注: 本資料をご使用になる前に、必ず特記事項に記載されている情報をお読みください。
|
本書は、IBM®
Rational® Developer for z Systems™ バージョン 9.5 (プログラム番号 5724-T07、またはプログラム番号 5697-CDT の一部) および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。
お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。
IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、 自ら適切と信ずる方法で、使用もしくは配布することができるものとします。
© Copyright IBM Corporation 2000, 2015
この資料では、IBM Rational Developer for z Systems 本体と、その他の z/OS® コンポーネントおよび製品 (WLM や TCP/IP など) の各種構成作業の背景情報について説明しています。
本書の情報は、すべての IBM Rational Developer for z Systems バージョン 9.5.1 パッケージに適用されます。
本書の最新バージョンについては、IBM Rational Developer for z Systems ホスト構成リファレンス (SC43-2912) (http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss?CTY=US&FNC=SRX&PBL=SC43-2912) を参照してください。
インストールの説明、ホワイト・ペーパー、ポッドキャスト、およびチュートリアルを含む、資料一式の最新バージョンについては、IBM Rational Developer for z Systems Web サイトの ライブラリー・ページ (http://www-01.ibm.com/software/sw-library/en_US/products/Z964267S85716U24/) を参照してください。
本書は、IBM Rational Developer for z Systems バージョン 9.5.1 を構成およびチューニングするシステム・プログラマーを対象としています。
実際の構成は他の資料に記載されていますが、本書では、チューニング、セキュリティーのセットアップなど、各種の関連テーマについて詳しく挙げています。 本書を使用するには、z/OS UNIX システム・サービスおよび MVS™ ホスト・システムに精通している必要があります。
このセクションでは、「IBM
Rational Developer for z Systems バージョン 9.5.1 ホスト構成リファレンス・ガイド (SC43-2912-00)」(2015 年 12 月更新) の変更点を要約します。
本文または図表に対して技術的な変更または追加が行われている場合には、その個所の左側に縦線を引いて示してあります。
新しい情報:
削除された情報:
バージョン 9.5.1 では、RSE および JES ジョブ・モニター関連の機能が、IBM
Rational Developer for z Systems から、IBM Explorer for z/OS という別の製品に移行されました。
この移行には、関連する資料も含まれます。
本書には、「IBM
Rational Developer for z Systems Version 9.5 ホスト構成リファレンス」(SC43-0629-09) に記載されていた情報が含まれています。
本書には、「IBM Rational Developer for System z Version 9.1.1 ホスト構成リファレンス」(SA88-4226-07) に記載されていた情報が含まれています。
本書には、「IBM Rational Developer for System z バージョン 9.1.1 ホスト構成リファレンス 」(SA88-4226-07) に記載されていた情報が含まれています。
本書には、「IBM Rational Developer for System zバージョン 9.0.1 ホスト構成リファレンス」(SA88-4226-07) に記載されていた情報が含まれています。
本書には、「IBM Rational Developer for System zバージョン 9.0.1 ホスト構成リファレンス」(SA88-4226-04) に記載されていた情報が含まれています。
新しい情報:
本書には、「IBM Rational Developer for System zバージョン 8.5.1 ホスト構成リファレンス」(SA88-4226-03) に記載されていた情報が含まれています。
本書には、「IBM Rational Developer for System zバージョン 8.5 ホスト構成リファレンス」(SA88-4226-02) に記載されていた情報が含まれています。
ここでは、本書に記載されている情報を要約します。
Developer for z Systems ホストは、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。 これらのコンポーネントの設計を理解しておくと、構成に関して適切な判断を行うことができます。
Developer for z
Systems は、他のホスト・コンポーネントとやり取りするため、セキュリティーへの影響があります。
Developer for z Systems では、TCP/IP を使用して、非メインフレーム・ワークステーションのユーザーに、メインフレームからアクセスすることができます。 また、各種コンポーネントと他の製品との通信にも TCP/IP が使用されます。
従来の z/OS アプリケーションとは異なり、Developer for z Systems は、ワークロード・マネージャー (WLM) で容易に識別できる一体構造のアプリケーションではありません。Developer for z Systems は、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。これらのサービスの一部は異なるアドレス・スペースでアクティブとなるため、WLM 分類も異なることになります。
Developer for z
Systems は、プロジェクト定義をサポートして、z/OS Explorer のクライアントへのプッシュ (ホストベースのクライアント制御) を拡張します。
この章には、CICS Transaction Server 管理者に有益な情報が記載されています。
このセクションは、Application Transparent Transport Layer Security (AT-TLS) のセットアップ時、または既存のセットアップの検査時や変更時に起きる可能性があるいくつかの一般的な問題について、ユーザーを支援するためのものです。
Developer for z Systems ホストは、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。 これらのコンポーネントの設計を理解しておくと、構成に関して適切な判断を行うことができます。
Developer for z
Systems は、IBM Explorer for z/OS 上に構築されています。
z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『セキュリティーに関する考慮事項』を参照してください。
前の段落とリストで説明したのは、RSE に割り当てられている中心的な役割です。わずかな例外を除き、クライアント通信はすべて RSE を経由します。これにより、クライアント/ホスト通信に使用されるポートの数が限定されるため、セキュリティーに関連したネットワーク・セットアップが容易になります。
クライアントからの接続とワークロードを管理するために、RSE は、スレッド・プーリング・アドレス・スペースを制御するデーモン・アドレス・スペースから構成されています。デーモンは接続と管理のためのフォーカル・ポイントとして機能し、スレッド・プールはクライアント・ワークロードを処理します。rse.env 構成ファイルに定義されている値と実際のクライアント接続数に基づいて、デーモンは複数のスレッド・プール・アドレス・スペースを開始することができます。
図 2 は、z/OS Explorer および Developer for z
Systems のさまざまなタスクで使用されるセキュリティー資格情報の所有者の基本的概要を示しています。
タスクの所有権は、2 つの部分に分けることができます。開始タスクは、ご使用のセキュリティー・ソフトウェアで開始タスクに割り当てられているユーザー ID が所有します。それ以外のすべてのタスク (RSE スレッド・プール (RSEDx) は例外) は、クライアント・ユーザー ID が所有します。
図 2 は、z/OS Explorer および Developer for z Systems の開始タスク (DBGMGR、JMON、および RSED) およびサンプルの開始タスクと、Developer for z Systems が通信するシステム・サービスを示しています。 USS REXEC タグは、z/OS UNIX REXEC (または SSH) サービスを表します。
RSE デーモン (RSED) は、クライアント要求を処理するために RSE スレッド・プール・アドレス・スペース (RSEDx) を 1 つ以上作成します。各 RSE スレッド・プールは、複数のクライアントをサポートし、RSE デーモンと同じユーザーによって所有されます。各クライアントには、スレッド・プール内に専用のスレッドがあり、これらのスレッドはクライアント・ユーザー ID が所有します。
クライアントが実行するアクションによっては、1 つ以上の追加のアドレス・スペース (いずれもクライアント・ユーザー ID が所有) を開始して要求されたアクションを実行できます。これらのアドレス・スペースにできるのは、MVS バッチ・ジョブ、APPC トランザクション、または z/OS UNIX 子プロセスです。z/OS UNIX 子プロセスは、z/OS UNIX イニシエーター (BPXAS) 内でアクティブとなり、JES では開始タスクとして表示されることに注意してください。
これらのアドレス・スペースの作成は、ほとんどの場合、スレッド・プール内のユーザー・スレッドによって、直接的に、あるいは ISPF などのシステム・サービスを使用してトリガーされます。ただし、アドレス・スペースはサード・パーティーが作成する可能性もあります。例えば、z/OS UNIX でビルドを開始する際には、z/OS UNIX REXEC または SSH が関与します。
ユーザー固有のアドレス・スペースは、タスクが完了するか、または非アクティブ・タイマーの期限が切れると終了します。開始タスクはアクティブなままとなります。 図 2 に示されているアドレス・スペースは、表示の対象となるほど長くシステムに残ります。ただし、z/OS UNIX の設計仕様のために、存続期間の短い一時的なアドレス・スペースもいくつか存在することに注意してください。
