tcp/ip z/vse

Optional Features Guide

Version 2 Release 2 Modification 7 TCP/IP FOR z/VSE is a communications

facility that permits bi-directional

communication between z/VSE-based

software and software running on other

platforms equipped with TCP/IP.

This manual describes the optional

features available with TCP/IP FOR z/VSE.

Published June 2020

by CSI International

TCP/IP FOR z/VSE

Copyright © 1996–2020 by CSI International All Rights Reserved RESTRICTED RIGHTS LEGEND Use, duplication, or disclosure by the Government is subject to the restrictions as

set forth in subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer

Software clause at DFARS 252.227-7013.

This material contains confidential and proprietary material of Connectivity

Systems, Inc., hereafter referred to as CSI International and CSI, and may not be

used in any way without written authorization from CSI International. This

material may not be reproduced, in whole or in part, in any way, without prior

written permission from CSI International.

Permission is hereby granted to copy and distribute this document as follows:

• Each copy must be a complete and accurate copy.

• All copyright notices must be retained.

• No modifications may be made.

• The use of each copy is restricted to the evaluation and/or promotion of

CSI International’s TCP/IP FOR z/VSE product or in accordance with a

license agreement. TCP/IP FOR z/VSE Optional Features Guide Release 2.2.7 June 2020 Published by CSI International

Phone: 800-795-4914

Internet: http://www.csi-international.com

Product questions: [email protected]

Technical support: [email protected]

CSI International Technical Support

During Business Hours Monday through Friday, 9:00 A.M. through 5:00 P.M. EST/EDT.

Telephone: Toll Free in the USA 800-795-4914

Worldwide 740-420-5400

Email: [email protected]

Web: http://csi-international.com/problemreport_vse.htm

Emergency Service 24/7 After business hours and 24 hours on Saturday and Sunday. Calls are

routed based on issue severity.

Telephone: Toll Free in the USA 800-795-4914

Worldwide 740-420-5400

i

Resumen de Cambio

Este manual ha sido actualizado para reflejar mejoras y cambios implementados con TCP

/ IP PARA z / VSE 2.2. Incluye correcciones y cambios editoriales desde la última edición.

En la tabla a continuación, el campo Zap / ID enumera el número de zap CSI relacionado

o ID de arreglo interno para cada cambio.

Versión 2.2.7 y mejoras anteriores Zap/ID Pagina

Capítulo "Servidor de impresión general"

• Comando DEFINE GPSD: El parámetro LPORT = se ZP226193 15

agrega para establecer el número de puerto local

para usar cuando SALIDA = LPR. El puerto

predeterminado es el 721.

• Comando QUERY GPSD: La SALIDA =, PUERTO =, y ZP226195 17

LPORT = la configuración de parámetros se muestra

por mensaje GPS927 en el resultado de la consulta.

• Resolución de problemas: se agrega un nuevo F007363 18

escenario de problemas. INSESS = ajuste de

parámetros en DEFINE GPSD afecta si el daemon

GPS termina si un usuario ejecuta un comando VTAM

INACT.

Capítulo "TLS / SSL para z / VSE"

• Implementación de TLS / SSL en modo Pass-Through: F007338 38 Los JCL de ejemplo se actualizan con nuevos valores para los parámetros MINVERS = y CIPHER =.

• Las etiquetas de cifrado TLS 1.2 se actualizan. ZP223127 39

• Implementación de un servidor Telnet habilitado para 41 TLS / SSL: El ejemplo JCL se actualiza.

• Paso de cadenas sensibles entre sistemas z / VSE: Esta ZP224137 50 sección es NUEVA. Explica cómo pasar cadenas de forma segura de un servidor a otro. El procedimiento utiliza claves públicas / privadas de RSA y un certificado para cifrar y descifrar información confidencial.

Capítulo "SecureFTP para z / VSE"

• Ejecutar un servidor SecureFTP interno: Las etiquetas ZP223127 60 para los cifrados TLS 1.2 se actualizan.

ii

Summary of Changes

Versión 2.2.7 y mejoras anteriores Zap/ID Pagina

Capítulo "See-TCP / IP para z / VSE"

• Configuración del servidor z / VSE: una VELOCIDAD ZP225187 67

opcional El parámetro se puede utilizar en la instrucción ZP226199

EXEC. Esta parámetro permite el monitor de rendimiento

Velocity para solicitar datos de rendimiento TCP / IP FOR

z / VSE del servidor See-TCP / IP.

iii

Tabla de Contenidos

To return from a hyperlink jump, press <Alt> <◄>

Soporte Tecnico Internacional de CSI........................................................................................................ i Resumen de cambios…............................................................................................................................. ii 1. Servidor de impresión general .............................................................................................................. 1 Visión general....................................................................................................................................... 1 Como funciona?............................................................................................................................. 1 Preparar……......................................................................................................................................... 2 Clave de producto........................................................................................................................... 2 Definiendo a VTAM....................................................................................................................... 2 Definiendo a CICS ......................................................................................................................... 2 Biblioteca de almacenamiento.......................................................................................................... 5 Operacion.............................................................................................................................................. 6 Segmentacion de informe…… .......................................................................................................... 6 Controlando la impresora remota………. ........................................................................................... 6 Dirigiendo informes………............................................................................................................... 7 HP JetDirect.................................................................................................................................... 7 Inicio de sesion ............................................................................................................................... 8 Depuracion ..................................................................................................................................... 8 Comando DEFINE GPSD................................................................................................................. 9 Usando OUTPUT=DIRECT.........................................................................................................16 Ejemplo......................................................................................................................................16 Comando DELETE GPSD ……………...............................................................................................16 Comando QUERY GPSD...................................................................................................................17 Ejemmplo…………......................................................................................................................17 Resolución de problemas.........................................................................................................................18 Visión general……….........................................................................................................................18 Problemas VTAM..............................................................................................................................18 Falla LPR……………….....................................................................................................................18 Informes retrasados…………...............................................................................................................18 Terminación GPS……………..............................................................................................................18 Problemas de formateo…………..........................................................................................................19

iv

Table of Contents

Obteniendo soporte...................................................................................................................21 2. TLS/SSL for z/VSE...............................................................................................................22 Visión general..........................................................................................................................22

Clave de producto ............................................................................................................22 Introducción al protocolo...........................................................................................................24

Autenticacion…................................................................................................................24 Cifrado de datos................................................................................................................24 Integridad del mensaje.......................................................................................................25

Componentes de funciones.........................................................................................................26 Estándares de la industria...................................................................................................26 TLS/SSL on TCP/IP FOR z/VSE ........................................................................................26

Configurando su aplicacion….....................................................................................................27 Visión general...................................................................................................................27 Trabajo de muestra ...........................................................................................................27 Resumen de configuración ................................................................................................27 Paso 1: Crear una clave de Sublibrary.................................................................................28 Paso 2: Crear archivos de muestra.......................................................................................28 Paso 3: Crear archivos personalizados.................................................................................31 Protección del archivo de clave privada RSA.......................................................................35

Definiendo el TLS/SSL Daemon ................................................................................................38 Implementación de TLS/SSL en modo Pass-Through...........................................................38 Implementación del servidor TLS/SSL-Enabled HTTPD……...............................................41 Implementación del servidor TLS/SSL-Enabled Telnet.........................................................41

Verificación de tarjeta de Hardware Crypto Express.....................................................................43 Verificación de fase SHA-1….....................................................................................................45

Visión genera....................................................................................................................45 Antes que empieses............................................................................................................45 Comprobación de la integridad de la fase TCP/IP..................................................................45 Paso 1: Crear una tabla de fase SHA-1…..........................................................................45 Paso 2: verificar la integridad de la fase............................................................................46 Comprobación de la integridad de los miembros que no son TCP/IP.......................................47 Fases de verificacion.......................................................................................................47 Crear un valor SHA-1 para un solo miembro…..................................................................49 Opciones del programa CIALSHPH.....................................................................................49

Paso de cadenas sensibles entre sistemas z/VSE…….....................................................................50 Estándares publicado..................................................................................................................52 Referencias…............................................................................................................................53 3. SecureFTP for z/VSE ..............................................................................................................54 Visión general...........................................................................................................................54

Protocolos.........................................................................................................................54 Preparer....................................................................................................................................56

v

Table of Contents

Clave de producto .........................................................................................................................56 Requirimientos………....................................................................................................................56 Ejecutar un servidor SecureFTP externo...........................................................................................56 Ejecutar un servidor SecureFTP interno............................................................................................58 Certificados SecureFTP...................................................................................................................61 Ejecutando un cliente SecureFTP.....................................................................................................62

