは、単一のユーザー ID に固有であり、再使用可能なプロジェクト定義ファイルを指します。ホスト・ベースのプロジェクトを使用して作業するユーザーごとに 1 つのサブディレクトリー /var/zexpl/pushtoclient/projects/<userid>/ が必要です。これには、ダウンロードするプロジェクトごとに 1 つのプロジェクト・インスタンス・ファイル (*.hbpin) が含まれます。
  • プロジェクト定義ファイルでは、プロジェクトの構造と内容を定義します。また、このファイルは複数のユーザーが再利用できます。 プロジェクト定義ファイル (*.hbppd) では、そのプロジェクトに含まれるサブプロジェクトがリストされます。このファイルは、ルートのプロジェクト定義ディレクトリーか、そのディレクトリーのいずれかのサブディレクトリーに配置されます。
  • サブプロジェクト定義ファイルでは、サブプロジェクトの構造と内容を定義します。また、このファイルは複数のユーザーが再利用できます。 サブプロジェクト定義ファイル (*.hbpsd) では、単一のロード・モジュールを作成するために必要なリソースのセットが定義されます。このファイルは、ルートのプロジェクト定義ディレクトリーか、そのディレクトリーのいずれかのサブディレクトリーに配置されます。
  • サブプロジェクト・プロパティー・ファイルは、変数置換をサポートしているプロパティー・ファイルであり、複数のサブプロジェクトで再利用できます。 サブプロジェクト・プロパティー・ファイル (*.hbppr) は、変数置換をサポートしているので、複数のユーザー間でのプロパティー・ファイルの共有が可能です。このファイルは、ルートのプロジェクト定義ディレクトリーか、そのディレクトリーのいずれかのサブディレクトリーに配置されます。

変更の始まりホスト・ベースのプロジェクトは、複数グループのセットアップに加えることもできます。 つまり、ホスト・ベースのプロジェクトは /var/rdz/pushtoclient/grouping/<devgroup>/projects/ で定義することもできるということです。変更の終わり

ワークスペースが特定のグループにバインドされているときに、このグループとデフォルト・グループに同一ユーザーのプロジェクト定義が存在すると、そのユーザーはデフォルト・グループとその特定のグループの両方からのプロジェクト定義を受け取ります。

CICSTS に関する考慮事項

変更の始まりこの章では、CICSTS 領域内で使用できる Developer for z Systems コンポーネントへの参照を まとめています。変更の終わり

変更の始まり

双方向言語サポート

変更の始まり

双方向言語サポートの詳細については、「Rational Developer for z Systems ホスト構成ガイド (SC43-2913)」の『その他のカスタマイズ・タスク (Other customization tasks)』の章の『CICS 双方向言語サポート』を参照してください。

変更の終わり
変更の終わり
変更の始まり

エンタープライズ・サービス・ツールの診断 IRZ メッセージ

変更の始まり

エンタープライズ・サービス・ツールの診断 IRZ メッセージ の詳細については、「Rational Developer for z Systems ホスト 構成ガイド (SC43-2913)」の『その他のカスタマイズ・タスク』の章の『エンタープライズ・サービス・ツールの診断 IRZ メッセージ』を参照してください。

変更の終わり
変更の終わり

CICS トランザクションのデバッグ

変更の始まりCICS トランザクションのデバッグ の詳細については、「IBM Rational Developer for z Systems ホスト 構成ガイド (SC88-5663)」の『(オプション) 統合デバッガー』の章の『統合デバッガーの CICS の更新』を参照してください。変更の終わり

AT-TLS のセットアップ

このセクションは、Application Transparent Transport Layer Security (AT-TLS) のセットアップ時、または既存のセットアップの検査時や変更時に起きる可能性があるいくつかの一般的な問題について、ユーザーを支援するためのものです。

RFC 2246 で定義されている Transport Layer Security (TLS) プロトコルはインターネット上で通信プライバシーを提供します。その前身である Secure Socket Layer (SSL) と同様、このプロトコルは、クライアント・アプリケーションとサーバー・アプリケーションが、盗聴、改ざん、およびメッセージ偽造を防止するために設計された方法で通信を行えるようにします。Application Transparent Transport Layer Security (AT-TLS) は、z/OS ベースのアプリケーションのための TLS 実装を一か所にまとめ、TLS プロトコルの知識がなくてもすべてのアプリケーションで TLS ベースの暗号化がサポートできるようにします。AT-TLS について詳しくは、「Communications Server IP 構成ガイド」(SC88-8926) を参照してください。

Developer for z Systems の統合デバッガーは、クライアントとの暗号化通信において AT-TLS に依存します。これは、デバッグ・セッション用のデータがその他の Developer for z Systems クライアント/ホスト通信と同じパイプを介してフローしないためです。

AT-TLS をセットアップするために必要なアクションは、厳密な必要性、およびサイトで既に使用可能なものに応じてサイトごとに異なります。

このセクションの情報は、AT-TLS を管理し、z/OS 1.13 システム上の Developer for z Systems 統合デバッガーが使用するポリシーを定義する TCP/IP ポリシー・エージェントを、TLS v1.2 に対するサポートと共にセットアップする方法を示します。
  1. syslogd のセットアップ
  2. PROFILE.TCPIP での AT-TLS 構成
  3. ポリシー・エージェントの開始タスク
  4. ポリシー・エージェントの構成
  5. AT-TLS ポリシー
  6. AT-TLS セキュリティー・アップデート
  7. AT-TLS ポリシーのアクティベーション
このセクションでは、次のような一律の命名規則が使用されています。
  • 外部通信用のデバッグ・マネージャー・ポート: 5335
  • デバッグ・マネージャー・ユーザー ID: stcdbm
  • ポリシー・エージェント・ユーザー ID: pagent
  • 証明書: dbgmgr
  • 鍵および証明書ストレージ: dbgmgr.racf

以下に述べるタスクの一部では、ユーザーが z/OS UNIX 内でアクティブであることを想定しています。そのためには、TSO コマンド OMVS を発行します。z/OS UNIX でファイルを編集するには、oedit コマンドを使用します。 TSO に戻るには、exit コマンドを使用します。

syslogd のセットアップ

TCP/IP 文書は、デフォルトのログ・ファイルを使用する代わりに、ポリシー・エージェントのメッセージを z/OS UNIX syslog に書き込むことを推奨しています。AT-TLS は、常にメッセージを z/OS UNIX syslog に書き込みます。