Developer for z Systems は CARMA サーバーを始動する複数の方式をサポートしています。 それぞれの方式には利点と欠点があります。Developer for z Systems も、複数の Repository Access Manager (RAM) を提供します。これらは実動 RAM とサンプル RAM という 2 つのグループに分けられます。 事前構成されたセットアップとして、 RAM とサーバー始動方式のさまざまな組み合わせが可能です。
すべてのサーバー始動方式は共通の構成ファイル CRASRV.properties を共有します。このファイルは (特に) どの始動方式を使用するかを指定します。
「CRASTART」方式は、CARMA サーバーを RSE 内のサブタスクとして始動します。この方式では、CARMA サーバーを始動するために必要なデータ・セット割り振りとプログラム呼び出しを別個の構成ファイルで定義し、その構成ファイルを使用するので、非常に柔軟なセットアップが可能です。この方式では最良のパフォーマンスが得られ、使用するリソースも最少で済みますが、モジュール CRASTART を LPA 内に配置する必要があります。
RSE は、ロード・モジュール CRASTART を呼び出します。これは crastart*.conf の定義を使用してバッチ TSO と ISPF コマンドを実行するのに有効な環境を作成します。 Developer for z Systems はこの環境を使用して、CARMA サーバー CRASERV を稼働させます。Developer for z Systems は複数の crastart*.conf ファイルを提供します。これらのファイルは、それぞれ特定の RAM 用に事前構成されています。
「バッチ実行依頼」方式は、ジョブを実行依頼することによって CARMA サーバーを始動します。これが、提供されたサンプル構成ファイルで使用されるデフォルトの方式です。この方式の利点は、ジョブ出力内で CARMA ログに簡単にアクセスできることです。また、開発者自身が保守する開発者ごとのカスタム・サーバー JCL を使用できます。ただし、この方式では、CARMA サーバーを始動した開発者ごとに 1 つずつ JES イニシエーターが使用されます。
RSE は CLIST CRASUB* を呼び出します。これは次に組み込み JCL を実行依頼して、バッチ TSO と ISPF コマンドを実行するのに有効な環境を作成します。 Developer for z Systems はこの環境を使用して、CARMA サーバー CRASERV を稼働させます。Developer for z Systems は、複数の CRASUB* メンバーを提供します。これらのメンバーは、それぞれ特定の RAM 用に事前構成されています。
図 5 は、Developer for z Systems が使用する z/OS UNIX ディレクトリーの概要を示しています。以下のリストでは、Developer for z Systems が関与する各ディレクトリー、ロケーションの変更方法、および内部のデータを保守する当事者について説明します。
Developer for z
Systems は、追加機能の提供により z/OS Explorer を拡張します。それらの追加機能の中には、他のシステム・コンポーネントおよび製品 (Software Configuration Manager (SCM) など) とやり取りするものがあります。
提供されるそれらの機能をセキュアにするために、Developer for z
Systems 固有のセキュリティー定義を使用します。
Developer for z Systems サーバーとサービスが使用するセキュリティー・メカニズムは、それが存在するデータ・セットとファイル・システムがセキュアであることに依存しています。つまり、信頼されたシステム管理者のみがプログラム・ライブラリーと構成ファイルを更新できる状態でなければなりません。
Developer for z
Systems は、IBM Explorer for z/OS 上に構築されています。
z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『セキュリティーに関する考慮事項』を参照してください。
この章では、以下のトピックについて説明します。
CARMA 認証
クライアント認証は、クライアントの接続要求の一環として、RSE デーモンによって行われます。 CARMA は、ユーザー固有のスレッドから開始され、ユーザーのセキュリティー環境を継承することで、追加の認証を不要にします。
SCLM Developer Toolkit 認証
クライアント認証は、クライアントの接続要求の一環として、RSE デーモンによって行われます。 SCLMDT は、ユーザー固有のスレッドから開始され、ユーザーのセキュリティー環境を継承することで、追加の認証を不要にします。
クライアント認証は、クライアントの接続要求の一環として、RSE デーモンによって行われます。
ユーザーが認証されると、デバッグ・マネージャーへの自動ログオンも含め、その後のすべての認証要求には、自己生成された PassTicket が使用されます。
デバッグ・マネージャーが、RSE から提供されたユーザー ID と PassTicket を妥当性検査するためには、PassTicket を評価できる必要があります。これは、ロード・モジュール AQEZPCM (デフォルトではロード・ライブラリー FEL.SFEKAUTH 内にある) に APF 許可が必要であることを意味します。
クライアント・ベースのデバッグ・エンジンがデバッグ・マネージャーに接続する際には、認証用の有効なセキュリティー・トークンを提示する必要があります。
Developer for z Systems クライアントとホストの間の通信の大部分を RSE を介して行うことで、z/OS Explorer によって提供される接続セキュリティーを利用します。
TTLSRule RDz_Debug_Manager
{
LocalPortRange 5335
Direction Inbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef RDz_Debug_Manager
}
TTLSEnvironmentAction RDz_Debug_Manager
{
HandshakeRole Server
TTLSKeyRingParms
{
Keyring dbgmgr.racf # Keyring must be owned by the Debug Manager
}
}
TTLSGroupAction grp_Production
{
TTLSEnabled On
Trace 2
}
オプションの統合デバッガーでは、ユーザーは、指定されたセキュリティー・プロファイルに対する十分なアクセス権限を持っている必要があります。ユーザーが必要な権限を持っていない場合、デバッグ・セッションは開始しません。
Developer for z Systems は、表 1 にリストされたプロファイルへのアクセスを確認して、デバッグ権限が付与されているかを判別します。
FACILITY プロファイル | 必要なアクセス権 | 結果 |
---|---|---|
AQE.AUTHDEBUG.STDPGM | READ | ユーザーは問題プログラム状態のアプリケーションをデバッグ可能 |
AQE.AUTHDEBUG.AUTHPGM | READ | ユーザーは問題プログラム状態かつ許可済みであるアプリケーションをデバッグ可能 |
RDEFINE FACILITY (AQE.AUTHDEBUG.STDPGM) -
UACC(NONE) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS – DEBUG PROBLEM-STATE')
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) -
ID(RDZDEBUG) ACCESS(READ)
SETROPTS RACLIST(FACILITY) REFRESH
オプションの統合デバッガーを使用すると CICS トランザクションをデバッグできます。詳しくは、CICS トランザクションのデバッグ を参照してください。
SCLM Developer Toolkit サービスは、ビルド、プロモート、およびデプロイ機能に対するオプションのセキュリティー機能を提供します。
SCLM 管理者による機能に対してセキュリティーが有効の場合、保護された機能を呼び出し元ユーザー ID または代理ユーザー ID で実行する権限を確認するために、SAF 呼び出しが行われます。
必要な SCLM セキュリティー定義の詳細については、「SCLM Developer Toolkit 管理者ガイド」(SC88-5664) を参照してください。
サンプル FELRACF ジョブをカスタマイズし、実行依頼してください。これには、Developer for z
Systems 用の基本セキュリティー定義を作成する、サンプルの RACF® コマンドが含まれています。サンプル AQERACF ジョブをカスタマイズし、実行依頼してください。これには、統合デバッガー用のセキュリティー定義を作成する、サンプルの RACF コマンドが含まれています。
FELRACF および AQERACF は、FEL.#CUST.JCL に置かれます。ただし、FEL.SFELSAMP(FELSETUP) ジョブをカスタマイズして実行依頼したときに別のロケーションを指定した場合は除きます。詳しくは、
「Rational
Developer for z Systems ホスト構成ガイド」の『カスタマイズのセットアップ』を参照してください。
RACF コマンドの詳細については、「RACF コマンド言語解説書」(SA88-8617) を参照してください。
説明 |
|
値 |
---|---|---|
Developer for z Systems 製品の高位修飾子 |
|
|
Developer for z Systems カスタマイズ高位修飾子 |
|
|
統合デバッガー開始タスク名 |
|
重要: 「WHEN PROGRAM」がアクティブの場合、一部の製品 (FTP など) はプログラムで制御することが必要です。このプログラム制御は、実動システム上でアクティブにする前にテストしてください。 |
Developer for z Systems のユーザーごとに、有効なゼロ以外の z/OS UNIX ユーザー ID (UID)、ホーム・ディレクトリー、およびシェル・コマンドを指定する RACF OMVS セグメントまたは同等のものを定義する必要があります。また、ユーザーのデフォルト・グループも、グループ ID を持つ OMVS セグメントを必要とします。
オプションの統合デバッガーを使用するときには、デバッグするアプリケーションをアクティブ化したユーザー ID、およびそのデフォルト・グループにも、有効な RACF OMVS セグメントまたは同等のものが必要です。
以下のサンプルの RACF コマンドでは、#userid、#user-identifier、#group-name、および #group-identifier の各プレースホルダーを実際の値に置き換えてください。
ALTUSER #userid
OMVS(UID(#user-identifier) HOME(/u/#userid) PROGRAM(/bin/sh) NOASSIZEMAX)