Ejemplo.....................................................................................................................................64 4. See-TCP/IP for z/VSE ......................................................................................................................66 Vision general....................................................................................................................................66 Configuración del servidor z/VSE.........................................................................................................67 Clave de producto............................................................................................................................67 Procedimiento.................................................................................................................................67 Comandos z/VSE.................................................................................................................................69 Lista de comandos............................................................................................................................69 Opciones de depuración....................................................................................................................71 Configuración PC................................................................................................................................72 Requisitos del sistema operativo........................................................................................................72 Requisitos del Hardware...................................................................................................................72 Componentes de Software para instalar..............................................................................................72 Procedimiento de instalación de Software...........................................................................................73 Operación del cliente PC......................................................................................................................74 Forma principal.................................................................................................................................74 Formulario del sistema.......................................................................................................................74 Votacion...........................................................................................................................................74 Monitoreando Real-Time...................................................................................................................74

Monitores absolutos....................................................................................................................74 Monitores Delta..........................................................................................................................75 Monitores Group.........................................................................................................................75 Datos de la serie..........................................................................................................................75

Porcentajes CPU................................................................................................................................76 Historia.............................................................................................................................................76

Administrar registros...................................................................................................................76 Crear graficos.............................................................................................................................76

TCP/IP FOR z/VSE Console.....................................................................................................................77 Busq ueda interactiva..........................................................................................................................77 Mesa de consola.................................................................................................................................77 5. Firewall Shield .................................................................................................................................78 Vision general....................................................................................................................................78 Activation..........................................................................................................................................79 Comandos y Mensajes.........................................................................................................................80

Comando FIREWALL................................................................................................................80

vi

Table of Contents

Comando QUERY FIREWALL....................................................................................................81 Mensajes.....................................................................................................................................81 Bloqueo de direcciones IP.....................................................................................................................82 Rangos de direcciones...................................................................................................................82 IP Address 127.0.0.1.....................................................................................................................82 Bloqueo de puertos TCP y UDP.............................................................................................................83 Vision general..............................................................................................................................83 TCP and UDP Port Blocking for Clients on z/VSE..........................................................................83 TCP Port Blocking for Servers on z/VSE........................................................................................83 Consideraciones FTP............................................................................................................................84 Configuracion Firewall..........................................................................................................................85 Configuracion Sample Job..............................................................................................................85 Operandos FIREWALL Macro.......................................................................................................86 Acerca de los comandos ACCESS y TRUST...........................................................................................87

vii

1 1. General Print Server

Visión general

La función opcional del Servidor de impresión general (GPS) habilita su

VTAMbased aplicaciones para imprimir en impresoras basadas en TCP / IP sin

modificar las aplicaciones. Las aplicaciones pueden ejecutarse bajo CICS o

pueden ser Aplicaciones VTAM independientes.

Cómo funciona? Cada daemon GPS se identifica a VTAM como una unidad lógica con las

características de una impresora 3287 conectada localmente. Ya sea GPS o un

aplicación, luego inicia un BIND para establecer la comunicación. Una vez

conectado, el demonio GPS recibe datos de la aplicación a través de VTAM, al

igual que una impresora física. Cada búfer se reformatea con ASA control de

carro y se escribe a un miembro provisional en una biblioteca. En algún punto

predeterminado, basado en la cantidad de datos o tiempo inactivo, el los datos

acumulados se pasan al cliente estándar TCP / IP LPR. El cliente, a su vez,

establece una conexión TCP con una impresora de línea remota Daemon (LPD) y

transfiere el archivo. El LPD imprime físicamente el archivar o desecharlo de

alguna manera predeterminada.

1

Chapter 1 General Print Server

Preparar

Si obtuvo una licencia de TCP / IP FOR z / VSE de Connectivity Systems, Inc., o de

uno de los distribuidores de CSI, el GPS está incluido en su distribución. Esta

sección describe cómo configurar su sistema para utilizar el GPS.

Producto Key Para habilitar la función GPS, debe aplicar una clave de producto GPS. A

compruebe si hay instalada una clave GPS válida, consulte "Clave del producto"

en Capítulo 2, página 22.

Consulte la Guía de instalación de TCP / IP FOR z / VSE, capítulo 3, "Instalación"

para obtener información sobre la instalación de códigos de productos.

Definiendo a VTAM Cada daemon GPS requiere una identificación de aplicación VTAM. La

identificación de la aplicación aparece en la aplicación de impresión como una

LU. Una definición aceptable de las ID de aplicación para dos demonios GPS se

muestran a continuación ejemplo:

TCPPRT VBUILD TYPE=APPL GPS1 APPL AUTH=(ACQ),DLOGMOD=DSC2K GPS2 APPL AUTH=(ACQ),DLOGMOD=DSC2K

En este ejemplo, LOGMODE DSC2K es suministrado por IBM y es adecuado para negociación BIND.

Definiendo a CICS Aunque el GPS funciona con cualquier aplicación VTAM, la mayor parte de la

impresión se espera que provenga de CICS. Para usar una impresora GPS en CICS, usted debe definirlo para CICS como un dispositivo no SNA conectado localmente. Usted puede use la transacción CEDA para hacer esto.

Hay muchas combinaciones de parámetros que puede especificar para ambos TERMINAL y definiciones de TYPETERM. Los valores típicos de los parámetros siguen. Se sabe que estos valores funcionan.

2


TERMINAL Definiciones. Las siguientes configuraciones de parámetros son

válidas.

Terminal Characteristics: OBJECT CHARACTERISTICS CEDA View TErminal : GPS1 Group : VSETERM1 AUTINSTModel : No No | Yes | Only AUTINSTName : TERMINAL IDENTIFIERS TYpeterm : GPSPRT NEtname : GPS1 Console : No No | 0-99 REMOTESystem : REMOTEName : Modename : ASSOCIATED PRINTERS PRINTER : PRINTERCopy : No No | Yes ALTPRINTEr : ALTPRINTCopy : No No | Yes SPOOLTo : PIPELINE PROPERTIES POol : TAsklimit : No No | 1-32767 OPERATOR DEFAULTS OPERId : OPERPriority : 000 0-255 OPERRsl : 1-24 0-24,... OPERSecurity : 1-64 1-64,... Userid : NAtlang : TERMINAL USAGES TRansaction : TErmpriority : 000 0-255 Inservice : Yes Yes | No PRINTER DATA SPOOLDest : SPOOLPRTRsl : Public 0-24 | Public SPOOLPRTTo : 00 0-59 PRINTEDmsg : No No | Yes PRINTImmed : No No | Yes SESSION SECURITY SEcurityname : ATtachsec : Local Local | Identify | Verify Bindpassword : PASSWORD NOT SPECIFIED

3


DIAGNOSTIC DISPLAY ERRLastline : No No | Yes ERRIntensify : No No | Yes ERRColor : NO NO | Blue | Red | Pink | Green| Turquoise | Yellow | NEutral ERRHilight : No No | Blink | Reverse | Underline AUTOConnect : No No | Yes | All ATi : Yes No | Yes TTi : No Yes | No CReatesess : Yes No | Yes RELreq : Yes No | Yes DIscreq : Yes Yes | No Nepclass : 000 0-255 SIgnoff : Yes Yes | No | Logoff MESSAGE RECEIVING PROPERTIES ROutedmsgs : All All | None | Specific LOGOnmsg : No No | Yes APPLICATION FEATURES BUildchain : No No | Yes USerarealen : 100 0-255 Ioarealen : 00256 , 00000 0-32767 UCtran : No No | Yes | Tranid RECOVERY RECOvoption : Sysdefault Sysdefault | None

Biblioteca de almacenamiento El protocolo LPR funciona solo a nivel de informe, lo que significa que un todo el

informe debe estar listo para su procesamiento antes de enviarlo a un LPD. Por

este motivo, el GPS envía los datos impresos a un miembro de z / VSE biblioteca

definida con el parámetro STORAGE en DEFINE GPS mando. Después de que se

acumulan suficientes páginas, se realiza una operación LPR iniciado por los datos

acumulados en el miembro de la biblioteca. GPS espera reconocimiento de una

operación LPR exitosa y luego elimina el archivo de almacenamiento El

procesamiento se reanuda con los siguientes datos entrantes del Conexión

VTAM.