このために z/OS UNIX syslog デーモン syslogd が構成されてアクティブでなければなりません。 さらに、syslogd が作成するログ・ファイルのサイズを制御するメカニズムが必要です。

次のサンプル構成ファイルの更新を使用して、簡単なログ・ファイル管理メカニズム (z/OS UNIX の始動時に既存のログ・ファイルを消去し、syslogd の開始時に新しいものを作成) 付きで、syslogd を構成し開始します。
  • /etc/services
    syslog          514/udp
  • /etc/syslog.conf
    # /etc/syslog.conf - control output of syslogd
    # 1. all files with will be printed to /tmp/syslog.auth.log
    auth.*           /tmp/syslog.auth.log
    # 2. all error messages printed to /tmp/syslog.error.log
    *.err            /tmp/syslog.error.log
    # 3. all debug and above messages printed to /tmp/syslog.debug.log
    *.debug          /tmp/syslog.debug.log
    # The files named must exist before the syslog daemon is started,
    # unless -c startup option is used
  • /etc/rc
    # Start the SYSLOGD daemon for logging
    # (clean up old logs)
    sed -n '/^#/!s/.* \(.*\)/\1/p' /etc/syslog.conf | xargs -i rm {}
    # (create new logs and add userid of message sender)
    _BPX_JOBNAME='SYSLOGD' /usr/sbin/syslogd -cuf /etc/syslog.conf &
    sleep 5

PROFILE.TCPIP での AT-TLS 構成

AT-TLS サポートは、PROFILE.TCPIP データ・セット内の TCPCONFIG ステートメントの TTLS パラメーターによってアクティブにされます。 AT-TLS はポリシー・エージェントによって管理されるため、AT-TLS ポリシーを実施するためにはポリシー・エージェントがアクティブでなければなりません。ポリシー・エージェントは TCP/IP がアクティブになるのを待機しなければならないので、PROFILE.TCPIPAUTOSTART ステートメントはこのサーバーの始動をトリガーするのに最適の場所です。

これらの要件により、PROFILE.TCPIP (しばしば TCPIP.TCPPARMS(TCPPROF) という名前になる) に以下の変更が必要です。
TCPCONFIG TTLS         ; Required for AT-TLS
AUTOLOG
  PAGENT               ; POLICY AGENT, required for AT-TLS
ENDAUTOLOG

ポリシー・エージェントの開始タスク

既に説明したとおり、AT-TLS は、開始タスクとして開始できるポリシー・エージェントによって管理されます。デフォルトの構成ファイルと推奨ログ・ロケーション (SYSLOGD) を使用して SYS1.PROCLIB(PAGENT) を作成するには、次の JCL を使用します。ご使用のセキュリティー・ソフトウェアで必要な定義については、後ほど扱います。
//PAGENT   PROC PRM='-L SYSLOGD'                     * '' or '-L SYSLOGD'
//*
//* TCP/IP POLICY AGENT
//*                                        (PARM) (envar)
//* default cfg file: /etc/pagent.conf     (-C)   (PAGENT_CONFIG_FILE)
//* default log file: /tmp/pagent.log      (-L)   (PAGENT_LOG_FILE)
//* default log size: 300,3 (3x 300KB files) (PAGENT_LOG_FILE_CONTROL)
//*
//PAGENT   EXEC PGM=PAGENT,REGION=0M,TIME=NOLIMIT,
//            PARM='ENVAR("TZ=EST5DST")/&PRM' 
//SYSPRINT DD SYSOUT=* 
//SYSOUT   DD SYSOUT=* 
//*

ポリシー・エージェントの構成

ポリシー・エージェントは TCP/IP 管理者が作成した TCP/IP 関連のポリシーを実施します。TTLS と呼ばれる AT-TLS に加え、IPSec などの他のサービスのためのポリシーも管理されます。ポリシー・エージェントは構成ファイルを使用して、どのポリシーを実施しなければならないか、それらのポリシーがどこにあるのかを判断します。デフォルト構成ファイルは /etc/pagent.conf ですが、ポリシー・エージェント開始タスク JCL で別のロケーションを指定することができます。
#
# TCP/IP Policy Agent configuration information.
#
TTLSConfig /etc/pagent.ttls.conf
# Specifies the path of a TTLS policy file holding stack specific
# statements.
#
#TcpImage TCPIP /etc/pagent.conf
# If no TcpImage statement is specified, all policies will be installed
# to the default TCP/IP stack.
#
#LogLevel 31
# The sum of the following values that represent log levels:
#  LOGL_SYSERR     1
#  LOGL_OBJERR     2
#  LOGL_PROTERR    4
#  LOGL_WARNING    8
#  LOGL_EVENT     16
#  LOGL_ACTION    32
#  LOGL_INFO      64
#  LOGL_ACNTING  128
#  LOGL_TRACE    256
# Log Level 31 is the default log loglevel.
#
#Codepage IBM-1047
# Specify the EBCDIC code page to be used for reading all configuration
# files and policy definition files. IBM-1047 is the default code page.

このサンプル構成ファイルは、ポリシー・エージェントがどこで TTLS ポリシーを見つけられるかを指定しています。他のステートメントについては、ポリシー・エージェントのデフォルト値を使用します。

AT-TLS ポリシー

TTLS ポリシーは、AT-TLS 規則を記述します。ポリシー・エージェント構成ファイルで定義されているように、この TTLS ポリシーは /etc/pagent.ttls.conf に配置されます。ご使用のセキュリティー・ソフトウェアで必要な定義については、後ほど扱います。