以下のサンプル RACF コマンドは、保護されたユーザー ID (STCDBM) とそれに割り当てられたグループ STCGROUP を使用して、DBGMGR 開始タスクを作成します。
ADDGROUP STCGROUP OMVS(AUTOGID)
DATA('GROUP WITH OMVS SEGMENT FOR STARTED TASKS')
ADDUSER STCDBM DFLTGRP(STCGROUP) NOPASSWORD NAME('DEBUG MANAGER')
OMVS(AUTOUID HOME(/tmp) PROGRAM(/bin/sh) )
DATA('Rational Developer for z Systems')
RDEFINE STARTED DBGMGR.* DATA('DEBUG MANAGER')
STDATA(USER(STCDBM) GROUP(STCGROUP) TRUSTED(NO))
統合デバッガーは、デバッグ・スレッドのセキュリティー環境を作成または削除するため、BPX.SERVER プロファイルに対する UPDATE アクセス権を必要とします。UID(0) を使用してこの要件を回避することはサポートされていません。この許可は、オプションの統合デバッガー・フィーチャーが使用される場合にのみ必要です。
重要: BPX.SERVER プロファイルを定義すると、z/OS UNIX 全体が UNIX レベルのセキュリティーから、より安全な z/OS UNIX レベルのセキュリティーに切り替わります。この切り替えによって、他の z/OS UNIX アプリケーションと操作が影響を受ける場合もあります。セキュリティーは、実動システム上でアクティブにする前にテストしてください。さまざまなセキュリティー・レベルの詳細については、「UNIX System Services 計画」(GA88-8639) を参照してください。
|
BPX.SERVER に対する権限を持つサーバーは、クリーンなプログラム制御環境で実行する必要があります。この要件は、デバッグ・マネージャーによって呼び出されるすべてのプログラムも、プログラムで制御する必要があることを意味します。MVS ロード・ライブラリーの場合、プログラム制御はセキュリティー・ソフトウェアによって管理されます。
オプションのサービスを使用できるようにするには、以下の前提条件の追加ライブラリーがプログラムで制御されるようにする必要があります。このリストには、Developer for z
Systems がやり取りする製品 (IBM Explorer for z/OS など) に固有のデータ・セットは含まれていません。
クライアントのパスワードまたは、X.509 証明書などのその他の識別手段は、接続時に ID を検査するためにのみ使用されます。その後は、スレッド・セキュリティーを維持するために PassTicket が使用されます。このステップは、クライアントが接続可能になるために必要です。
RDEFINE PTKTDATA FEKAPPL UACC(NONE) SSIGNON(KEYMASKED(key16))
APPLDATA('NO REPLAY PROTECTION – DO NOT CHANGE')
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
RDEFINE PTKTDATA IRRPTAUTH.FEKAPPL.* UACC(NONE)
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
PERMIT IRRPTAUTH.FEKAPPL.* CLASS(PTKTDATA) ACCESS(UPDATE) ID(STCRSE)
SETROPTS RACLIST(PTKTDATA) REFRESH
RSE は、FEKAPPL 以外のアプリケーション ID の使用をサポートしています。これをアクティブにするには、「IBM Rational Developer for z Systems ホスト構成ガイド」の『_RSE_JAVAOPTS での追加 Java 始動パラメーターの定義』の説明に従って、rdz.env 内の「APPLID=FEKAPPL」オプションをコメント解除してカスタマイズします。PTKTDATA クラス定義は、RSE が使用する実際のアプリケーション ID と一致している必要があります。
重要: パスチケットが正しくセットアップされていないと、クライアント接続要求は失敗します。
|
MODIFY LOGS オペレーター・コマンドは、RSED 開始タスクのユーザー ID を使用して、ホスト・ログおよびセットアップ情報を収集します。 また、デフォルトで、セキュア・ファイル・アクセス許可 (所有者のみがアクセス権を保持する) を使用して、ユーザー・ログ・ファイルが作成されます。セキュア・ユーザー・ログ・ファイルを収集できるようにするには、RSED 開始タスクのユーザー ID が、それらのファイルを読み取る許可を持っていなければなりません。
MODIFY LOGS オペレーター・コマンドの OWNER 引数を指定すると、指定されたユーザー ID が、収集されたデータの所有者になります。所有権を変更するには、RSED 開始タスクのユーザー ID が、CHOWN z/OS UNIX サービスを使用する許可を持っていなければなりません。
SUPERUSER.FILESYS.ACLOVERRIDE プロファイルが定義されている場合、ACL (アクセス制御リスト) で定義されているアクセス許可は、SUPERUSER.FILESYS を介して付与された許可よりも優先される点に注意してください。 ACL 定義をバイパスする場合、RSED 開始タスクのユーザー ID には、SUPERUSER.FILESYS.ACLOVERRIDE プロファイルに対する READ アクセス権が必要になります。
クライアントがログオンするときに、RSE デーモンはユーザーがアプリケーションの使用を許可されていることを検証します。
RDEFINE APPL FEKAPPL UACC(READ) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
SETROPTS RACLIST(APPL) REFRESH
BPX.SERVER に対する権限を持つサーバーは、クリーンなプログラム制御環境で実行する必要があります。この要件は、RSE によって呼び出されるすべてのプログラムも、プログラムで制御する必要があることを意味します。z/OS UNIX ファイルの場合、プログラム制御は extattr コマンドによって管理されます。このコマンドを実行するには、 FACILITY クラス内の BPX.FILEATTR.PROGCTL に対する READ アクセス権を持つか、または UID(0) であることが必要です。
$ ls -Eog /usr/lib/libIRRRacf*.so
-rwxr-xr-x aps- 2 69632 Oct 5 2007 /usr/lib/libIRRRacf.so
-rwxr-xr-x aps- 2 69632 Oct 5 2007 /usr/lib/libIRRRacf64.so
JES ジョブ・モニターは、ユーザーが要求したすべての JES オペレーター・コマンドを、拡張 MCS (EMCS) コンソールを通じて発行します。このコンソールの名前は、「Rational Developer for z Systems ホスト構成ガイド」の『FEJJCNFG、JES ジョブ・モニター構成ファイル』にあるように、CONSOLE_NAME ディレクティブによって制御されます。
RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ)
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
RDEFINE OPERCMDS JES%.** UACC(NONE)
PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) WHEN(CONSOLE(JMON)) ID(*)
SETROPTS RACLIST(OPERCMDS) REFRESH
重要: ご使用のセキュリティー・ソフトウェアで汎用アクセス NONE を使用して JES コマンドを定義すると、他のアプリケーションや操作に影響が出る場合があります。セキュリティーは、実動システム上でアクティブにする前にテストしてください。
|
表 3 および表 4 は、JES2 および JES3 について発行されたオペレーター・コマンドと、それらを保護するために使用できる個別セキュリティー・プロファイルを示しています。
アクション | コマンド | OPERCMDS プロファイル | 必要なアクセス権 |
---|---|---|---|
保留 | $Hx(jobid) x = {J、S、または T} |
|
UPDATE |
保留解除 | $Ax(jobid) x = {J、S、または T} |
|
UPDATE |
キャンセル | $Cx(jobid) x = {J、S、または T} |
|
UPDATE |
パージ | $Cx(jobid),P
x = {J、S、または T} |
|
UPDATE |
アクション | コマンド | OPERCMDS プロファイル | 必要なアクセス権 |
---|---|---|---|
保留 | *F,J=jobid,H |
|
UPDATE |
保留解除 | *F,J=jobid,R |
|
UPDATE |
キャンセル | *F,J=jobid,C |
|
UPDATE |
パージ | *F,J=jobid,C |
|
UPDATE |
TSO セッションから JMON コンソールを作成することによって JES ジョブ・モニター・サーバーの ID を装うことは、セキュリティー・ソフトウェアによって防止されます。コンソールを作成できても、例えば、JES ジョブ・モニターと TSO とでは、エントリー・ポイントが異なります。この資料で説明されているとおりにセキュリティーがセットアップされており、ユーザーが他の手段によって JES コマンドに対する権限を持っていない場合は、そのコンソールから発行された JES コマンドはセキュリティー検査で不合格になります。
ユーザーが問題プログラム状態のプログラムのデバッグに統合デバッガーを使用できるようになるには、リストされている AQE.AUTHDEBUG.* プロファイルのいずれかに対する READ アクセス権が必要です。AQE.AUTHDEBUG.AUTHPGM プロファイルへのアクセスが許可されているユーザーは、APF 許可済みのプログラムをデバッグすることもできます。#apf プレースホルダーは、許可済みプログラムのデバッグが許可されているユーザーの、有効なユーザー ID または RACF グループ名に置き換えてください。
RDEFINE FACILITY AQE.AUTHDEBUG.STDPGM UACC(NONE)
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) ACCESS(READ) ID(*)
RDEFINE FACILITY AQE.AUTHDEBUG.AUTHPGM UACC(NONE)
PERMIT AQE.AUTHDEBUG.AUTHPGM CLASS(FACILITY) ACCESS(READ) ID(#apf)