La biblioteca z / VSE que contiene estos archivos puede ser compartida por

múltiples Daemon GPS porque el nombre del miembro es único para cada

daemon. Los nombre de miembro es el nombre de la ID de la aplicación VTAM

(impresora LU nombre) y la extensión es IMPRIMIR.

Si la operación LPR falla, el demonio GPS se apaga inmediatamente y no elimina

el miembro de almacenamiento. Cuando el daemon GPS se reinicia, la primera

acción es volver a intentar la operación fallida. Usando este método, el informe

no está perdido.

5


Operación Segmentación de informes Cuando imprime en una impresora real, la segmentación de informes no es un

problema. Como Cada página de datos se envía, se imprime. El operador que rasga el papel fuera de la impresora segmenta el informe.

Cuando imprime con GPS, la segmentación es importante. Sería muy ineficiente para empaquetar cada página como un segmento LPR y transmitirla al Daemon remoto. Por otro lado, no queremos organizar datos sin fin Para eficiencia y conveniencia, el GPS utiliza una variedad de criterios para segmentar datos.

Cada vez que la aplicación VTAM libera su enlace en la impresora, el GPS asume que el informe actual está completo. Los datos acumulados son enviados inmediatamente al LPD independientemente de su tamaño. El usuario no tiene control sobre este proceso.

El usuario puede establecer puntos de segmentación utilizando los siguientes criterios:

• Recuento de páginas. Este es el método preferido porque no introduce saltos extraños en el medio de una página de informe.

• Recuento de líneas. Esto pretende ser un método de respaldo y se supone que evitar que la biblioteca de almacenamiento se llene accidentalmente. Este valor debe ser lo suficientemente grande como para no desencadenar la segmentación bajo condiciones normales.

• Número de letras. Esto pretende ser un método de respaldo y se supone para evitar que la biblioteca de almacenamiento se llene accidentalmente. Este valor debe ser lo suficientemente grande como para no desencadenar la segmentación bajo condiciones normales.

• Período de inactividad. Cuando la conexión VTAM está inactiva (es decir, no presenta nuevos datos) durante el intervalo especificado, el GPS segmenta el actual reporte. Esta característica es útil cuando la impresora no está ocupada al 100 por ciento del tiempo. Cuando finaliza un informe, se envía al LPD sin esperando otro informe para pasarlo. El valor que especifique debe ser lo suficientemente grande como para retrasos ocasionales en CICS (u otro Aplicaciones VTAM) no causan una condición falsa de fin de informe. UNA Un buen valor para comenzar es de 10 segundos.

Controlando the Remote Las impresoras de escritorio generalmente tienen más funciones que las Printer impresoras VTAM ellos reemplazan En la mayoría de los casos, debe configurar los modos de operación antes de imprime tus informes. Por ejemplo, es posible que desee especificar el paisaje modo o una fuente monoespaciada.

Afortunadamente, el GPS tiene una función que le permite incluir datos de control que se fusiona automáticamente con la secuencia de impresión. Los datos de control pueden preceda al informe, preceda a cada página del informe y siga la última página del informe. Para lograr esto, puede identificar una INSERTA fase en el comando DEFINE GPSD para cada daemon GPS.

6


La fase INSERTS es sintácticamente idéntica a la fase INSERTS documentado en el capítulo LPR de la Guía del usuario de TCP / IP FOR z / VSE, pero los datos son procesados por GPS y no por LPR.

Dirigiendo informes En el mundo VTAM / SNA, una impresora es una unidad física. Tiene un nombre y es propiedad de una aplicación a la vez. Cuando dos particiones CICS compartir una impresora, por ejemplo, un CICS adquiere la impresora, imprime su informe, y luego lo libera. El otro CICS es libre de adquirir la impresora y comenzar su operación de impresión.

Debido a que LPR / LPD es un protocolo de spooling, esta restricción no se aplica. Si tiene dos particiones CICS y una impresora remota, simplemente defina dos daemons GPS (con diferentes ID de APPL, por supuesto) y asignar uno a cada CICS. Puede asignar ambos daemons a un LPD remoto. Como se producen informes, cada daemon GPS recopila sus datos en su archivo de preparación y pone en cola los datos en el LPD remoto según sea necesario. El LPD que posee la impresora vuelve a cargar los informes y los imprime en el mismo físico impresora. La mayoría de los LPD admiten impresoras con varios nombres, por lo que puede usar este mecanismo para asignar prioridades y otras propiedades a los informes.

HP JetDirect Muchas instalaciones utilizan dispositivos de impresión. Cada dispositivo puede ser una tarjeta instalado en una impresora láser o en una pequeña caja gris en la que puede enchufar Cualquier impresora serial. En general, estas tarjetas convierten cada impresora en una TCP / IP en miniatura de propósito especial que ejecuta la aplicación LPD. Si tu use estos dispositivos, debe tener en cuenta algunas limitaciones.

La tarjeta o caja JetDirect se conecta directamente a su Ethernet. El primero La limitación es que el dispositivo JetDirect no tiene disco. Esto es relevante porque se requiere un LPD para recibir y poner en cola un informe completo antes procesándolo El protocolo LPR / LPD incluye un archivo de datos y un control expediente. El archivo de control especifica cómo se procesarán los datos, incluidos información como el número de copias, qué nombre de impresora utilizar, ya sea para imprimir y eliminar o para imprimir y guardar, y así sucesivamente. Algunos de estos Las implementaciones de LPD imprimen completamente el informe antes de recibir (e ignore) el archivo de control, por lo que ninguna de estas características funciona. Otro El problema es que en el protocolo LPR / LPD, la recuperación de errores consiste en reiniciar la transmisión. Esto funciona perfectamente con un LPD en spool, pero da como resultado páginas extrañas en este tipo de dispositivos.

La segunda limitación es que si la impresora está ocupada (por ejemplo, imprimiendo un documento de un cliente de Windows usando IPX), simplemente ignora cualquier GPS intenta conectarte a ella. Desafortunadamente, esto significa que parece ser abajo. El GPS se ve obligado a señalar el error al operador y luego se cierra abajo. Esta limitación es molesta, pero puede minimizarse si otro uso de la impresora o la tarjeta adjunta es limitada. También puede especificar que GPS Vuelva a intentar el LPR que falla después de un intervalo.

7


Inicio de sesión Probablemente no le interesen todos los eventos que ocurran en el GPS daemon. Cuando las cosas no funcionan y necesita información, usted puede iniciar un daemon GPS con el parámetro LOG = YES. Cuando hagas eso, el daemon GPS crea un miembro adicional en el almacenamiento biblioteca. El nombre del miembro es el mismo que el nombre de la terminal del daemon (según lo identificado por el parámetro TERMNAME =). La extensión es LOG.

El archivo de registro contiene EBCDIC imprimible y tiene RECFM = F y LRECL = 80. Se registran diferentes tipos de información, incluidos volcados de bloques de control VTAM.

No puede acceder al archivo de registro hasta que detenga el demonio GPS. Cuando usted reinicia el demonio, sobrescribe cualquier archivo de registro existente.

Depuración Cuando el GPS está activo, recibe una secuencia de trabajos 3270 de su aplicación, lo convierte en líneas de datos con control de carro ASA y lo envía al Cliente LPR. El cliente LPR lo convierte en un flujo de datos ASCII con línea incrustada y control de forma. Esta es una tarea compleja, y no todas los informes aparecen según lo previsto, aunque la mayoría lo hacen.

Normalmente, el daemon GPS utiliza un miembro para organizar los datos (como GPS1.PRINT, donde GPS1 es el valor asignado a TERMNAME = parámetro). Después de que LPR procesa el informe, el GPS reutiliza al miembro.

Cuando especifica DEBUG = YES, el GPS utiliza un enfoque diferente. En lugar de un miembro, usa dos. El primer miembro contiene los datos estándar que se transmite al cliente LPR y el segundo contiene una copia del datos exactamente como se reciben de VTAM. Si el nombre del terminal GPS es GPS1, los dos miembros se llaman GPS1.PRTnnnnn y GPS1.RAWnnnnn. La variable nnnnn es un número de cinco dígitos que comienza con 00001 cuando se inicia el demonio y se incrementa en uno para cada informe segmento.

Aunque el GPS siempre comienza con el número 00001 y sobrescribe cualquier miembro existente, no elimina miembros. Debes realizar el Eliminar la función manualmente. La cantidad de datos registrados es voluminosa y su biblioteca de etapas puede llenarse rápidamente. Debe usar DEBUG = YES solamente en un entorno controlado y solo para resolver problemas de formato.