変更の始まりこの例では、Developer for z Systems 統合デバッガー、デバッグ・マネージャー、および Probe-Clientでサポートされる両方の通信パスに対して、SSL v3 を使用不可にし、TLS v1、TLS v1.1、および TLS v1.2 のサポートを使用可能にする非常に単純な 2 つの規則からなるポリシーを示します。ポリシー・エージェント構成ファイルで定義されているように、この TTLS ポリシーは /etc/pagent.ttls.conf に配置されます。
##
## TCP/IP Policy Agent AT-TLS configuration information.
##
##-----------------------------
TTLSRule                      RDz_Debug_Manager
{
 LocalPortRange           5335
 Direction                Inbound
 TTLSGroupActionRef       grp_Production
 TTLSEnvironmentActionRef act_RDz_Debug_Manager
}
##-----------------------------
TTLSEnvironmentAction         act_RDz_Debug_Manager
{
 HandshakeRole Server
 TTLSKeyRingParms
 {
  Keyring dbgmgr.racf      # Keyring must be owned by the Debug Manager
 }
 TTLSEnvironmentAdvancedParms
 {
## TLSV1.2 only for z/OS 2.1 and higher
変更の始まり# TLSV1.2 On               # TLSv1 & TLSv1.1 are on by default
  SSLV3 Off                # disable SSLv3変更の終わり }
}
##-----------------------------
TTLSRule                      RDz_Debug_Probe-Client
{
 RemotePortRange          8001
 Direction                Outbound
 TTLSGroupActionRef       grp_Production
 TTLSEnvironmentActionRef act_RDz_Debug_Probe-Client
}
##-----------------------------
TTLSEnvironmentAction         act_RDz_Debug_Probe-Client
{
 HandshakeRole            Client
 TTLSKeyRingParms
 {
  Keyring *AUTH*/*         # virtual key ring holding CA certificates
 }
 TTLSEnvironmentAdvancedParms
 {
## TLSV1.2 only for z/OS 2.1 and higher
変更の始まり# TLSV1.2 On               # TLSv1 & TLSv1.1 are on by default変更の終わり
 }
}
##-----------------------------
TTLSGroupAction               grp_Production
{
 TTLSEnabled               On
## TLSv1.2zOS1.13 only for z/OS 1.13
 TTLSGroupAdvancedParmsRef TLSv1.2zOS1.13
 Trace                     3     # Log Errors to syslogd & IP joblog
#Trace                     254   # Log everything to syslogd
}
##-----------------------------
TTLSGroupAdvancedParms        TLSv1.2zOS1.13
{
 Envfile /etc/pagent.ttls.TLS1.2zOS1.13.env
}
変更の終わり

TTLS ポリシーでは、規則が適用される際に指定する多様なフィルターを使用できます。

デバッグ・マネージャーは、デバッグ・エンジンからの着信接続用にポート 5335 で listen するサーバーです。 この情報は RDz_Debug_Manager 規則に取り込まれます。

暗号化通信ではサーバー証明書を使用する必要があるため、ポリシー・マネージャーが dbgmgr.racf 鍵リング (デバッグ・マネージャー開始タスクのユーザー ID が所有するもの) にある証明書を使用することを指定します。TLS v1.2 サポートはデフォルトでは使用不可なので、このポリシーはそれを明示的に使用可能にしています。 SSL v3.0 は、このプロトコルにおける既知の脆弱性により、明示的に無効になっています。

言語環境プログラム (Language Environment (LE)) オプション TEST(,,,TCPIP&&ipaddress%8001:*) を使用してデバッグ・プローブを開始した場合、デバッグ・マネージャーを使用せずに、ポート 8001Developer for z Systems クライアントに直接接続することをお勧めします。これは、TCP/IP の観点から見た場合、ホスト・ベースのデバッグ・プローブが Developer for z Systems クライアントでサーバー (デバッグ UI) と接続されているクライアントであることを意味します。この情報は RDz_Debug_Probe-Client 規則に取り込まれます。

ホストが TCP/IP クライアントであるため、ポリシー・マネージャーは、デバッグ UI によって提供されるサーバー証明書を検証する方法を必要とします。暗号化されたデバッグ・セッションが必要になる場合があるため、すべてのユーザーに対して均一に指定された鍵リングを使用せずに、RACF の CERTAUTH 仮想鍵リング (*AUTH*/*) を使用します。この仮想鍵リングは、認証局 (CA) の公開証明書を保持し、トラステッド CA のいずれかによって署名されたサーバー証明書がデバッグ UI によって提供された場合に使用できます。

より複雑なポリシーの場合は、IBM Configuration Assistant for z/OS Communications Server を使用してください。 これは TCP/IP のポリシー・ベースのネットワーキング機能を構成するためのガイド付きインターフェースを提供する GUI ベースのツールです。 IBM z/OS Management Facility (z/OSMF) のタスクとして、およびスタンドアロン・ワークステーション・アプリケーションとして使用可能です。

TLS v1.2 に関する考慮事項

TLS v1.2 サポートは z/OS 2.1 で使用可能になりましたが、デフォルトでは使用不可です。このポリシーには明示的に使用可能にするためのコマンド (TLSV1.2 On) がありますが、ターゲット・システムでは z/OS 1.13 が使用されているため、コメントにして取り除かれています。

以下の 2 つの APAR を適用することにより、TLS v1.2 サポートが z/OS 1.13 に追加されます。
  • システム SSL APAR OA39422
  • Communications Server (AT-TLS) APAR PM62905
AT-TLS が TLS 暗号化通信を実装するために使用する z/OS 1.13 システム SSL では、TLS v1.2 サポートのためにいくつかの追加パラメーターが必要です。これらは、システム SSL 環境変数 /etc/pagent.ttls.TLS1.2zOS1.13.env を含むファイルを使用して AT-TLS ポリシーを通じて指定されます。
#
# Add TLSv1.2 support to AT-TLS
# requires z/OS 1.13 with OA39422 and PM62905
#
 GSK_RENEGOTIATION=ALL
 GSK_PROTOCOL_TLSV1_2=ON

AT-TLS セキュリティー・アップデート

AT-TLS が正しく機能するために、セキュリティー・セットアップに必要なアップデートがいくつかあります。 このセクションでは、必要なセットアップを行うためのサンプル RACF コマンドが紹介されています。

ポリシー・エージェントの開始タスクで説明したように、開始タスクを使用してポリシー・エージェントを実行します。このためには、開始タスクのユーザー ID の定義と STARTED クラスのプロファイルが必要です。
#  define started task user ID
#  BPX.DAEMON permit is required for non-zero UID
 ADDUSER PAGENT DFLTGRP(SYS1) OMVS(UID(0) SHARED HOME('/')) +
   NAME('TCP/IP POLICY AGENT') NOPASSWORD