SETROPTS RACLIST(FACILITY) REFRESH
ほとんどの Developer for z Systems データ・セットの場合、ユーザーには READ アクセス権限、システム・プログラマーには ALTER アクセス権限で十分です。 #sysprog プレースホルダーは、有効なユーザー ID または RACF グループ名に置き換えてください。また、正しいデータ・セット名については、製品をインストールおよび構成したシステム・プログラマーに問い合わせてください。FEK はインストール時に使用されたデフォルトの高位修飾子で、FEL.#CUST はカスタマイズ・プロセスで作成されたデータ・セットのデフォルトの高位修飾子です。
ADDGROUP (FEL) OWNER(IBMUSER) SUPGROUP(SYS1)
DATA('IBM Rational Developer for z Systems - HLQ STUB')
ADDSD 'FEL.*.**' UACC(READ)
DATA('IBM Rational Developer for z Systems')
PERMIT 'FEL.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
SETROPTS GENERIC(DATASET) REFRESH
ADDSD 'FEL.#CUST.LSTRANS.*.**' UACC(UPDATE)
DATA('IBM Rational Developer for z Systems - SCLMDT')
PERMIT 'FEL.#CUST.LSTRANS.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
SETROPTS GENERIC(DATASET) REFRESH
ADDSD 'FEL.#CUST.CRA*.**' UACC(READ)
DATA('IBM Rational Developer for z Systems - CARMA')
PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(UPDATE) ID(#ram-developer)
SETROPTS GENERIC(DATASET) REFRESH
セキュリティーに関連するカスタマイズの結果を表示するには、以下のサンプル・コマンドを使用します。
Developer for z Systems では、TCP/IP を使用して、非メインフレーム・ワークステーションのユーザーに、メインフレームからアクセスすることができます。 また、各種コンポーネントと他の製品との通信にも TCP/IP が使用されます。
Developer for z
Systems は、IBM Explorer for z/OS 上に構築されています。
z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『TCP/IP に関する考慮事項』を参照してください。
図 7 は、z/OS Explorer および Developer for z
Systems で使用できる TCP/IP ポートを示しています。
矢印は、バインドの実行元 (矢印の先) と接続元を示しています。
z/OS Explorer および Developer for z
Systems が使用するポートを予約するのに PROFILE.TCPIP 内の PORT ステートメントまたは PORTRANGE ステートメントを使用する場合、RSE スレッド・プール内でアクティブなスレッドによって多数のバインドが行われることに注意してください。RSE スレッド・プールのジョブ名は、RSEDx です。ここで、RSED は RSE 開始タスクの名前で、x はランダムな 1 桁の数値です。したがって、定義内にワイルドカードが必要です。
PORT 4035 TCP RSED ; z/OS Explorer – RSE daemon
PORT 6715 TCP JMON ; z/OS Explorer – JES job monitor
PORT 5335 TCP DBGMGR ; Developer for z Systems – Integrated debugger
PORT 5336 TCP DBGMGR ; Developer for x Systems – Integrated debugger
PORTRange 8108 11 TCP RSED* ; z/OS Explorer – RSE_PORTRANGE
;PORTRange 5227 100 TCP RSED* ; Developer for z Systems - CARMA
CARMA (Common Access Repository Manager) は、ホスト・ベースの Software Configuration Manager (SCM) (CA Endevor® SCM など) にアクセスするために使用されます。ほとんどの場合、サーバーは RSE デーモンの場合と同様に、ポートにバインドし、接続要求を listen します。しかし CARMA は別の方法を使用します。これは、クライアントが接続要求を開始した時点で CARMA サーバーがまだアクティブでないためです。
クライアントから接続要求が送信されると、RSE スレッド・プール内でユーザー・スレッドとしてアクティブとなっている CARMA マイナーは、一時ポートを要求するか、CRASRV.properties 構成ファイルに指定されている範囲から空いているポートを見つけ、そのポートにバインドします。次にこのマイナーは、CARMA サーバーを始動してポート番号を渡します。これによって、サーバーは接続先のポートを認識します。サーバーが接続されると、クライアントはサーバーに要求を送信して結果を受信できるようになります。
TCP/IP の観点では、RSE (CARMA マイナー経由) がポートにバインドするサーバーであり、CARMA サーバーがそのポートに接続するクライアントです。
CARMA が使用するポート範囲を予約するのに PROFILE.TCPIP 内の PORT ステートメントまたは PORTRANGE ステートメントを使用する場合、CARMA マイナーが RSE スレッド・プール内でアクティブになっていることに注意してください。RSE スレッド・プールのジョブ名は、RSEDx です。ここで、RSED は RSE 開始タスクの名前で、x はランダムな 1 桁の数値です。したがって、定義内にワイルドカードが必要です。
PORTRange 5227 100 RSED* ; DEVELOPER FOR Z SYSTEMS - CARMA
CARMA (Common Access Repository Manager) は、ホスト・ベースの Software Configuration Manager (SCM) (CA Endevor® SCM など) にアクセスするために使用されます。これを行うために、CARMA はユーザー固有のサーバーを始動します。したがって、スタックのアフィニティーを強制的に設定するために追加の構成が必要になります。
z/OS Explorer および Developer for z
Systems の開始タスクと同様に、CARMA サーバーのスタックのアフィニティーは、_BPXK_SETIBMOPT_TRANSPORT 変数を使用して設定されます。この変数は言語環境プログラム (LE (Language Environment)) に渡される必要があります。これは、アクティブな crastart*.conf または CRASUB* 構成ファイル内の始動コマンドを調整することにより実行可能です。
... PARM(&CRAPRM1. &CRAPRM2.)
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &CRAPRM1. &CRAPRM2.)
... PARM(&PORT &TIMEOUT)
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &PORT &TIMEOUT)
従来の z/OS アプリケーションとは異なり、Rational Developer for z Systems は、ワークロード・マネージャー (WLM) で容易に識別できる一体構造のアプリケーションではありません。Developer for z Systems は、クライアントがホスト・サービスとデータにアクセスできるようにするために相互に作用する、複数のコンポーネントで構成されています。Developer for z Systems についてで説明しているように、これらのサービスの一部は異なるアドレス・スペースでアクティブとなるため、WLM 分類も異なることになります。
Developer for z
Systems は、IBM Explorer for z/OS 上に構築されています。
z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『WLM に関する考慮事項』を参照してください。
図 8 は、z/OS Explorer および Developer for z
Systems のワークロードが WLM に提示されるときに経由するサブシステムの基本的概要を示しています。
RSE デーモン (RSED)、デバッグ・マネージャー (DBGMGR)、および JES ジョブ・モニター (JMON) は、z/OS Explorer および Developer for z
Systems の開始タスク (または長期実行バッチ・ジョブ) であり、それぞれが専用のアドレス・スペースを使用します。
RSE デーモンは RSE スレッド・プール・サーバー (不定数のクライアントをサポート) ごとに子プロセスを spawn します。各スレッド・プールは個別のアドレス・スペースでアクティブになります (z/OS UNIX イニシエーター BPXAS を使用)。これらは spawn されたプロセスであるため、開始タスクの分類規則ではなく、WLM OMVS の分類規則を使用して分類されます。
ユーザーが実行するアクションによっては、スレッド・プール内でアクティブなクライアントが他のアドレス・スペースを多数作成する可能性があります。Developer for z Systems の構成によっては、TSO コマンド・サービス (TSO cmd) や CARMA などの一部のワークロードが、異なるサブシステムで実行される可能性があります。
図 8 に示されているアドレス・スペースは、表示の対象となるほど長くシステムに残りますが、z/OS UNIX の設計仕様のために、存続期間の短い一時的なアドレス・スペースもいくつか存在することに注意してください。これらの一時的なアドレス・スペースは、OMVS サブシステム内でアクティブになります。
RSE スレッド・プールは RSE デーモンと同じユーザー ID および同様のジョブ名を使用しますが、スレッド・プールによって開始されるアドレス・スペースはいずれも、アクションを要求しているクライアントのユーザー ID によって所有されることに注意してください。このクライアント・ユーザー ID は、スレッド・プールによって開始されるすべての OMVS ベース・アドレス・スペースのジョブ名 (の一部) としても使用されます。
Developer for z