Los archivos RAW contienen flujos de datos en bruto 3270 enviados desde VTAM. Ellos son miembros del modo de transmisión con RECFM de S. Si envía un archivo RAW por FTP a Sistemas de conectividad para el análisis de problemas, utilice el modo binario, RECFM = S. En modo básico, los archivos PRT son EBCDIC imprimibles y tienen un RECFM de SV (un formato especial para la biblioteca de registros de longitud variable miembros). El daemon TCP / IP FOR z / VSE FTP admite este registro formato, y puede enviar los datos por FTP a su PC para verlos y analizarlos. Especifique "SITE RECFM SV" y ASCII para la transferencia.

8


Los archivos PRT contienen la secuencia de datos ASCII que se envía

directamente a LP daemon sin modificación. Su RECFM es S. Si descarga esto

archivo a su PC en modo binario, puede leerlo. Este archivo también contiene

INSERTA datos, si se especifica.

Los archivos RAW permiten que el soporte técnico de CSI se replique y analice

problemas.

Comando DEFINE GPSD El comando DEFINE GPSD inicia una sola instancia de un GPS daemon (servidor).

Debe definir un daemon para cada lógica VTAM unidad que desea emular. No

hay un comando MODIFICAR GPSD. Para cambiar una especificación, debe

eliminar y redefinir el demonio. La sintaxis es la siguiente.

DEFINE GPSD,ID=name,STORAGE='pubname',IPADDR=dest,TERMNAME=lu, - PRINTER=pname, - [,LOG={YES|NO}][,TRANSLATE=xlate][,DEBUG={YES|NO}] [,INSESS={YES|NO}][,USER=user][,PASSWORD=pswd][,TARGET=appl] [,LOGMODE=mode][,MAXPAGES=pp][,MAXLINES=ll][,MAXCHARS=cc] [,MAXIDLE=tt][,NETWORK_RETRY_COUNT={nn|3}] [,NETWORK_RETRY_TIME={rr|18000}][,VTAM_RETRY_COUNT={nn|10}] [,VTAM_RETRY_TIME={nn|18000}][,INSERTS=ins][,LINELEN=len] [,NOEJECT={YES|NO}][,QUEUING={MEMORY|DISK}] [,ALTLEN=length][,OUTPUT={LPR|DIRECT}][,PORT=num|515] [,LPORT=num|721][,EMULATE={3287|TRANSPARENT}]

Los parámetros son los siguientes:

Parámetro Descripción

ID= Identifica al demonio individual. El valor es un nombre alfanumérico de 1 a 16 caracteres. El primer carácter debe ser alfabético. Esto es un parámetro requerido

STORAGE='pubname' Especifica la biblioteca que se utilizará para organizar LPR datos y para el archivo de registro opcional. Variable pubname está encerrado entre comillas simples y es el nombre público de una biblioteca y sublibrary para ser utilizado por el daemon GPS. Este es un requisito parámetro.

IPADDR= Especifica la dirección IP del host remoto que posee el LPD. El valor es numérico o Dirección IP simbólica. Este es un requisito parámetro.

TERMNAME= Especifica el nombre de LU de VTAM que identifica Aplicaciones de GPS a VTAM. El valor que usted especificar debe definirse a VTAM como un ID de aplicación. Este es un parámetro requerido.

9



PRINTER= Especifica el nombre de una cola de impresión. Este nombre se envía al LPD en el host remoto para Identificar la impresora de destino. Debes saber esto nombre y especifíquelo aquí. De lo contrario, el LPD rechaza los intentos de GPS de enviar datos. Esto es un parámetro requerido

LOG=[YES | NO] Especifique SÍ para dirigir el demonio GPS a crear un archivo de registro El nombre del archivo de registro es el valor especificado para TERMNAME con una extensión de LOG. Este archivo se sobrescribe cada vez que Daemon se reinicia. El archivo es un archivo de texto simple, y puede usar las instalaciones estándar de z / VSE para verlo o imprimirlo. El valor predeterminado es NO.

TRANSLATE= Especifica un nombre de tabla de traducción que el LPR el cliente debe usar cuando convierte el impreso datos a ASCII. Nota: Si este parámetro se establece en Comando DEFINE FILE cuando define el Archivo STORAGE, esa configuración tiene prioridad sobre el valor establecido en DEFINE GPSD. Si TRANSLATE = no está configurado, el sistema predeterminado Se utiliza la tabla.

DEBUG=[YES | NO] Especifique SÍ para dirigir el demonio GPS para que se ejecute en modo de depuración en este modo, VTAM sin procesar las transmisiones y todos los datos almacenados se guardan en El archivo de ensayo. Puede revisar los datos para Asegurar una conversión correcta. Cuando estás terminado, debe eliminar manualmente estos archivos. El modo de depuración puede requerir considerable espacio de biblioteca, dependiendo de la cantidad de datos siendo impreso El valor predeterminado es NO.

INSESS=[YES | NO] Especifique SÍ para dirigir el demonio GPS a intenta vincularse con la aplicación especificada en el parámetro TARGET = inmediatamente en puesta en marcha. Especifique NO para indicar al daemon GPS que espere para que la aplicación inicie la solicitud de enlace. Si la aplicación libera el enlace, el daemon no realiza intentos de enlace adicionales incluso si usted especifique SÍ El valor predeterminado es NO. Consulte también "Terminación GPS" en la página 18 para notas sobre el uso de comandos VTAM INACT.

10



USER= Establece la ID de usuario que se utilizará al iniciar un Solicitud de LPR. Esto es obligatorio si usted es ejecutando TCP / IP con seguridad y su La biblioteca provisional está protegida por seguridad. El valor predeterminado es AUTOLPR.

PASSWORD= Especifica la contraseña que se utilizará cuando iniciando una solicitud LPR. Esto podría ser importante si su biblioteca provisional es seguridad protegido. No hay defecto. La consulta el comando GPSD no muestra la contraseña.

TARGET= Identifica la aplicación VTAM que deseas GPS para enlazar inmediatamente al inicio. El valor es el ID de la aplicación. Este parámetro es efectivo solo si también especifica INSESS = YES. Si especifica INSESS = NO o si omite este parámetro, el GPS no intenta un enlace y en su lugar espera una aplicación para iniciar el enlace.

LOGMODE= Especifica el nombre de VTAM LOGMODE que es para ser utilizado para negociar un enlace con el VTAM solicitud. El valor predeterminado (y recomendado) El valor es DSC2K. Este es un suministrado por IBM, LOGMODE no SNA para impresoras. Esta el parámetro es efectivo solo si también especifica INSESS = YES y TARGET = appl.

MAXPAGES= Especifica cuántas páginas deben acumularse antes de que comience una operación LPR. Porque LPR es un protocolo en spool y el GPS emula un serial dispositivo, el GPS puede usar las MAXPAGES parámetro para determinar cuándo segmentar el informar y transmitir utilizando LPR. Un método es contar páginas y comenzar la operación LPR cuando se alcanza el recuento de páginas. La ventaja de activación por recuento de páginas es que no Se introducen saltos de página extraños. El valor predeterminado es de 100 páginas.

11



MAXLINES= Especifica cuántas líneas deben acumularse antes de que comience una operación LPR. Porque LPR es un protocolo en spool y el GPS emula un serial dispositivo, el GPS puede usar los MAXLINES parámetro para determinar cuándo segmentar el informar y transmitir utilizando LPR. El método es contar líneas y comenzar la operación LPR cuando se alcanza el recuento de líneas. La desventaja de la activación por recuento de líneas es que se introducen saltos de página extraños. El valor predeterminado es 10000 (10K líneas).

MAXCHARS= Especifica cuántos caracteres deben acumular antes de que comience una operación LPR. Porque LPR es un protocolo en spool y GPS emula un dispositivo en serie, el GPS puede usar Parámetro MAXCHARS para determinar cuándo segmente el informe y transmítalo utilizando LPR. El método es contar caracteres y comenzar la operación LPR cuando el recuento de caracteres es alcanzado. La desventaja de desencadenar por el recuento de caracteres es que saltos de página extraños son introducidos. El valor predeterminado es 1000000 (1M caracteres).