#  define started task
 RDEFINE STARTED PAGENT.* STDATA(USER(PAGENT) GROUP(SYS1)) +
   DATA('TCP/IP POLICY AGENT')

#  refresh to make the changes visible
 SETROPTS RACLIST(STARTED) REFRESH
OPERCMDS クラスの MVS.SERVMGR.PAGENT という名前のプロファイルを定義し、それに対する CONTROL アクセス権限をユーザー ID PAGENT に与えます。このプロファイルは、誰がポリシー・エージェントを始動できるかを制限します。このプロファイルが定義されず、それに対するアクセスが汎用のプロファイルによってできなくなっている場合、PAGENT はポリシー・エージェントを始動できず、TCP/IP スタック初期化を行えません。
#  restrict startup of policy agent
 RDEFINE OPERCMDS MVS.SERVMGR.PAGENT UACC(NONE) +
   DATA('restrict startup of policy agent')
 PERMIT MVS.SERVMGR.PAGENT CLASS(OPERCMDS) ACCESS(CONTROL) ID(PAGENT)

#  refresh to make the changes visible 
SETROPTS RACLIST(OPERCMDS) REFRESH 
PROFILE.TCPIP での AT-TLS 構成で説明したように、ポリシー・エージェントが始動されるのは、TCP/IP が初期化された後です。それはつまり、TTLS ポリシーが実施されることなくアプリケーションが TCP/IP スタックを使用できる (わずかの) 時間枠があることになります。SERVAUTH クラスの EZB.INITSTACK.** プロファイルを定義して、プロファイルに対する READ アクセス権限があるアプリケーション以外は、この時間枠の間スタックにアクセスできないようにします。「Communications Server IP 構成ガイド」(SC88-8926) の『TCP/IP スタック初期化アクセス制御』に記載されているように、プロファイル向けの管理アプリケーションの限定されたセットがスタックの完全な初期化を行えるように許可しなければなりません。
注: 変更の始まりポリシー・エージェントは、すべてのポリシーがアクティブである場合に、メッセージ EZD1586I を発行します。変更の終わり
#  block stack access between stack and AT-TLS availability
# SETROPTS GENERIC(SERVAUTH)
# SETROPTS CLASSACT(SERVAUTH) RACLIST(FACILITY)
 RDEFINE SERVAUTH EZB.INITSTACK.** UACC(NONE)
#  Policy Agent
 PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(PAGENT)
#  OMPROUTE daemon
 PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OMPROUTE)
#  SNMP agent and subagents
 PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OSNMPD)
 PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(IOBSNMP)
#  NAME daemon
 PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(NAMED)

#  refresh to make the changes visible
 SETROPTS RACLIST(SERVAUTH) REFRESH
(オプション) z/OS UNIX pasearch コマンドが、アクティブなポリシー定義を表示します。SERVAUTH クラスのプロファイル EZB.PAGENT.** を定義して、pasearch コマンドに対するアクセスを制限します。
#  restrict access to pasearch command
# RDEFINE SERVAUTH EZB.PAGENT.** UACC(NONE) + 
#   DATA('restrict access to pasearch command')
# PERMIT EZB.PAGENT.** CLASS(SERVAUTH) ACCESS(READ) ID(tcpadmin)

#  refresh to make the changes visible
# SETROPTS RACLIST(SERVAUTH) REFRESH
変更の始まりAT-TLS ポリシーで説明したように、デバッグ・マネージャーには、AT-TLS がデバッグ・マネージャーのために暗号化通信をセットアップできるように、証明書が必要です。これらのサンプル・コマンドは dbgmgr というラベルのついた新しい証明書を作成します。この証明書は dbgmgr.racf という名前の RACF 鍵リングに格納されています。この証明書と鍵リングの両方は、デバッグ・マネージャー開始タスクのユーザー ID STCDBM が所有しています。
#  permit Debug Manager to access certificates
#RDEFINE FACILITY IRR.DIGTCERT.LIST     UACC(NONE)
#RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
 PERMIT IRR.DIGTCERT.LIST     CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
 PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) ID(stcdbm)

#  refresh to make the changes visible
 SETROPTS RACLIST(FACILITY) REFRESH

#  create self-signed certificate
 RACDCERT ID(stcdbm) GENCERT SUBJECTSDN(CN('RDz Debug Manager') +
   OU('RTP labs') O('IBM') L('Raleigh') SP('NC') C('US')) +
   NOTAFTER(DATE(2015-12-31)) KEYUSAGE(HANDSHAKE) WITHLABEL('dbgmgr')

#  (optional) additional steps required to use a signed certificate
#  1. create a signing request for the self-signed certificate
 RACDCERT ID(stcdbm) GENREQ (LABEL('dbgmgr')) DSN(dsn)
#  2. send the signing request to your CA of choice
#  3. check if the CA credentials (also a certificate) are already known
 RACDCERT CERTAUTH LIST
#  4. mark the CA certificate as trusted
 RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
#     or add the CA certificate to the database
 RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
#  5. add the signed certificate to the database;
#     this will replace the self-signed one
 RACDCERT ID(stcdbm) ADD(dsn) WTIHLABEL('dbgmgr') TRUST
#     Do NOT delete the self-signed certificate before replacing it.
#     If you do, you lose the private key that goes with the certificate,
#     which makes the certificate useless.