Systems が使用するその他のサービス (z/OS UNIX REXEC (USS ビルド) など) によって、さらにアドレス・スペースが作成されます。
WLM は、分類規則を使用して、システムに入ってきた作業をサービス・クラスにマッピングします。この分類は、作業修飾子に基づいています。最初の (必須) 修飾子は、作業要求を受け取るサブシステム・タイプです。表 5 に、Developer for z Systems ワークロードを受け取る可能性があるサブシステム・タイプを示します。
サブシステム・タイプ | 作業の説明 |
---|---|
ASCH | 作業要求には、IBM 提供の APPC/MVS トランザクション・スケジューラー ASCH によってスケジュールされるすべての APPC トランザクション・プログラムが含まれます。 |
JES | 作業要求には、JES2 または JES3 が開始するすべてのジョブが含まれます。 |
OMVS | 作業要求には、z/OS UNIX システム・サービスで fork された子のアドレス・スペースで処理される作業が含まれます。 |
STC | 作業要求には、START および MOUNT コマンドによって開始されるすべての作業が含まれます。STC には、システム・コンポーネント・アドレス・スペースも含まれます。 |
表 6 に、ワークロードを特定のサービス・クラスに割り当てるために使用できる追加の修飾子を示します。リストされている作業修飾子の詳細については、「MVS 計画: ワークロード管理」(SA88-8574) を参照してください。
ASCH | JES | OMVS | STC | ||
---|---|---|---|---|---|
AI | アカウント情報 | x | x | x | x |
LU | LU 名 (*) | ||||
PF | 実行 (*) | x | x | ||
PRI | 優先順位 | x | |||
SE | スケジューリング環境名 | x | |||
SSC | サブシステム・コレクション名 | x | |||
SI | サブシステム・インスタンス (*) | x | |||
SPM | サブシステム・パラメーター | x | |||
PX | シスプレックス名 | x | x | x | x |
SY | システム名 (*) | x | x | x | |
TC | トランザクション/ジョブ・クラス (*) | x | x | ||
TN | トランザクション/ジョブ名 (*) | x | x | x | x |
UI | ユーザー ID (*) | x | x | x | x |
ワークロード分類で説明しているように、Developer for z Systems はシステム上でさまざまなタイプのワークロードを作成します。これらの各種タスクは互いに通信します。つまり、タスク間接続でのタイムアウトの問題を回避するためには、実際の経過時間が重要になります。このため、Developer for z Systems のタスクは、ハイパフォーマンスのサービス・クラスに配置するか、または優先順位の高い適度なパフォーマンスのサービス・クラスに配置する必要があります。
したがって、現行の WLM の目標を改訂または更新することをお勧めします。これは特に、従来の MVS 作業現場で時間依存型の OMVS ワークロードを初めて扱う場合に当てはまります。
表 7 は、z/OS Explorer および Developer for z Systems が使用するアドレス・スペースを示しています。z/OS UNIX では、「タスク名」列の「x」がランダムな 1 桁の数値で置き換えられます。
説明 | タスク名 | ワークロード |
---|---|---|
デバッグ・マネージャー | DBGMGR | STC |
(z/OS Explorer) JES ジョブ・モニター | JMON | STC |
(z/OS Explorer) RSE デーモン | RSED | STC |
(z/OS Explorer) RSE スレッド・プール | RSEDx | OMVS |
![]() ![]() |
![]() ![]() |
![]() ![]() |
![]() ![]() |
<userid>x | OMVS |
(z/OS Explorer) TSO コマンド・サービス (APPC) | FEKFRSRV | ASCH |
CARMA (バッチ) | CRA<port> | JES |
CARMA (crastart) | <userid>x | OMVS |
CARMA (ISPF クライアント・ゲートウェイ) | <userid> および <userid>x | OMVS |
MVS ビルド (バッチ・ジョブ) | * | JES |
z/OS UNIX ビルド (シェル・コマンド) | <userid>x | OMVS |
z/OS UNIX シェル | <userid> | OMVS |
すべての Developer for z
Systems 開始タスクは、リアルタイム・クライアント要求をサービスします。
説明 | タスク名 | ワークロード |
---|---|---|
デバッグ・マネージャー | DBGMGR | STC |
デバッグ・マネージャーは、デバッグされるプログラムと、それらをデバッグするクライアントとを接続するためのサービスを提供します。ハイパフォーマンスの 1 期間の速度目標を指定する必要があります。これは、タスクが WLM に個々のトランザクションを報告しないためです。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。
すべてのワークロードで、クライアント・ユーザー ID をアドレス・スペース名のベースとして使用します。(z/OS UNIX では、「タスク名」列の「x」がランダムな 1 桁の数値で置き換えられます)。
ワークロードは、アドレス・スペース命名規則が共通であるために、すべて同じサービス・クラスに割り当てられることになります。このサービス・クラスには、複数期間の目標を指定する必要があります。最初の期間にはハイパフォーマンスのパーセンタイル応答時間目標を指定し、最後の期間には適度なパフォーマンスの速度目標を指定する必要があります。ISPF クライアント・ゲートウェイなどの一部のワークロードは、個々のトランザクションを WLM に報告しますが、それ以外のワークロードはこれを行いません。
説明 | タスク名 | ワークロード |
---|---|---|
![]() ![]() |
<userid>x | OMVS |
CARMA (crastart) | <userid>x | OMVS |
CARMA (ISPF クライアント・ゲートウェイ) | <userid> および <userid>x | OMVS |
z/OS UNIX ビルド (シェル・コマンド) | <userid>x | OMVS |
z/OS UNIX シェル | <userid> | OMVS |
レガシー ISPF ゲートウェイ
とは、非対話式の TSO コマンドと ISPF コマンドを実行するために Developer for z
Systems によって呼び出される ISPF サービスです。
これには、クライアントが発行する明示的なコマンドと、Developer for z
Systems の SCLMDT コンポーネントが
発行する暗黙的なコマンドが含まれます。
リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。
CARMA はオプションの Developer for z Systems サーバーで、CA Endevor® SCM などのホスト・ベースの Software Configuration Manager (SCM) と対話するために使用されます。Developer for z Systems では、CARMA サーバーをさまざまな方式で始動することができ、その一部は OMVS ワークロードになります。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。
クライアントが z/OS UNIX プロジェクトのビルドを開始すると、z/OS UNIX REXEC (または SSH) によって、ビルドを実行するための多数の z/OS UNIX シェル・コマンドを実行するタスクが開始されます。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、プロジェクトのサイズに応じて中程度から相当量と予想されます。
このワークロードは、クライアントによって発行される z/OS UNIX シェル・コマンドを処理します。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。
JES で管理されるバッチ処理は、Developer for z Systems によってさまざまに使用されます。最も一般的な用途は、MVS ビルドです。ここでは、ジョブが実行依頼され、終了のタイミングを判別するためにモニターされます。ただし、Developer for z Systems は、CARMA サーバーをバッチで始動し、TCP/IP を使用してそのサーバーと通信することもできます。
説明 | タスク名 | ワークロード |
---|---|---|
CARMA (バッチ) | CRA<port> | JES |
MVS ビルド (バッチ・ジョブ) | * | JES |
CARMA は、CA Endevor® SCM などのホスト・ベースの Software Configuration Manager (SCM) とのやり取りに使用される、Developer for z Systems サーバーです。 Developer for z Systems では、CARMA サーバーをさまざまな方法で始動することができ、その一部は JES ワークロードになります。ハイパフォーマンスの 1 期間の速度目標を指定する必要があります。これは、タスクが WLM に個々のトランザクションを報告しないためです。リソース使用量は、ユーザー・アクションに大きく依存するため変動しますが、最少と予想されます。
Developer for z
Systems は、IBM Explorer for z/OS 上に構築されています。
z/OS Explorer 関連の情報については、「IBM Explorer for z/OS ホスト構成リファレンス (SC27-8438)」の『クライアントへのプッシュの考慮事項』を参照してください。
Developer for z
Systems クライアントは、接続時にホストからクライアントの構成ファイルと製品の更新情報を取り出すことができるので、すべてのクライアントの設定が共通になり、最新のものになります。
クライアント管理者は、異なる開発者グループのニーズに適合するように、複数のクライアント構成のセットと複数のクライアント更新シナリオを作成できるようになりました。これにより、ユーザーは、LDAP グループのメンバーシップやセキュリティー・プロファイルに対する許可などの基準に基づいてカスタマイズされたセットアップを受け取れるようになります。
z/OS プロジェクトは、クライアント上の「z/OS プロジェクト」パースペクティブで個別に定義できます。または、z/OS プロジェクトをホスト上で集中的に定義してクライアントに対して個々のユーザー単位で伝搬することもできます。それらの「ホスト・ベースのプロジェクト」は、クライアント上で定義されたプロジェクトと外観も機能もまったく同じですが、クライアントは、それらの構造、メンバー、およびプロパティーを変更できず、ホストに接続している場合にのみ、それらのプロジェクトにアクセスできます。