MAXIDLE= Especifica cuánto tiempo de inactividad debe pasar antes de que comience una operación LPR. El valor es El número de intervalos de 1/300 segundos. Porque LPR es un protocolo en spool y estamos emulando un dispositivo en serie, el GPS puede usar Parámetro MAXIDLE para determinar cuándo segmente el informe y transmítalo utilizando LPR. También necesitamos un procedimiento para transmitir datos acumulados sobrantes. Un método es comenzar la operación LPR cuando no hay datos recibido a través de la conexión VTAM para tt / 300 segundos. El valor debe establecerse lo suficientemente alto como para que los retrasos normales en el procesamiento no causan transmisión prematura del informe y saltos de página extraños. El valor predeterminado es 3000 (10 segundos).

NETWORK_RETRY_ COUNT=

Especifica cuántas veces el GPS debe reintentar cuando no puede conectarse con la red en puesta en marcha. El valor es la cantidad de veces que el GPS intenta volver a intentarlo antes de que se apague. El valor predeterminado es 3. Este valor también controla los reintentos de fallar las operaciones de LPR.

12



NETWORK_RETRY_ TIME=

Especifica el intervalo en el que el GPS debe vuelva a intentar cuando no pueda conectarse con la red Al inicio. El valor es el número de Intervalos de 300 segundos entre reintentos. El valor predeterminado es 18000 (1 minuto).

VTAM_RETRY_ COUNT=

Especifica cuántas veces el GPS debe reintentar cuando no puede conectarse con VTAM al inicio. El valor es el número de veces que el GPS intenta volver a intentar antes de que se apague. El valor predeterminado es 10. Este valor también controla los intentos de fallar Operaciones de LPR.

VTAM_RETRY_ TIME=

Especifica el intervalo en el que el GPS debe vuelva a intentarlo cuando no pueda conectarse con VTAM en puesta en marcha. El valor es el número de Intervalos de 300 segundos entre reintentos. El valor predeterminado es 18000 (1 minuto).

INSERTS= Especifica los datos que se incluirán con cada informe. El valor es el nombre de una fase que contiene inserta datos. La fase INSERTOS contiene datos para ser transmitido antes del informe, antes de cada página y después del informe. Para detalles sobre el uso una fase de INSERTOS, consulte TCP / IP PARA z / VSE Guía del usuario.

LINELEN= Especifica la longitud máxima de línea para su solicitud. El valor es la línea máxima longitud. La emulación 3287 proporciona una longitud máxima de línea de 132. Cuando la línea es llena, la impresora fuerza una operación de nueva línea. Si su aplicación necesita imprimir líneas más largas, puedes aumentar la línea máxima de la impresora longitud hasta 255 caracteres.

NOEJECT= [YES | NO]

Especifique SÍ para suprimir el avance de formulario inicial personaje al comienzo de un listado. Muchos Los archivos de impresión comienzan con un carácter de expulsión de página. TCP / IP FOR z / VSE normalmente traduce esto personaje en un formulario de alimentación; sin embargo, esto crea una página en blanco en algunas impresoras. Especificar NO (el valor predeterminado) si no desea suprimir el carácter de avance de formulario inicial.

13



QUEUING= [MEMORY | DISK]

Especifique MEMORIA para dirigir el GPS a la cola impresiones en memoria de 31 bits en lugar de utilizar un Miembro de la biblioteca z / VSE. Especifique DISK (o permitirlo por defecto) para dirigir el GPS a la cola impresiones a la biblioteca z / VSE definida con el ALMACENAMIENTO = parámetro. Uso basado en memoria las colas pueden reducir el almacenamiento de 24 bits requisitos para cada demonio por aproximadamente 100K.

ALTLEN= Especifica la longitud de línea que se utilizará si un la aplicación usa ERASE WRITE Comando ALTERNATIVO. Si una solicitud emite este comando, la impresora 3270 está configurada en Sus características alternativas. El valor predeterminado es 80. Vea la descripción del parámetro LINELEN = para más información sobre GPS y longitudes de línea.

OUTPUT= [LPR | DIRECT]

Especifique LPR para transmitir la salida de GPS como Datos LPR / LPD al Line Printer Daemon en el otro extremo. El valor predeterminado es LPR. Especifique DIRECTO para transmitir la salida de GPS como imprimir flujo de datos sin LPR / LPD negociaciones o enmarcado. DIRECTO es adecuado para la conexión de socket directo de HP o una aplicación personalizada que necesita recibir los datos. Para obtener más información sobre la configuración DIRECTA, consulte "Uso de OUTPUT = DIRECT" a continuación.

PORT= Especifica el número de puerto TCP / IP remoto donde se deben enviar los datos. El rango es de 0 a 65535. El valor predeterminado es 515. • Para OUTPUT = LPR, use el puerto configurado en el servidor de impresión remoto. IETF RFC1179, Protocolo de demonio de impresora de línea, especifica el uso del puerto 515. • Para OUTPUT = DIRECT, use el puerto especificado por la impresora de red fabricante. Jetdirect de Hewlett-Packard servidor de impresión, por ejemplo, utiliza los puertos 9100 para 9102.

14



LPORT= Cuando se usa OUTPUT = LPR, este es el local Número de puerto a utilizar. El rango es de 0 a 65535, y el valor predeterminado es 721. Cuando se usa un servidor de impresión, múltiples conexiones simultáneas a una sola IP dirección son posibles, y el LPORT = debería ser único para cada demonio GPS definido que se conecta a un único servidor de dirección IP. RFC1179, protocolo de línea de impresora daemon, en la sección 3.1, "Formatos de mensaje", establece El puerto de origen debe estar en el rango de 721 a 731, inclusive. El término "puerto de origen" del RFC es el igual que el ajuste LPORT =. A pesar de que algunas implementaciones de LPD pueden permitir cualquier fuente puerto, recomendamos usar 721 a 731, inclusivo, para cumplir con el IETF RFC1179.

EMULATE= [3287 | TRANSPARENT]

Especifique 3287 para indicar que el procesamiento es para emular una impresora 3287. En este caso, imprimible los datos se convierten a ASCII y el transporte los personajes de control se convierten a esos requerido por impresoras de modo ASCII comunes (para ejemplo, se utilizan caracteres CR, LF y FF). Este es el valor predeterminado. Especifique TRANSPARENTE para indicar que el los datos recibidos a través de la conexión VTAM son transmitido directamente sin traducción o interpretación. Los comandos 3270 (para ejemplo, ESCRIBIR y BORRAR ESCRIBIR) y los bytes del CMI se eliminan, dejando solo 3270 órdenes y bytes de datos. Se agregan datos de INSERTOS, cuando se especifica, solo para el inicio del informe y el final de informe. Porque los datos en sí no son los datos de INSERTOS de inicio de formulario procesados no pueden ser suministrado además, para la segmentación de informes, cada transmisión VTAM se considera que es una página.

15


Usando OUTPUT=DIRECT Lo siguiente se aplica cuando el parámetro OUTPUT = se establece en DIRECT.

• Este tipo de conexión es compatible con Hewlett-Packard Jetdirect e impresoras que se pueden conectar directamente a una red de área local.

• La conexión con la impresora remota / host se abre tan pronto como la primera el búfer se recibe de VTAM. Cuando especifica OUTPUT = LPR, la conexión remota se abre cuando la transmisión LPR está lista empezar.

• La conexión se mantiene abierta hasta que la interfaz VTAM deja de enviar datos para un intervalo que excede el valor especificado para MAXIDLE.

• Los datos de impresión NO están almacenados en el búfer. La interfaz VTAM transmite una serie de 3270 pedidos y datos. Esta información se utiliza para construir una imagen búfer (es decir, un búfer de pantalla / impresora 3270). Después de un examen físico Transmisión VTAM que tiene establecida la impresora de inicio WCC bit, la imagen el búfer se interpreta y se transmite a través de la conexión TCP / IP.

Esto contrasta con OUTPUT = LPR. En lugar de transmitir los datos a En este punto, el procesamiento de LPR dicta que los datos (que están almacenados) estén agregado a una cola (disco o memoria) para su posterior transmisión por lotes.

• La fase INSERTOS, si la hay, se agrega al flujo de datos en el lugar apropiado

• Aunque no se utiliza el almacenamiento en disco / memoria, su especificación sigue siendo necesario. La pérdida de la conexión TCP / IP durante el procesamiento puede resultar en la pérdida de hasta una pantalla de datos. Esto contrasta con LPR procesamiento, que pone en cola datos no entregados para su retransmisión posterior.