#  create key ring
 RACDCERT ID(stcdbm) ADDRING(dbgmgr.racf)

#  add  certificate to key ring
RACDCERT ID(stcbm) CONNECT(LABEL('dbgmgr') +
   RING(dbgmgr.racf) USAGE(PERSONAL) DEFAULT)

#  additional step required to use a signed certificate
#  6. add CA certificate to key ring
RACDCERT ID(stcdbm) CONNECT(CERTAUTH LABEL('CA cert') +
   RING(dbgmgr.racf))

#  refresh to make the changes visible
 SETROPTS RACLIST(DIGTCERT) REFRESH
変更の終わり
AT-TLS ポリシーでは、Probe-Client シナリオのデバッグ UI によって提示されたサーバー証明書の検証用に CERTAUTH 仮想鍵リングを使用する方法についても説明されています。これは、デバッグ UI によって使用されている CA 証明書が z/OS ホストによって信頼されていることを意味します。
#  check if the CA credentials (also a certificate) are already known
 RACDCERT CERTAUTH LIST
#  mark the CA certificate as trusted
 RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
#  or add the CA certificate to the database
 RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST

#  refresh to make the changes visible
 SETROPTS RACLIST(DIGTCERT) REFRESH
以下のコマンドを使用して、セットアップを検証します。
#  verify started task setup
 LISTGRP SYS1 OMVS
 LISTUSER PAGENT OMVS
 RLIST STARTED PAGENT.* ALL STDATA

#  verify Policy Agent startup permission
 RLIST OPERCMDS MVS.SERVMGR.PAGENT ALL

#  verify initstack protection
 RLIST SERVAUTH EZB.INITSTACK.** ALL

#  verify pasearch protection
 RLIST SERVAUTH EZB.PAGENT.** ALL

#  verify certificate setup
 RACDCERT CERTAUTH   LIST(LABEL('CA cert'))
 RACDCERT ID(stcdbm) LIST(LABEL('dbgmgr'))
 RACDCERT ID(stcdbm) LISTRING(dbgmgr.racf)

AT-TLS ポリシーのアクティベーション

AT-TLS セットアップは完了し、システムの次の IPL でポリシーはアクティブにされます。IPL なしでポリシーの使用を始めるには、以下の手順を実行します。
  1. TCP/IP スタックで AT-TLS サポートをアクティブにします。
    以下の内容の TCP/IP OBEY ファイル (例えば、TCPIP.TCPPARMS(OBEY)) を作成します。
    TCPCONFIG TTLS
    次のオペレーター・コマンドでアクティブ化します。
    V TCPIP,,OBEY,TCPIP.TCPPARMS(OBEY)
    次のコンソール・メッセージをチェックすることにより、結果を確認します。
    EZZ4249I stackname INSTALLED TTLS POLICY HAS NO RULES
  2. ポリシー・エージェントを開始します。
    次のオペレーター・コマンドを実行します。
    S PAGENT
    次のコンソール・メッセージをチェックすることにより、結果を確認します。
    EZD1586I PAGENT HAS INSTALLED ALL LOCAL POLICIES FOR stackname
  3. デバッグ・マネージャーを再始動して、アクティブな非暗号化セッションをすべて中断します。
    次のオペレーター・コマンドを実行します。
    P DBGMGR
    S DBBMGR

参考資料

本書では、以下の資料を参照しています。

表 11. 参考資料
資料名 資料番号 参照 参照 Web サイト
IBM Rational Developer for z Systems Program Directory GI88-4172 Developer for z Systems http://www-01.ibm.com/support/docview.wss?uid=swg27038517
Program Directory for IBM Rational Developer for z Systems Host Utilities GI88-4326 Developer for z Systems http://www-01.ibm.com/support/docview.wss?uid=swg27038517
       
IBM Rational Developer for z Systems ホスト構成ガイド SC43-2913 Developer for z Systems http://www-01.ibm.com/support/docview.wss?uid=swg27038517
IBM Rational Developer for z Systemsホスト構成リファレンス SC43-2912 Developer for z Systems http://www-01.ibm.com/support/docview.wss?uid=swg27038517
IBM Rational Developer for z Systems Common Access Repository Manager Developer's Guide SC23-7660 Developer for z Systems http://www-01.ibm.com/support/docview.wss?uid=swg27038517
SCLM Developer Toolkit 管理者ガイド SC88-5664 Developer for z Systems http://www-01.ibm.com/support/docview.wss?uid=swg27038517
IBM Explorer for z/OS Host Configuration Guide SC27-8437 z/OS Explorer  
IBM Explorer for z/OS Host Configuration Reference SC27-8438 z/OS Explorer  
変更の始まりCommunications Server IP CICS Sockets Guide変更の終わり 変更の始まりSC31-8807変更の終わり 変更の始まりz/OS 1.13変更の終わり 変更の始まりhttp://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/変更の終わり
Communications Server IP 構成ガイド SC88-8926 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
Communications Server IP 構成解説書 SC88-8927 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
MVS 初期設定およびチューニング ガイド SA88-8563 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
MVS 初期設定およびチューニング解説書 SA88-8564 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
MVS JCL 解説書 SA88-8569 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
MVS 計画: ワークロード管理 SA88-8574 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
MVS システム・コマンド SA88-8593 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
Security Server RACF コマンド言語解説書 SA88-8617 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
Security Server RACF セキュリティー管理者のガイド SA88-8613 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
UNIX System Services コマンド解説書 SA88-8641 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
UNIX System Services 計画 GA88-8639 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
UNIX システム・サービス ユーザーズ・ガイド SA88-8640 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
REXX および z/OS UNIX システム・サービスの使い方 SA88-8644 z/OS 1.13 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/
本書では、以下の Web サイトを参照しています。
表 12. 参照される Web サイト
説明 参照 Web サイト
Developer for z Systems IBM Knowledge Center http://www-01.ibm.com/support/knowledgecenter/SSQ2R2/rdz_welcome.html
Developer for z Systems ライブラリー http://www-01.ibm.com/support/docview.wss?uid=swg27038517
Developer for z Systems ホーム・ページ http://www-03.ibm.com/software/products/en/developerforsystemz/
Developer for z Systems 推奨サービス http://www-01.ibm.com/support/docview.wss?rs=2294&context=SS2QJ2&uid=swg27006335
Developer for z Systems 機能拡張要求 https://www.ibm.com/developerworks/support/rational/rfe/
Apache Ant のダウンロード http://ant.apache.org/