開発プロジェクト・マネージャーは、プロジェクトを定義して個々の開発者にそのプロジェクトを割り当てます。
開発プロジェクト・マネージャーがそれぞれに割り当てられたタスクを実行する方法について詳しくは、Developer for z Systems IBM Knowledge Center を参照してください。
z/OS プロジェクトは、クライアント上の「z/OS プロジェクト」パースペクティブで個別に定義できます。または、z/OS プロジェクトをホスト上で集中的に定義してクライアントに対して個々のユーザー単位で伝搬することもできます。それらの「ホスト・ベースのプロジェクト」は、クライアント上で定義されたプロジェクトと外観も機能もまったく同じですが、クライアントは、それらの構造、メンバー、およびプロパティーを変更できず、ホストに接続している場合にのみ、それらのプロジェクトにアクセスできます。
ホスト・ベースのプロジェクトのベース・ディレクトリー (クライアント管理者が定義する) は、/var/rdz/pushtoclient/keymapping.xml で定義され、デフォルトでは /var/rdz/pushtoclient/projects になっています。
ホスト・ベースのプロジェクトは、複数グループのセットアップに加えることもできます。
つまり、ホスト・ベースのプロジェクトは /var/rdz/pushtoclient/grouping/<devgroup>/projects/ で定義することもできるということです。
ワークスペースが特定のグループにバインドされているときに、このグループとデフォルト・グループに同一ユーザーのプロジェクト定義が存在すると、そのユーザーはデフォルト・グループとその特定のグループの両方からのプロジェクト定義を受け取ります。
この章では、CICSTS 領域内で使用できる Developer for z
Systems コンポーネントへの参照を
まとめています。
双方向言語サポートの詳細については、「Rational Developer for z Systems ホスト構成ガイド (SC43-2913)」の『その他のカスタマイズ・タスク (Other customization tasks)』の章の『CICS 双方向言語サポート』を参照してください。
エンタープライズ・サービス・ツールの診断 IRZ メッセージ の詳細については、「Rational Developer for z Systems ホスト 構成ガイド (SC43-2913)」の『その他のカスタマイズ・タスク』の章の『エンタープライズ・サービス・ツールの診断 IRZ メッセージ』を参照してください。
CICS トランザクションのデバッグ
の詳細については、「IBM
Rational Developer for z Systems ホスト
構成ガイド (SC88-5663)」の『(オプション) 統合デバッガー』の章の『統合デバッガーの CICS の更新』を参照してください。
このセクションは、Application Transparent Transport Layer Security (AT-TLS) のセットアップ時、または既存のセットアップの検査時や変更時に起きる可能性があるいくつかの一般的な問題について、ユーザーを支援するためのものです。
RFC 2246 で定義されている Transport Layer Security (TLS) プロトコルはインターネット上で通信プライバシーを提供します。その前身である Secure Socket Layer (SSL) と同様、このプロトコルは、クライアント・アプリケーションとサーバー・アプリケーションが、盗聴、改ざん、およびメッセージ偽造を防止するために設計された方法で通信を行えるようにします。Application Transparent Transport Layer Security (AT-TLS) は、z/OS ベースのアプリケーションのための TLS 実装を一か所にまとめ、TLS プロトコルの知識がなくてもすべてのアプリケーションで TLS ベースの暗号化がサポートできるようにします。AT-TLS について詳しくは、「Communications Server IP 構成ガイド」(SC88-8926) を参照してください。
Developer for z Systems の統合デバッガーは、クライアントとの暗号化通信において AT-TLS に依存します。これは、デバッグ・セッション用のデータがその他の Developer for z Systems クライアント/ホスト通信と同じパイプを介してフローしないためです。
AT-TLS をセットアップするために必要なアクションは、厳密な必要性、およびサイトで既に使用可能なものに応じてサイトごとに異なります。
以下に述べるタスクの一部では、ユーザーが z/OS UNIX 内でアクティブであることを想定しています。そのためには、TSO コマンド OMVS を発行します。z/OS UNIX でファイルを編集するには、oedit コマンドを使用します。 TSO に戻るには、exit コマンドを使用します。
TCP/IP 文書は、デフォルトのログ・ファイルを使用する代わりに、ポリシー・エージェントのメッセージを z/OS UNIX syslog に書き込むことを推奨しています。AT-TLS は、常にメッセージを z/OS UNIX syslog に書き込みます。
このために z/OS UNIX syslog デーモン syslogd が構成されてアクティブでなければなりません。 さらに、syslogd が作成するログ・ファイルのサイズを制御するメカニズムが必要です。
syslog 514/udp
# /etc/syslog.conf - control output of syslogd
# 1. all files with will be printed to /tmp/syslog.auth.log
auth.* /tmp/syslog.auth.log
# 2. all error messages printed to /tmp/syslog.error.log
*.err /tmp/syslog.error.log
# 3. all debug and above messages printed to /tmp/syslog.debug.log
*.debug /tmp/syslog.debug.log
# The files named must exist before the syslog daemon is started,
# unless -c startup option is used
# Start the SYSLOGD daemon for logging
# (clean up old logs)
sed -n '/^#/!s/.* \(.*\)/\1/p' /etc/syslog.conf | xargs -i rm {}
# (create new logs and add userid of message sender)
_BPX_JOBNAME='SYSLOGD' /usr/sbin/syslogd -cuf /etc/syslog.conf &
sleep 5
AT-TLS サポートは、PROFILE.TCPIP データ・セット内の TCPCONFIG ステートメントの TTLS パラメーターによってアクティブにされます。 AT-TLS はポリシー・エージェントによって管理されるため、AT-TLS ポリシーを実施するためにはポリシー・エージェントがアクティブでなければなりません。ポリシー・エージェントは TCP/IP がアクティブになるのを待機しなければならないので、PROFILE.TCPIP の AUTOSTART ステートメントはこのサーバーの始動をトリガーするのに最適の場所です。
TCPCONFIG TTLS ; Required for AT-TLS
AUTOLOG
PAGENT ; POLICY AGENT, required for AT-TLS
ENDAUTOLOG
//PAGENT PROC PRM='-L SYSLOGD' * '' or '-L SYSLOGD'
//*
//* TCP/IP POLICY AGENT
//* (PARM) (envar)
//* default cfg file: /etc/pagent.conf (-C) (PAGENT_CONFIG_FILE)
//* default log file: /tmp/pagent.log (-L) (PAGENT_LOG_FILE)
//* default log size: 300,3 (3x 300KB files) (PAGENT_LOG_FILE_CONTROL)
//*
//PAGENT EXEC PGM=PAGENT,REGION=0M,TIME=NOLIMIT,
// PARM='ENVAR("TZ=EST5DST")/&PRM'
//SYSPRINT DD SYSOUT=*
//SYSOUT DD SYSOUT=*
//*
#
# TCP/IP Policy Agent configuration information.
#
TTLSConfig /etc/pagent.ttls.conf
# Specifies the path of a TTLS policy file holding stack specific
# statements.
#
#TcpImage TCPIP /etc/pagent.conf
# If no TcpImage statement is specified, all policies will be installed
# to the default TCP/IP stack.
#
#LogLevel 31
# The sum of the following values that represent log levels:
# LOGL_SYSERR 1
# LOGL_OBJERR 2
# LOGL_PROTERR 4
# LOGL_WARNING 8
# LOGL_EVENT 16
# LOGL_ACTION 32
# LOGL_INFO 64
# LOGL_ACNTING 128
# LOGL_TRACE 256
# Log Level 31 is the default log loglevel.
#
#Codepage IBM-1047
# Specify the EBCDIC code page to be used for reading all configuration
# files and policy definition files. IBM-1047 is the default code page.
このサンプル構成ファイルは、ポリシー・エージェントがどこで TTLS ポリシーを見つけられるかを指定しています。他のステートメントについては、ポリシー・エージェントのデフォルト値を使用します。
TTLS ポリシーは、AT-TLS 規則を記述します。ポリシー・エージェント構成ファイルで定義されているように、この TTLS ポリシーは /etc/pagent.ttls.conf に配置されます。ご使用のセキュリティー・ソフトウェアで必要な定義については、後ほど扱います。