Ejemplo Un comando DEFINE GPSD se muestra en el siguiente ejemplo:

msg f8

AR 015 1I40I READY F8 043 IPN300I Enter TCP/IP Command F8-043 43 define gpsd,id=gps1,storage='gps.save', - 43 ipaddr=rmt1,printer=prt1,termname=gps1 F8 043 GPS900I GPS1 GPS Daemon Starting F8 043 GPS927I GPS1 GPS Version dated 9/26/19 F8 043 FPS917I GPS1 Waiting for BIND F8 043 IPN300I Enter TCP/IP Command F8-048

DELETE GPSD

Comando El comando DELETE GPSD finaliza un demonio GPS activo. Cuando al

emitir este comando, el procesamiento se detiene inmediatamente. La

sintaxis es como sigue:

DELETE GPSD,ID=name 16


El parámetro es el siguiente:

Parámetro Descripción name Identifique el demonio que se terminará. El valor es un

Nombre alfanumérico de 1 a 16 caracteres.

Comando QUERY GPSD El comando QUERY GPSD muestra el estado de un GPS específico daemon o

todos los daemons GPS. La sintaxis es la siguiente:

QUERY GPSD,ID=name

QUERY GPSDs

El parámetro es el siguiente:

Parámetro Descripción name Identifique el demonio que se mostrará. El valor es un

Nombre alfanumérico de 1 a 16 caracteres.

Ejemplo El siguiente resultado es típico. El mensaje GPS927 muestra el definido

Configuración de salida (L = LPR; D = DIRECTA), la configuración de Puerto

(remoto) y el LPort (puerto local) que utiliza el GPSD para conectarse al servidor

de destino.

Q GPSD IPN253I << TCP/IP GPS Daemons >> GPS930I ID: GPSP1 LUname: GPS1 Host: 123.345.056.789 Printer: > LOCAL GPS931I Target: DBDCCICS Logmode: DSC2K Insess: NO GPS932I User: Translate: Inserts: GPS933I Queuing: DISK Storage: TCPLIB.LSBTST Log: No Debug: > No GPS934I VTAM Retries: 1 Retry Delay: 18000 GPS939I Network Retries: 5 Retry Delay: 3000 GPS940I Control Order: NFU Escape: 00 GPS935I Maxpages: 100 / 0 Maxidle: 3000 (10 seconds) GPS936I Maxlines: 10000 / 0 Maxchars: 1000000 / 0 GPS937I Noeject: NO Bracket Eject: YES GPS938I Status: WaitBind... GPS927I Output:L Port:515 LPort:722

17


Resolución de problemas

Visión general Esta sección describe soluciones para estos problemas comunes de GPS:

Problemas VTAM

Falla LPR

Informes retrasados

Terminación GPS

Problemas de formato

Problemas VTAM ¿La APLICACIÓN VTAM está correctamente definida y la has activado? Si REQSESS falla, luego CICS (u otra aplicación) rechaza un enlazar. Asegúrese de que CICS tenga la LU de la impresora adecuada marcada en Servicio. El registro de CICS también puede ayudar a determinar por qué se rechaza un enlace. Puede utilizar la opción 4.2 del menú IUI para acceder al registro de CICS.

Falla LPR Verifique la dirección IP y el nombre de la impresora LPD. Deben corresponder con un LPD accesible y una cola de impresora válida.

Informes retrasados El GPS solo puede segmentar y transmitir informes utilizando criterios que usted especificar. Los retrasos generalmente se producen cuando establece un valor demasiado grande para el MAXIDLE = parámetro. MAXIDLE es el tiempo de inactividad máximo que debe pasar entre CICS y GPS antes de que GPS fuerce un LPR de cualquier sobrante de datos. No recomendamos configurar MAXIDLE a menos de 600 (2 segundos).

Terminación GPS Un daemon GPS termina cuando ocurren los siguientes eventos:

Alguien emite un comando DELETE GPSD.

Se produce un error que no es potencialmente recuperable. En este caso, corrija el error y reinicie el demonio. GPS se recupera y retransmite los datos de informe varados.

Se produce un error que es potencialmente recuperable, pero el especificado el número de reintentos está agotado. Si esto ocurre, considere aumentar la cantidad de operaciones de reintento que pueden intentarse. Para hacer esto, use el NETWORK_RETRY_COUNT = o el VTAM_RETRY_COUNT = parámetro.

El usuario ejecuta un comando VTAM que hace un INACT en la LU utilizado para el GPSD. INSESS = ajuste de parámetros en DEFINE GPSD afecta si el daemon GPS se apaga. Hay tres cajas.

IF… Y el usuario… LUEGO…

INSESS=NO Runs a VTAM INACT: El daemon GPS es

(valor por defecto) V NET,INACT,ID=xxx eliminado/terminado.

18


IF… Y el usuario… LUEGO…

INSESS=YES Ejecuta un INACT con El daemon GPS

con parámetro de 'FORCE' termina.

INSESS=YES Ejecuta un INACT sin El daemon GPS

el parámetro de 'FORCE' no termina

Puede usar el comando DIAGNOSE GPS para obtener más diagnósticos.

Problemas de formateo Los datos están demasiado lejos a la izquierda / derecha / arriba / abajo. No ha establecido márgenes adecuados en su impresora Puede establecer los márgenes manualmente o puede proporcionar un FASE DE INSERTOS LPR para configurarlos electrónicamente. Ver el TCP / IP PARA Guía del usuario de z / VSE para obtener información sobre el uso de la fase LPR INSERTS.

Los personajes no se alinean correctamente. Esto generalmente significa que eres impresión con una fuente proporcional. Configure manualmente la impresora en un espacio monoespaciado fuente (como Courier New), o incluir una fase LPR INSERTS para configurar la fuente electrónicamente.

Informe páginas divididas en páginas físicas. Para que LPR pagine correctamente, la transmisión LPR debe ocurrir solo en los límites de la página lógica. Esto significa que solo MAXPAGES = y correctamente interpretado MAXIDLE = los valores pueden causar LPR de transmisión. Liberación física de la LU por CICS también es aceptable. Si la transmisión es forzada por el recuento de líneas (MAXLINES =) o recuento de caracteres (MAXCHARS =), página no deseada se introducen saltos. O aumenta MAXLINES = y / o MAXCHARS =, disminuir MAXPAGES =, o aumentar MAXIDLE =, como apropiado.

Caracteres aleatorios adicionales aparecen en los informes. Esto suele ser causado cuando una aplicación envía secuencias de control que no son reconocido por GPS y simplemente se pasa a LPR. Asegurarse de que CICS y las aplicaciones entienden que este es un dispositivo 3287.

Aparecen líneas en blanco adicionales en el informe. GPS emula una impresora 3287, así que una línea que contiene 132 caracteres seguidos de un NL se imprime como una línea de datos seguida de una línea en blanco. Este es el comportamiento real de 3287. Si CICS o su aplicación no cumple con los estándares 3287, comuníquese con CSI Internacional para ver si otras emulaciones son posibles.

Los códigos de barras, los gráficos y las cadenas de control de la impresora no funcionan. Recuerde que el GPS emula una impresora IBM 3287 y no un tercero dispositivo que se parece a una impresora 3287 con extensiones. Una parte necesaria de LPR es la traducción EBCDIC a ASCII. Los datos binarios / de imagen no son Preservado. Puede evitar esto traduciendo la imagen datos de ASCII a EBCDIC antes de la transmisión a GPS. GPS La traducción simplemente restaura los datos.

Otra consideración es que los datos de la imagen, como una impresora emulada, ocupa ubicaciones físicas en la página. La paginación deja espacio para todos

19


datos independientemente de cómo lo maneje la impresora remota. Si datos de

imagen excede la longitud de la línea 3287 (máximo 132), se insertan CR / LF.

Una solución alternativa sugerida es dividir los datos de imagen en segmentos de

menos de 132 caracteres, coloque los segmentos en líneas que no contengan

datos imprimibles y termina cada segmento con un retorno de carro (X'0D ').

Esto fuerza una sobrecarga de línea lógica y no afecta la vertical. espaciado del

informe final.

Otros problemas. Es imposible anticipar todos los usos posibles del GPS. Además,

existen problemas inherentes al emular una forma de hardware en otra unidad

que es básicamente incompatible. Para éstos razones, hemos incluido varias

ayudas de diagnóstico en GPS.

Si tiene problemas con los formatos de informes que no se pueden ajustar con

los parámetros proporcionados, consulte la siguiente sección, "Obtención de

soporte".

20


Obteniendo Soporte

Si tiene un informe con formato incorrecto y ha determinado que es un

problema con el producto, haga lo siguiente antes de llamar para apoyo:

1. Prepárese para generar una pequeña porción del informe, como uno o dos

páginas.