情報資料

以下の資料は、必要なホスト・システム・コンポーネントのセットアップの問題を理解するのに役立ちます。
表 13. 情報資料
資料名 資料番号 参照 参照 Web サイト
ABCs of z/OS System Programming Volume 9 (z/OS UNIX) SG24-6989 Redbook http://www.redbooks.ibm.com/
System Programmer’s Guide to: Workload Manager SG24-6472 Redbook http://www.redbooks.ibm.com/
TCPIP Implementation Volume 1: Base Functions, Connectivity, and Routing SG24-7532 Redbook http://www.redbooks.ibm.com/
TCPIP Implementation Volume 3: High Availability, Scalability, and Performance SG24-7534 Redbook http://www.redbooks.ibm.com/
TCP/IP Implementation Volume 4: Security and Policy-Based Networking SG24-7535 Redbook http://www.redbooks.ibm.com/
Tivoli® Directory Server for z/OS SG24-7849 Redbook http://www.redbooks.ibm.com/

用語集

アクション ID (Action ID)
アクションを表す 0 から 999 までの数値 ID。
アプリケーション・サーバー (Application Server)
  1. ブラウザー・ベースのコンピューターと組織のバックエンド・ビジネス・アプリケーションまたはデータベースとの間で、すべてのアプリケーション操作を処理するプログラム。 Java EE 規格に準拠した、Java ベースの特殊クラスの appserver が存在する。Java EE コードは、これらのアプリケーション・サーバー間での移植が容易である。 動的 Web コンテンツ用の JSP とサーブレット、およびトランザクションとデータベース・アクセス用の EJB をサポートできる。
  2. リモート・アプリケーションからの要求のターゲット。DB2® 環境において、アプリケーション・サーバー機能は分散データ機能によって提供され、リモート・アプリケーションの DB2 データにアクセスするために使用される。
  3. アプリケーション・プログラムの実行環境を提供する分散ネットワーク内のサーバー・プログラム。
  4. アプリケーション・リクエスターからの要求のターゲット。アプリケーション・サーバー・サイトのデータベース管理システム (DBMS) は、要求されたデータを提供する。
  5. Content Manager のアセットおよび照会を要求するクライアントとの通信を処理するソフトウェア。
双方向 (Bidirectional) (bi-di)
数字 (左から右に書かれる) を除き、一般に右から左に書かれるアラビア語やヘブライ語などのスクリプトに関する用語。 この定義は、Localization Industry Standards Association (LISA) の用語集からのものである。
双方向属性 (Bidirectional Attribute)
テキスト・タイプ、テキスト方向、数値スワッピング、および対称スワッピング。
ビルド要求 (Build Request)
ビルド・トランザクションの実行を求めるクライアントからの要求。
ビルド・トランザクション (Build Transaction)
クライアントからビルド要求を受信した後に、MVS 上で開始されるジョブ。
コンパイル (Compile)
  1. 統合化言語環境 (Integrated Language Environment) (ILE) 言語において、ソース・ステートメントを、プログラムまたはサービス・プログラムにバインドできるモジュールに変換すること。
  2. 高水準言語で表現されたプログラムの全部または一部を、中間言語、アセンブリー言語、またはマシン言語で表現されたコンピューター・プログラムに変換すること。
コンテナー (Container)
  1. CoOperative Development Environment/400 においては、ソース・ファイルを格納および編成するシステム・オブジェクト。コンテナーの例としては、i5/OS™ ライブラリーや MVS 区分データ・セットがある。
  2. Java EE において、コンポーネントにライフサイクル管理、セキュリティー、デプロイメント、およびランタイム・サービスを提供するエンティティー。 (Sun) 各タイプのコンテナー (EJB、Web、JSP、サーブレット、アプレット、およびアプリケーション・クライアント) はコンポーネント固有のサービスも提供する。
  3. バックアップ・リカバリーおよびメディア・サービスにおいて、ボックス、ケース、またはラックなどのメディアの保管と移動に使用される物理オブジェクト。
  4. 仮想テープ・サーバー (VTS) において、エクスポートされた 1 つ以上の論理ボリューム (LVOL) を保管できる貯蔵所。1 つ以上の LVOL を含み、VTS ライブラリーの外部に存在するボリューム・スタックは、そのボリュームのコンテナーと見なされる。
  5. データの物理的な記憶場所。例えば、ファイル、ディレクトリー、デバイスなど。
  6. ポートレットまたはページ上にあるその他のコンテナーのレイアウトを調整するために使用される列または行。
  7. オブジェクトを保持するユーザー・インターフェースのエレメント。フォルダー・マネージャーにおいて、他のフォルダーまたは文書を格納できるオブジェクト。
データベース (Database)
1 つ以上のアプリケーションに対してサービスを行うために、まとめて保管される、相互に関連するか独立したデータ項目のコレクション。
データ定義ビュー (Data Definition View)
データベースとそのオブジェクトのローカル表現が入っており、それらのオブジェクトを操作してリモート・データベースにエクスポートする機能を提供する。
データ・セット (Data Set)
データの保管と取り出しの主要単位。いくつかの規定された配置の 1 つに置かれたデータのコレクションで構成され、システムがアクセスする制御情報によって記述される。
デバッグ (Debug)
プログラム内のエラーを検出、診断、および除去すること。
デバッグ・セッション (Debugging Session)
開発者がデバッガーを開始した時点から、デバッガーを終了する時点までに発生するデバッグ・アクティビティー。
エラー・バッファー (Error Buffer)
エラー出力情報を一時的に保持するために使用されるストレージの部分。
ゲートウェイ (Gateway)
  1. Web サービス呼び出しのとき、インターネットとイントラネット環境のブリッジとなるミドルウェア・コンポーネント。
  2. エンドポイントとそれ以外の Tivoli 環境の間でサービスを提供するソフトウェア。
  3. Voice over Internet Protocol 環境と回路交換環境の間のブリッジとなる VoIP のコンポーネント。
  4. 異なるネットワーク・アーキテクチャーを備えたネットワーク、またはシステムを接続するために使用されるデバイスまたはプログラム。各システムが異なる特性 (例えば、異なる通信プロトコル、異なるネットワーク・アーキテクチャー、異なるセキュリティー・ポリシーなど) を備えている場合があり、ゲートウェイは、そのような場合に変換の役割と接続の役割を果たす。
対話式システム生産性向上機能 (Interactive System Productivity Facility) (ISPF)