##
## TCP/IP Policy Agent AT-TLS configuration information.
##
##-----------------------------
TTLSRule RDz_Debug_Manager
{
LocalPortRange 5335
Direction Inbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef act_RDz_Debug_Manager
}
##-----------------------------
TTLSEnvironmentAction act_RDz_Debug_Manager
{
HandshakeRole Server
TTLSKeyRingParms
{
Keyring dbgmgr.racf # Keyring must be owned by the Debug Manager
}
TTLSEnvironmentAdvancedParms
{
## TLSV1.2 only for z/OS 2.1 and higher
# TLSV1.2 On # TLSv1 & TLSv1.1 are on by default
SSLV3 Off # disable SSLv3
}
}
##-----------------------------
TTLSRule RDz_Debug_Probe-Client
{
RemotePortRange 8001
Direction Outbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef act_RDz_Debug_Probe-Client
}
##-----------------------------
TTLSEnvironmentAction act_RDz_Debug_Probe-Client
{
HandshakeRole Client
TTLSKeyRingParms
{
Keyring *AUTH*/* # virtual key ring holding CA certificates
}
TTLSEnvironmentAdvancedParms
{
## TLSV1.2 only for z/OS 2.1 and higher
# TLSV1.2 On # TLSv1 & TLSv1.1 are on by default
}
}
##-----------------------------
TTLSGroupAction grp_Production
{
TTLSEnabled On
## TLSv1.2zOS1.13 only for z/OS 1.13
TTLSGroupAdvancedParmsRef TLSv1.2zOS1.13
Trace 3 # Log Errors to syslogd & IP joblog
#Trace 254 # Log everything to syslogd
}
##-----------------------------
TTLSGroupAdvancedParms TLSv1.2zOS1.13
{
Envfile /etc/pagent.ttls.TLS1.2zOS1.13.env
}
TTLS ポリシーでは、規則が適用される際に指定する多様なフィルターを使用できます。
デバッグ・マネージャーは、デバッグ・エンジンからの着信接続用にポート 5335 で listen するサーバーです。 この情報は RDz_Debug_Manager 規則に取り込まれます。
暗号化通信ではサーバー証明書を使用する必要があるため、ポリシー・マネージャーが dbgmgr.racf 鍵リング (デバッグ・マネージャー開始タスクのユーザー ID が所有するもの) にある証明書を使用することを指定します。TLS v1.2 サポートはデフォルトでは使用不可なので、このポリシーはそれを明示的に使用可能にしています。 SSL v3.0 は、このプロトコルにおける既知の脆弱性により、明示的に無効になっています。
言語環境プログラム (Language Environment (LE)) オプション TEST(,,,TCPIP&&ipaddress%8001:*) を使用してデバッグ・プローブを開始した場合、デバッグ・マネージャーを使用せずに、ポート 8001 で Developer for z Systems クライアントに直接接続することをお勧めします。これは、TCP/IP の観点から見た場合、ホスト・ベースのデバッグ・プローブが Developer for z Systems クライアントでサーバー (デバッグ UI) と接続されているクライアントであることを意味します。この情報は RDz_Debug_Probe-Client 規則に取り込まれます。
ホストが TCP/IP クライアントであるため、ポリシー・マネージャーは、デバッグ UI によって提供されるサーバー証明書を検証する方法を必要とします。暗号化されたデバッグ・セッションが必要になる場合があるため、すべてのユーザーに対して均一に指定された鍵リングを使用せずに、RACF の CERTAUTH 仮想鍵リング (*AUTH*/*) を使用します。この仮想鍵リングは、認証局 (CA) の公開証明書を保持し、トラステッド CA のいずれかによって署名されたサーバー証明書がデバッグ UI によって提供された場合に使用できます。
より複雑なポリシーの場合は、IBM Configuration Assistant for z/OS Communications Server を使用してください。 これは TCP/IP のポリシー・ベースのネットワーキング機能を構成するためのガイド付きインターフェースを提供する GUI ベースのツールです。 IBM z/OS Management Facility (z/OSMF) のタスクとして、およびスタンドアロン・ワークステーション・アプリケーションとして使用可能です。
TLS v1.2 サポートは z/OS 2.1 で使用可能になりましたが、デフォルトでは使用不可です。このポリシーには明示的に使用可能にするためのコマンド (TLSV1.2 On) がありますが、ターゲット・システムでは z/OS 1.13 が使用されているため、コメントにして取り除かれています。
#
# Add TLSv1.2 support to AT-TLS
# requires z/OS 1.13 with OA39422 and PM62905
#
GSK_RENEGOTIATION=ALL
GSK_PROTOCOL_TLSV1_2=ON
AT-TLS が正しく機能するために、セキュリティー・セットアップに必要なアップデートがいくつかあります。 このセクションでは、必要なセットアップを行うためのサンプル RACF コマンドが紹介されています。
# define started task user ID
# BPX.DAEMON permit is required for non-zero UID
ADDUSER PAGENT DFLTGRP(SYS1) OMVS(UID(0) SHARED HOME('/')) +
NAME('TCP/IP POLICY AGENT') NOPASSWORD
# define started task
RDEFINE STARTED PAGENT.* STDATA(USER(PAGENT) GROUP(SYS1)) +
DATA('TCP/IP POLICY AGENT')
# refresh to make the changes visible
SETROPTS RACLIST(STARTED) REFRESH
# restrict startup of policy agent
RDEFINE OPERCMDS MVS.SERVMGR.PAGENT UACC(NONE) +
DATA('restrict startup of policy agent')
PERMIT MVS.SERVMGR.PAGENT CLASS(OPERCMDS) ACCESS(CONTROL) ID(PAGENT)
# refresh to make the changes visible
SETROPTS RACLIST(OPERCMDS) REFRESH
# block stack access between stack and AT-TLS availability
# SETROPTS GENERIC(SERVAUTH)
# SETROPTS CLASSACT(SERVAUTH) RACLIST(FACILITY)
RDEFINE SERVAUTH EZB.INITSTACK.** UACC(NONE)
# Policy Agent
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(PAGENT)
# OMPROUTE daemon
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OMPROUTE)
# SNMP agent and subagents
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OSNMPD)
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(IOBSNMP)
# NAME daemon
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(NAMED)
# refresh to make the changes visible
SETROPTS RACLIST(SERVAUTH) REFRESH
# restrict access to pasearch command
# RDEFINE SERVAUTH EZB.PAGENT.** UACC(NONE) +
# DATA('restrict access to pasearch command')
# PERMIT EZB.PAGENT.** CLASS(SERVAUTH) ACCESS(READ) ID(tcpadmin)
# refresh to make the changes visible
# SETROPTS RACLIST(SERVAUTH) REFRESH
# permit Debug Manager to access certificates
#RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
#RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
# refresh to make the changes visible
SETROPTS RACLIST(FACILITY) REFRESH
# create self-signed certificate
RACDCERT ID(stcdbm) GENCERT SUBJECTSDN(CN('RDz Debug Manager') +
OU('RTP labs') O('IBM') L('Raleigh') SP('NC') C('US')) +
NOTAFTER(DATE(2015-12-31)) KEYUSAGE(HANDSHAKE) WITHLABEL('dbgmgr')
# (optional) additional steps required to use a signed certificate
# 1. create a signing request for the self-signed certificate
RACDCERT ID(stcdbm) GENREQ (LABEL('dbgmgr')) DSN(dsn)