2. Imprima una copia correcta del informe. Podemos pedirle que nos lo

transmita.

3. Inicie su demonio GPS con DEBUG = YES y LOG = YES conjunto de opciones

4. Imprima el mal informe.

5. Detén al demonio.

6. Usando FTP, transfiera los miembros del GPS de la biblioteca de ensayo a un

ORDENADOR PERSONAL. Necesita los siguientes dos archivos:

Nombre del archivo

Descripción

luname.LOG Este es el archivo de registro. Debería transmitirse como un archivo ASCII usando RECFM = F.

luname.RAW00001 Este es el archivo más importante. Contiene los datos tal como se envían desde VTAM. Nosotros usamos esto datos para simular una sesión CICS y recrear el formateo. Este archivo debe ser enviado por FTP en modo binario usando RECFM = S. Si tu entender clientes GUI FTP y UNIX moda, puedes proceder. Si estás usando un cliente FTP de apuntar y hacer clic, le sugerimos que primero cambia el nombre del miembro a luname.BIN. Esta extensión de nombre de archivo evita UNIX modo de forzar una transferencia ASCII.

7. Comprima los dos archivos y póngase en contacto con el Soporte técnico de

CSI. Ellos darán sus instrucciones para transmitir la información de diagnóstico

para análisis.

21

2 2. TLS/SSL for z/VSE

Visión general

TLS / SSL para z / VSE es una característica opcional que se incluye con TCP / IP

PARA z / VSE. Proporciona seguridad para aplicaciones TCP / IP al implementar la

Seguridad de la capa de transporte (TLS) / Capa de sockets seguros (SSL), tal

como lo define el Grupo de trabajo de ingeniería de Internet (IETF) El IETF ha

mejorado y reemplazado la especificación SSL 3.0 con la especificación del

protocolo TLS.

Cuando un cliente quiere establecer una conexión TLS / SSL segura, propuso un

conjunto de algoritmos criptográficos que puede soportar. El TLSenabled la

aplicación del servidor examina esta lista de conjuntos de cifrado y le dice al

cliente cuál será utilizado. Los algoritmos administran la autenticación, cifrado de

datos e integridad del mensaje. Estos conceptos se explican en la sección

"Introducción al protocolo" en la página 24.

Clave de producto Debe tener una clave de producto SSL válida para usar TLS / SSL para z / VSE, el

SHA-1 Phase Verification, o cualquiera de las criptográficas funciones.

Para verificar si hay una llave instalada, emita un comando "Q PRODKEYS" en la

partición TCP / IP FOR z / VSE. Este comando devuelve información en claves

instaladas, como el siguiente ejemplo:

IPN886I SSL......... (CSI) Expires on 20xx/12/31 Si la pantalla indica que falta la clave o ha caducado, comuníquese con CSI

Internacional en [email protected] para solicitar una clave. No hay

costo para obtener una clave SSL.

22

mailto:[email protected]

Chapter 2 TLS/SSL for z/VSE

Importante:

Los controles de exportación y reexportación de productos de cifrado

comerciales son administrado por la Oficina de Industria y Seguridad (BIS) en los

EE. UU. Departamento de Comercio. Esta función de cifrado no está disponible

en países restringidos por las regulaciones de exportación del Departamento de

Comercio de EE. UU.

Más información está disponible en este sitio:

www.bis.doc.gov/index.php/policy-guidance/country-guidance

23

http://www.bis.doc.gov/index.php/policy-guidance/country-guidance


Introducción al protocolo

Autenticación El protocolo TLS / SSL utiliza certificados para autenticar servidores y clientela. Es más fácil pensar en los certificados como una licencia de conducir o pasaporte. Cuando te detienen por exceso de velocidad, o si ingresas a diferente país, el primer artículo que se le solicita es el de un conductor licencia o pasaporte que lo identifica. Puede estar en serios problemas si No puede presentar los documentos requeridos.

La autenticación de un certificado es exactamente así. Contiene una firma, fecha de vencimiento y otra información importante. Té la firma en el certificado es proporcionada por una autoridad de certificación, y Las agencias de autorización brindan servicios para crear y revocar certificados que emiten El sistema de gestión de estos certificados es conocido como Infraestructura de clave pública (PKI).

El servidor siempre envía un certificado al cliente que es digital firmado por una autoridad de certificación. Este certificado contiene la parte pública. de una clave RSA que el cliente luego usa para cifrar un valor aleatorio. Té El servidor también tiene la parte privada de la clave RSA y la utiliza para descifrar valor aleatorio encriptado del cliente. Esto se conoce como cifrado de clave pública / privada. Es importante saber que lo privado parte de la clave RSA nunca se revela ni se envía a través de la red. Es mantenido completamente en secreto en el sistema del servidor.

Opcionalmente, el servidor también puede solicitar un certificado al cliente aplicación, y el servidor puede verificar la identidad del cliente. Esta sería lo mismo que pedirle al oficial que vea su licencia de conducir después de que él te ha pedido el tuyo. Le permitiría garantizar que él realmente es un oficial de policía, aunque esto normalmente no se hace. En el protocolo TLS, Esta transacción se conoce como autenticación de cliente. Solo recuerda eso la autenticación del servidor siempre es necesaria, pero la autenticación del cliente es opcional (y no se usa normalmente).

Un sitio que quiera utilizar una aplicación de servidor TLS / SSL en z / VSE debe primero obtenga un certificado de una autoridad como Network Solutions, GoDaddy, VeriSign, Thawte u OpenSSL. El certificado contiene la parte pública de la clave RSA de la aplicación del servidor. El cliente usa la clave pública para cifrar de forma segura un valor aleatorio. Este valor aleatorio es Se utiliza para crear claves para cifrar / descifrar y para garantizar integridad de los datos que fluyen a través de la conexión. No hay nuevas conexiones. alguna vez reutilice los mismos valores clave.

Cifrado de datos Una vez que se autentica un servidor y un cliente, el valor aleatorio se utiliza para crear claves para cifrar / descifrar los datos que se envían y reciben sobre la conexión segura. Las claves, que se generan aleatoriamente y exclusivo de una sesión, se utilizan durante la vida útil de la conexión y luego destruido cuando se termina la conexión TLS. TLS / SSL para z / VSE puede usar los algoritmos Single-DES, Triple-DES, AES-128 y AES-256 para el cifrado y descifrado de datos.

24


Integridad del mensaje Podemos autenticar servidores y clientes y mantener la confidencialidad de los

datos mediante encriptarlo, pero ¿qué hay de garantizar la integridad de los

datos tal como están? durmientes la red? ¿No es posible cambiar aleatoriamente

bits de datos para causar corrupción de datos? Sin TLS / SSL, la respuesta es sí.

Pero, ¿qué pasa con la suma de verificación de TCP? ¿Eso no mantiene mis datos

seguros y ¿seguro?

La respuesta es no. Un hacker podría cambiar los datos, recrear la suma de

comprobación, y el protocolo TCP lo pasaría a la aplicación como buenos datos.

Con TLS / SSL, un código de autenticación de mensaje seguro (MAC) para Los

datos se crean antes del cifrado de datos y se almacenan al final de cada uno.

bloque enviado en la red. El MAC se crea usando un hash seguro, como SHA-1,

combinado con algunos de los datos de clave secreta. El resultado es que se

detectan los cambios causados por un pirata informático o una falla de

hardware.

Consulte "Referencias" en la página 53 para obtener más información sobre

criptografía y la seguridad informática.

25


Componentes de funciones

TLS / SSL para z / VSE implementa los algoritmos de criptografía necesarios para

el intercambio de claves, el cifrado de datos y la autenticación de mensajes. Eso

también proporciona utilidades para instalar certificados, un daemon para

transparente Habilitar aplicaciones existentes para TLS / SSL y API para

implementar de forma nativa TLS / SSL o criptografía en sus aplicaciones. TLS /

SSL para z / VSE se basa en varios componentes integrados, que incluyen:

• PKI para identificación

• RSA para intercambio de claves

• AES, Single-DES o Triple-DES para el cifrado de datos

• MD5, SHA-1 o SHA-2 para el hash de mensajes

• HMAC para la autenticación de mensajes.

Estándares de la industria TLS / SSL para z / VSE es la implementación de numerosos estándares

industriales algoritmos y se basa en definiciones publicadas por IETF Grupo de

trabajo de Seguridad de la capa de transporte (TLS). Más información sobre Los

estándares TLS están en http://datatracker.ietf.org/wg/tls/charter . Los

documentos de solicitud de cambio (RFC) asociados están disponibles en

http://ietf.org. Consulte también “Normas publicadas” en la página 52.