フルスクリーン・エディターおよびダイアログ・マネージャーとして機能する IBM ライセンス・プログラム。 アプリケーション・プログラムの作成に使用され、標準的な画面パネルとアプリケーション・プログラマーと端末ユーザーとの間に対話式ダイアログを生成する手段となる。ISPF は、DM、PDF、SCLM、および C/S という 4 つの主要なコンポーネントからなる。DM コンポーネントとはダイアログ・マネージャーのことで、ダイアログとエンド・ユーザーにサービスを提供する。PDF コンポーネントとはプログラム開発機能のことで、ダイアログまたはアプリケーション開発者を支援するサービスを提供する。SCLM コンポーネントとは Software Configuration Library Manager のことで、アプリケーション開発者にアプリケーション開発ライブラリーを管理するためのサービスを提供する。 C/S コンポーネントとは、クライアント/サーバーのことで、これによってプログラマブル・ワークステーション上で ISPF を実行し、ワークステーションのオペレーティング・システムの表示機能を使用してパネルを表示し、ワークステーションのツールおよびデータをホストのツールおよびデータと統合することができる。
インタープリター (Interpreter)
高水準プログラミング言語の 1 つの命令を翻訳および実行してから、次の命令を翻訳および実行するプログラム。
アイソモアフィック (Isomorphic)
ルートから始まる XML インスタンス文書の構成された各エレメント (つまり、他のエレメントを含んでいるエレメント) は、唯一の対応する COBOL グループ項目を持ち、そのグループ項目のネストの深さは、同等の XML 項目のネストの深さと同一である。トップから始まる XML インスタンス文書の構成されていない各エレメント (つまり、他のエレメントを含んでいないエレメント) は、唯一の対応する COBOL 基本項目を持っており、その基本項目のネストの深さは、同等の XML 項目のネスト・レベルと同じであり、実行時のメモリー・アドレスは、一意に識別できる。
リンケージ・セクション (Linkage Section)
アクティブにされる単位 (呼び出されたプログラムまたはメソッド) のデータ部の中に含まれており、アクティブにする単位 (プログラムまたはメソッド) から使用可能なデータ項目を記述しているセクション。これらのデータ項目は、アクティブにされる単位とアクティブにする単位の両方から参照できる。
ロード・ライブラリー (Load Library)
ロード・モジュールを含んでいるライブラリー。
ロック・アクション (Lock Action)
メンバーをロックする。
ナビゲーター・ビュー (Navigator View)
ワークベンチ内のリソースの階層図を提供する。
非アイソモアフィック (Non-Isomorphic)
形態が同一でない (非アイソモアフィック) XML 文書と COBOL グループに属する、COBOL 項目と XML エレメントとの単純なマッピング。非アイソモアフィック・マッピングは、アイソモアフィック構造の非アイソモアフィック・エレメント間でも作成できる。
「出力コンソール」ビュー (Output Console View)
プロセスの出力を表示し、プロセスへのキーボード入力を提供する。
出力ビュー (Output View)
処理対象のオブジェクトに関連したメッセージ、パラメーター、および結果を表示する。
パースペクティブ (Perspective)
ワークベンチ内のリソースのさまざまな側面を表示するビューのグループ。 ワークベンチ・ユーザーは、手元のタスクに応じてパースペクティブを切り替え、パースペクティブ内のビューおよびエディターのレイアウトをカスタマイズできる。
RAM
Repository Access Manager の略。
リモート・ファイル・システム (Remote File System)
別のサーバーまたはオペレーティング・システム上にあるファイル・システム。
リモート・システム (Remote System)
ネットワーク内にあり、使用しているシステムの通信相手にできる別のシステム。
「リモート・システム」パースペクティブ (Remote Systems Perspective)
ISPF に似た規約を使用して、リモート・システムを管理するインターフェースを提供する。
リポジトリー (Repository)
  1. データのストレージ域。すべてのリポジトリーは名前と、関連するビジネス項目タイプを備えている。デフォルトでは、名前はビジネス項目の名前と同じものになる。例えば、送り状のリポジトリーは「Invoices」と呼ばれる。 ローカル (プロセスに固有のもの) とグローバル (再利用可能なもの) の 2 つのタイプの情報リポジトリーがある。
  2. BTS プロセスの状態を保管している VSAM データ・セット。プロセスが BTS の制御下で実行されていない場合、そのプロセスの状態 (およびそのプロセスを構成するアクティビティーの状態) は、リポジトリー・データ・セットに書き込まれることによって保存される。特定のプロセス・タイプに属するすべてのプロセス (およびそれらのアクティビティー・インスタンス) の状態は、同じリポジトリー・データ・セットに保管される。複数のプロセス・タイプのレコードを同じリポジトリーに書き込むことができる。
  3. ソース・コードおよびその他のアプリケーション・リソース用の永続的なストレージ域。 チーム・プログラミング環境においては、共用リポジトリーによってアプリケーション・リソースへのマルチユーザー・アクセスが可能になる。
  4. クラスターのメンバーであるキュー・マネージャーに関する情報のコレクション。この情報には、キュー・マネージャーの名前、ロケーション、チャネル、ホスト対象となるキューなどが含まれる。
リポジトリー・インスタンス (Repository Instance)
SCM 内に存在するプロジェクトまたはコンポーネント。
リポジトリー・ビュー (Repositories View)
ワークベンチに追加された CVS リポジトリー・ロケーションを表示する。
応答ファイル (Response File)
  1. プログラムからの質問に対する定義済みの回答セットが入っているファイル。それらの値を一度に 1 つずつ入力する代わりに使用される。
  2. インストールを自動化するセットアップおよび構成データを使用してカスタマイズできる ASCII ファイル。セットアップおよび構成データは本来、対話式インストールのときに入力すべきものだが、応答ファイルを使用すると、インストールを介入なしに進行させることができる。
サーバー・ビュー (Servers View)
使用しているすべてのサーバーとそれに関連した構成をリストとして表示する。
シェル (Shell)
ユーザーとオペレーティング・システムの間のソフトウェア・インターフェース。コマンドおよびユーザー対話を解釈し、ユーザーとオペレーティング・システムの間の通信を行う。さまざまなレベルのユーザー対話を処理するために、1 つのコンピューターに、複数のレイヤーのシェルが存在する場合がある。
シェル名 (Shell Name)
シェル・インターフェースの名前。
シェル・スクリプト (Shell Script)
シェルが解釈できる、コマンドが入ったファイル。ユーザーは、シェル・コマンド・プロンプトでスクリプト・ファイルの名前を入力して、シェルにスクリプト・コマンドを実行させる。
SIDEDECK
DLL プログラムの機能を公開するライブラリー。ソース・コードがコンパイルされた後、入り口名とモジュール名は、このライブラリーに保管される。
サイレント・インストール (Silent Installation)
コンソールにメッセージを送らず、その代わりにメッセージとエラーをログ・ファイルに保管するインストール。また、サイレント・インストールはデータ入力に応答ファイルを使用できる。
サイレント・アンインストール (Silent Uninstallation)
アンインストール・コマンドが起動された後、コンソールにメッセージを送らず、その代わりにメッセージとエラーをログ・ファイルに保管するアンインストール・プロセス。
タスク・リスト (Task List)
単一の制御フローによって実行できる手順のリスト。
URL
Uniform Resource Locator の略。