# 2. send the signing request to your CA of choice
# 3. check if the CA credentials (also a certificate) are already known
RACDCERT CERTAUTH LIST
# 4. mark the CA certificate as trusted
RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
# or add the CA certificate to the database
RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
# 5. add the signed certificate to the database;
# this will replace the self-signed one
RACDCERT ID(stcdbm) ADD(dsn) WTIHLABEL('dbgmgr') TRUST
# Do NOT delete the self-signed certificate before replacing it.
# If you do, you lose the private key that goes with the certificate,
# which makes the certificate useless.
# create key ring
RACDCERT ID(stcdbm) ADDRING(dbgmgr.racf)
# add certificate to key ring
RACDCERT ID(stcbm) CONNECT(LABEL('dbgmgr') +
RING(dbgmgr.racf) USAGE(PERSONAL) DEFAULT)
# additional step required to use a signed certificate
# 6. add CA certificate to key ring
RACDCERT ID(stcdbm) CONNECT(CERTAUTH LABEL('CA cert') +
RING(dbgmgr.racf))
# refresh to make the changes visible
SETROPTS RACLIST(DIGTCERT) REFRESH
# check if the CA credentials (also a certificate) are already known
RACDCERT CERTAUTH LIST
# mark the CA certificate as trusted
RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
# or add the CA certificate to the database
RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
# refresh to make the changes visible
SETROPTS RACLIST(DIGTCERT) REFRESH
# verify started task setup
LISTGRP SYS1 OMVS
LISTUSER PAGENT OMVS
RLIST STARTED PAGENT.* ALL STDATA
# verify Policy Agent startup permission
RLIST OPERCMDS MVS.SERVMGR.PAGENT ALL
# verify initstack protection
RLIST SERVAUTH EZB.INITSTACK.** ALL
# verify pasearch protection
RLIST SERVAUTH EZB.PAGENT.** ALL
# verify certificate setup
RACDCERT CERTAUTH LIST(LABEL('CA cert'))
RACDCERT ID(stcdbm) LIST(LABEL('dbgmgr'))
RACDCERT ID(stcdbm) LISTRING(dbgmgr.racf)
TCPCONFIG TTLS
V TCPIP,,OBEY,TCPIP.TCPPARMS(OBEY)
EZZ4249I stackname INSTALLED TTLS POLICY HAS NO RULES
S PAGENT
EZD1586I PAGENT HAS INSTALLED ALL LOCAL POLICIES FOR stackname
P DBGMGR
S DBBMGR
本書では、以下の資料を参照しています。
資料名 | 資料番号 | 参照 | 参照 Web サイト |
---|---|---|---|
IBM Rational Developer for z Systems Program Directory | GI88-4172 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Program Directory for IBM Rational Developer for z Systems Host Utilities | GI88-4326 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systems ホスト構成ガイド | SC43-2913 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systemsホスト構成リファレンス | SC43-2912 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systems Common Access Repository Manager Developer's Guide | SC23-7660 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
SCLM Developer Toolkit 管理者ガイド | SC88-5664 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Explorer for z/OS Host Configuration Guide | SC27-8437 | z/OS Explorer | |
IBM Explorer for z/OS Host Configuration Reference | SC27-8438 | z/OS Explorer | |
![]() ![]() |
![]() ![]() |
![]() ![]() |
![]() ![]() |
Communications Server IP 構成ガイド | SC88-8926 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Communications Server IP 構成解説書 | SC88-8927 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS 初期設定およびチューニング ガイド | SA88-8563 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS 初期設定およびチューニング解説書 | SA88-8564 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS JCL 解説書 | SA88-8569 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS 計画: ワークロード管理 | SA88-8574 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS システム・コマンド | SA88-8593 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Security Server RACF コマンド言語解説書 | SA88-8617 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Security Server RACF セキュリティー管理者のガイド | SA88-8613 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services コマンド解説書 | SA88-8641 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services 計画 | GA88-8639 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX システム・サービス ユーザーズ・ガイド | SA88-8640 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
REXX および z/OS UNIX システム・サービスの使い方 | SA88-8644 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
説明 | 参照 Web サイト |
---|---|
Developer for z Systems IBM Knowledge Center | http://www-01.ibm.com/support/knowledgecenter/SSQ2R2/rdz_welcome.html |
Developer for z Systems ライブラリー | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Developer for z Systems ホーム・ページ | http://www-03.ibm.com/software/products/en/developerforsystemz/ |
Developer for z Systems 推奨サービス | http://www-01.ibm.com/support/docview.wss?rs=2294&context=SS2QJ2&uid=swg27006335 |
Developer for z Systems 機能拡張要求 | https://www.ibm.com/developerworks/support/rational/rfe/ |
Apache Ant のダウンロード | http://ant.apache.org/ |
資料名 | 資料番号 | 参照 | 参照 Web サイト |
---|---|---|---|
ABCs of z/OS System Programming Volume 9 (z/OS UNIX) | SG24-6989 | Redbook | http://www.redbooks.ibm.com/ |
System Programmer’s Guide to: Workload Manager | SG24-6472 | Redbook | http://www.redbooks.ibm.com/ |
TCPIP Implementation Volume 1: Base Functions, Connectivity, and Routing | SG24-7532 | Redbook | http://www.redbooks.ibm.com/ |
TCPIP Implementation Volume 3: High Availability, Scalability, and Performance | SG24-7534 | Redbook | http://www.redbooks.ibm.com/ |
TCP/IP Implementation Volume 4: Security and Policy-Based Networking | SG24-7535 | Redbook | http://www.redbooks.ibm.com/ |
Tivoli® Directory Server for z/OS | SG24-7849 | Redbook | http://www.redbooks.ibm.com/ |
本書は米国 IBM が提供する製品およびサービスについて作成したものです。この資料の他の言語版を IBM から入手できる場合があります。ただし、これを入手するには、本製品または当該言語版製品を所有している必要がある場合があります。
本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。 日本で利用可能な製品、サービス、および機能については、日本 IBM の営業担当員にお尋ねください。 本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、または サービスのみが使用可能であることを意味するものではありません。 これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の 製品、プログラム、またはサービスを使用することができます。 ただし、IBM 以外の製品とプログラムの操作またはサービスの 評価および検証は、お客様の責任で行っていただきます。
〒103-8510
東京都中央区日本橋箱崎町19番21号
日本アイ・ビー・エム株式会社
法務・知的財産
知的財産権ライセンス渉外
IBM およびその直接または間接の子会社は、本書を特定物として現存するままの 状態で提供し、商品性の保証、特定目的適合性の保証および法律上の 瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものと します。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。
この情報には、技術的に不適切な記述や誤植を含む場合があります。 本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に 記載されている製品またはプログラムに対して、改良または変更を行うことがあります。
本書において製造元所有以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。 それらの Web サイトにある資料は、この IBM 製品の資料の一部では ありません。それらの Web サイトは、お客様の責任でご使用ください。
IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。
IBM Director of Licensing
IBM Corporation
North Castle Drive, MD-NC119
Armonk, NY 10504-1785
US
本プログラムに関する上記の情報は、適切な使用条件の下で使用すること ができますが、有償の場合もあります。
本書で説明されているライセンス・プログラムまたはその他のライセンス資 料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、 またはそれと同等の条項に基づいて、IBM より提供されます。
記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。 実際の結果は特定の構成や稼働条件によって異なります。
IBM 以外の製品に関する情報は、その製品の供給者、出版物、 もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。
IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。
本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、 あるいは製品などの名前が含まれている場合があります。 これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。
著作権使用許諾:
本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・ プラットフォームのアプリケーション・プログラミング・インターフェースに 準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、 いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、 配布することができます。 このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。 従って IBM は、これらの サンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。 サンプル・プログラムは、現存するままの状態で提供され、いかなる保証条件も適用されません。IBM は、お客様の当該サンプル・プログラムの使用から生ずるいかなる損害に対しても一切の責任を負いません。
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corp. の商標です。 他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。
これらの資料は、以下のご使用条件に同意していただける場合に限りご使用いただけます。
IBM Web サイトの「ご利用条件」に加えて、以下のご使用条件が適用されます。
これらの資料は、すべての著作権表示その他の所有権表示をしていただくことを条件に、非商業的な個人による使用目的に限り複製することができます。 ただし、IBM の明示的な承諾をえずに、これらの資料またはその一部について、 二次的著作物を作成したり、配布 (頒布、送信を含む) または表示 (上映を含む) することは できません。
これらの資料は、すべての著作権表示その他の所有権表示をしていただくことを条件に、お客様の企業内に限り、複製、配布、および表示することができます。 ただし、IBM の明示的な承諾をえずにこれらの資料の二次的著作物を作成したり、 お客様の企業外で資料またはその一部を複製、配布、または表示することはできません。
ここで明示的に許可されているもの以外に、資料や資料内に含まれる情報、データ、ソフトウェア、またはその他の知的所有権に対するいかなる許可、ライセンス、または権利を明示的にも黙示的にも付与するものではありません。
資料の使用が IBM の利益を損なうと判断された場合や、上記の条件が適切に守られていないと判断された場合、IBM はいつでも自らの判断により、ここで与えた許可を撤回できるものとさせていただきます。
お客様がこの情報をダウンロード、輸出、または再輸出する際には、米国のすべての輸出入 関連法規を含む、すべての関連法規を遵守するものとします。
IBM は、これらの資料の内容についていかなる保証もしません。これらの資料は、特定物として現存するままの状態で 提供され、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべて の明示もしくは黙示の保証責任なしで提供されます。
本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・ プラットフォームのアプリケーション・プログラミング・インターフェースに 準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、 いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、 配布することができます。 このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。 従って IBM は、これらの サンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。 サンプル・プログラムは、現存するままの状態で提供され、いかなる保証条件も適用されません。IBM は、お客様の当該サンプル・プログラムの使用から生ずるいかなる損害に対しても一切の責任を負いません。
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corp. の商標です。 他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。
Adobe および PostScript は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標です。
Cell Broadband Engine - Sony Computer Entertainment Inc.
Intel、Intel Centrino、Intel SpeedStep、Intel Xeon、Celeron、Itanium、および Pentium は、Intel Corporation または子会社の米国およびその他の国における商標または登録商標です。
IT Infrastructure Library は英国 Office of Government Commerce の一部である the Central Computer and Telecommunications Agency の登録商標です。
ITIL は英国 The Minister for the Cabinet Office の登録商標および共同体登録商標であって、米国特許商標庁にて登録されています。
Linear Tape-Open、LTO、および Ultrium は、HP、IBM Corp. および Quantum の米国およびその他の国における商標です。
Linux は、Linus Torvalds の米国およびその他の国における登録商標です。
Microsoft、Windows および Windows ロゴは、Microsoft Corporation の米国およびその他の国における商標です。
Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録商標です。
UNIX は The Open Group の米国およびその他の国における登録商標です。