特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものです。この資料の他の言語版を IBM から入手できる場合があります。ただし、これを入手するには、本製品または当該言語版製品を所有している必要がある場合があります。

本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。 日本で利用可能な製品、サービス、および機能については、日本 IBM の営業担当員にお尋ねください。 本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、または サービスのみが使用可能であることを意味するものではありません。 これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の 製品、プログラム、またはサービスを使用することができます。 ただし、IBM 以外の製品とプログラムの操作またはサービスの 評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について 実施権を許諾することを意味するものではありません。 実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒103-8510
東京都中央区日本橋箱崎町19番21号
日本アイ・ビー・エム株式会社
法務・知的財産
知的財産権ライセンス渉外

IBM およびその直接または間接の子会社は、本書を特定物として現存するままの 状態で提供し、商品性の保証、特定目的適合性の保証および法律上の 瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものと します。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。 本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に 記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において製造元所有以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。 それらの Web サイトにある資料は、この IBM 製品の資料の一部では ありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムと その他のプログラム (本プログラムを含む) との間での情報交換、 および (ii) 交換された情報の相互利用を可能にすることを目的として、 本プログラムに関する情報を必要とする方は、下記に連絡してください。

IBM Director of Licensing
IBM Corporation
North Castle Drive, MD-NC119
Armonk, NY 10504-1785
US

本プログラムに関する上記の情報は、適切な使用条件の下で使用すること ができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資 料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、 またはそれと同等の条項に基づいて、IBM より提供されます。

記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。 実際の結果は特定の構成や稼働条件によって異なります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、 もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、 あるいは製品などの名前が含まれている場合があります。 これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

著作権使用許諾:

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・ プラットフォームのアプリケーション・プログラミング・インターフェースに 準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、 いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、 配布することができます。 このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。 従って IBM は、これらの サンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。 サンプル・プログラムは、現存するままの状態で提供され、いかなる保証条件も適用されません。IBM は、お客様の当該サンプル・プログラムの使用から生ずるいかなる損害に対しても一切の責任を負いません。

プログラミング・インターフェース情報

商標

IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corp. の商標です。 他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。

製品資料に関するご使用条件

これらの資料は、以下のご使用条件に同意していただける場合に限りご使用いただけます。

適用範囲

IBM Web サイトの「ご利用条件」に加えて、以下のご使用条件が適用されます。

個人使用

これらの資料は、すべての著作権表示その他の所有権表示をしていただくことを条件に、非商業的な個人による使用目的に限り複製することができます。 ただし、IBM の明示的な承諾をえずに、これらの資料またはその一部について、 二次的著作物を作成したり、配布 (頒布、送信を含む) または表示 (上映を含む) することは できません。

商業的使用

これらの資料は、すべての著作権表示その他の所有権表示をしていただくことを条件に、お客様の企業内に限り、複製、配布、および表示することができます。 ただし、IBM の明示的な承諾をえずにこれらの資料の二次的著作物を作成したり、 お客様の企業外で資料またはその一部を複製、配布、または表示することはできません。

権利

ここで明示的に許可されているもの以外に、資料や資料内に含まれる情報、データ、ソフトウェア、またはその他の知的所有権に対するいかなる許可、ライセンス、または権利を明示的にも黙示的にも付与するものではありません。

資料の使用が IBM の利益を損なうと判断された場合や、上記の条件が適切に守られていないと判断された場合、IBM はいつでも自らの判断により、ここで与えた許可を撤回できるものとさせていただきます。

お客様がこの情報をダウンロード、輸出、または再輸出する際には、米国のすべての輸出入 関連法規を含む、すべての関連法規を遵守するものとします。

IBM は、これらの資料の内容についていかなる保証もしません。これらの資料は、特定物として現存するままの状態で 提供され、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべて の明示もしくは黙示の保証責任なしで提供されます。

著作権使用許諾

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・ プラットフォームのアプリケーション・プログラミング・インターフェースに 準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、 いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、 配布することができます。 このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。 従って IBM は、これらの サンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。 サンプル・プログラムは、現存するままの状態で提供され、いかなる保証条件も適用されません。IBM は、お客様の当該サンプル・プログラムの使用から生ずるいかなる損害に対しても一切の責任を負いません。

商標の帰属表示

IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corp. の商標です。 他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。

Adobe および PostScript は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標です。

Cell Broadband Engine - Sony Computer Entertainment Inc.

Intel、Intel Centrino、Intel SpeedStep、Intel Xeon、Celeron、Itanium、および Pentium は、Intel Corporation または子会社の米国およびその他の国における商標または登録商標です。

IT Infrastructure Library は英国 Office of Government Commerce の一部である the Central Computer and Telecommunications Agency の登録商標です。

ITIL は英国 The Minister for the Cabinet Office の登録商標および共同体登録商標であって、米国特許商標庁にて登録されています。

Linear Tape-Open、LTO、および Ultrium は、HP、IBM Corp. および Quantum の米国およびその他の国における商標です。

Linux は、Linus Torvalds の米国およびその他の国における登録商標です。

Microsoft、Windows および Windows ロゴは、Microsoft Corporation の米国およびその他の国における商標です。

Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録商標です。

UNIX は The Open Group の米国およびその他の国における登録商標です。