Mediante el uso de un protocolo abierto estándar de la industria y algoritmos

asociados, Usted está seguro de la compatibilidad con una amplia variedad de

plataformas aplicaciones habilitadas para TLS / SSL.

TLS/SSL on TCP/IP para TLS / SSL para z / VSE está integrado en TELNETD, HTTPD, FTPD, y servidores z/VSE Entrée para proporcionar seguridad para estas aplicaciones desde remoto Clientes TLS / SSL. Además, el cliente FTP puede estar habilitado para TLS en z / VSE para comunicarse de forma segura con un FTP remoto habilitado para TLS / SSL servidor. TLS / SSL para z / VSE también proporciona seguridad para otros TCP aplicaciones que utilizan TLS / SSL para las API z / VSE.

26

http://datatracker.ietf.org/wg/tls/charter

http://ietf.org/


Configurando su aplicación

Visión general Esta sección describe cómo configurar su aplicación para usar TLS / SSL para z /

VSE. Una PC debe estar conectada al mainframe z / VSE que es el objetivo de la

configuración TLS / SSL. Debe utilizar la versión gratuita de IBM Keyman / VSE

utilidad para realizar algunas de las tareas en el siguiente procedimiento.

Para obtener detalles sobre la configuración y el uso de la utilidad Keyman / VSE,

consulte IBM Sitio web de z / VSE utilizando los enlaces a continuación. Tenga en

cuenta que estos enlaces son propiedad y mantenido por IBM y puede cambiar.

Póngase en contacto con IBM z / VSE Soporte técnico si necesita ayuda para

acceder a estas páginas web.

http://www-03.ibm.com/systems/z/os/zvse/downloads/

http://www-03.ibm.com/systems/z/os/zvse/documentation/security.html#howto

ftp://public.dhe.ibm.com/eserver/zseries/zos/vse/pdf3/How_to_setup_and_use_KeymanVSE.pdf

Trabajos de muestra TLS / SSL para z / VSE está integrado y distribuido con TCP / IPPARA producto z /

VSE. La siguiente tabla contiene breves descripciones de ejemplos de trabajos en

este capítulo que deben crearse en su sistema. Simplemente cópielos del texto y

péguelos en su editor (ICCF, BIMEDIT, VM-XEDIT, o herramienta similar).

Trabajos de muestra Descripción CIALSRVR.JCL Ejecuta el servidor de generación de claves RSA CIALPRVK.JCL Cataloga un archivo de clave privada RSA CIALCERT.JCL Cataloga un archivo de certificado de servidor o cliente CIALROOT.JCL Cataloga un archivo de certificado raíz de la autoridad

de certificación CIALSIGV.JCL Verifica la firma del certificado CIALGPRV.JCL Realiza una copia de seguridad de un archivo de clave

privada RSA

Resumen de configuración El procedimiento de configuración consta de las siguientes tareas. Cada tarea es

explicada en detalle a continuación.

• Crear una sublibrary clave

• Cree archivos de muestra a partir de los ejemplos de texto a continuación.

• Crear archivos personalizados.

27

ftp://public.dhe.ibm.com/eserver/zseries/zos/vse/pdf3/How_to_setup_and_use_KeymanVSE.pdf


Paso 1: Crear una clave de Designe una sub biblioteca z / VSE separada para almacenar la clave privada y Sublibrary archivos de certificado El archivo library.sublib debe ser único y NO estar definido para el sistema de archivos TCP / IP FOR z / VSE para proteger estos archivos de claves confidenciales.

La definición de una sublib separada permite que cada aplicación TLS / SSL se ejecute en z / VSE para utilizar una clave privada, un certificado de servidor y un certificado raíz únicos. El siguiente trabajo se puede usar para crear esta sublibrary. En este ejemplo, se crea la subbiblioteca PRD2.SSLKEYS.

// JOB LIBRDEFS // EXEC LIBR,SIZE=256K DEFINE SUBL=PRD2.SSLKEYS REUSE=IMMED /* /&

Paso 2: Crear muestra

de archivo Este paso consiste en los procedimientos 2-1 a 2-4. Use estos procedimientos para crear claves RSA y archivos de certificados para probar.

Nota 1: Reemplace lib.sublib en todos los trabajos de muestra con la biblioteca y sublibrary utilizada para instalar TCP / IP FOR z / VSE.

Nota 2: Los trabajos en estos procedimientos contienen un PARM = definición 'library.sublib.member'. Especifique la subbiblioteca z / VSE que creó en el paso 1 anterior. Contendrá la clave privada RSA. Escoger el nombre del miembro cuidadosamente ("SAMPLE03" en los ejemplos). Debe ser único, y debe usar el mismo nombre en cada trabajo. Cada trabajo crea un miembro de la biblioteca con este nombre de miembro. Por ejemplo, si el miembro nombre es SAMPLE03, el trabajo CIALPRVK crea "SAMPLE03.PRVK". Estos miembros se almacenan en la sublibrary.

Además, debe usar estos nombres de biblioteca, sublib y miembros cuando configurar una aplicación TLS. Por ejemplo, los necesitará cuando

• Definir un demonio TLS. Consulte la sección "Definición de TLS / SSL Daemon "en la página 38.

• Definir un servidor / cliente SecureFTP. Consulte el capítulo 3, "SecureFTP para z / VSE ”en la página 54. Los procedimientos a continuación se refieren a trabajos en los siguientes archivos.

Proc. Nombre del archivo Función laboral 2-1 CIALPRVK.JCL Cataloga un archivo de clave privada RSA de

muestra 2-2 CIALCERT.JCL Cataloga un archivo de certificado de servidor

de muestra 2-3 CIALROOT.JCL Cataloga un archivo de certificado raíz de

muestra 2-4 CIALSIGV.JCL Verifica que la clave privada RSA de muestra

y los certificados están sincronizados

28


Procedimiento 2-1: catalogue el archivo de clave privada RSA de muestra

Modifique y ejecute el trabajo de muestra CIALPRVK. Este trabajo contiene una

muestra Clave privada RSA en la secuencia de trabajos. Puedes usar este trabajo,

adecuadamente modificado, para pruebas. Los datos clave no son legibles por

humanos. El binario los datos se representan con codificación de caracteres

imprimibles base64. Tenga en cuenta que los datos clave que realmente usa

deben mantenerse privados. IBM mantiene otros trabajos de muestra en

MUESTRA DE SKSSLKEY DE MIEMBRO DE ICCF.

// JOB CIALPRVK // OPTION SYSPARM='00' SysId of main TCP/IP partition // LIBDEF PHASE,SEARCH= lib.sublib // EXEC CIALPRVK,SIZE=CIALPRVK,PARM='PRD2.SSLKEYS.SAMPLE03' BwIAAAAApABSU0EyAAAEAAABAAHNVqgad4F3Nt0tp923uGuRavlUaTYQ2ZTd/bh ES5R0FdEhpOV3OjqxAZ54Zbi17w88ngKxGxWrJ2N7UcARR8NP3fll6kDuzJbPLr ulwbLR9ah/iem6XWr6dw9P1m6nU/MMlbLGcfv1GjLy2Fb5evRy81iLnyA+F3ANF oXMPrADqfOS3eGEApwVhZ/yGKebMVANr2yHrZ33Z+NnUBDBn0daFahPn8C6Lrc3 hUqVRC1CM4tbQCMtz9iVHkZF6APeMqfX0G3BqGIZLDS6vt95P2c6EFVRkf1nv33 e4dDxzipO5Cqcx+7H5XFwoW6q8KTXQwW8sg1PiZ3fKH/vG1X1T3Eve574ufJ0GJ /bt/f5h2d+ubCYbi7WcSwWMBZJTpfWrTINd+UhoYFdIGQvZFEpzwagfoQLo08nB Dd6rBPi08O8VXfSpo3GUqkNTT1+Ko+kL0kitmwytVJ8FIPCNwN6Zy0kK7CepSnh b2mMh+hq8er+sFnDNfa6PqgfUWDNeZ1Y/UtH9PJC2G7gJhOs/9O9g7x0NlTNcAR DW8TMfLGvhBL8zJoNT77G6S/6eN+pZaqfR6PeW4Oi9za8/B8P7Te4S4p+ZyZzB+ iktthuv3KmZJZWIxTT711y9X/30pSULmqxRqd3CSmmxAASX7zqeJzQ70QKKW9O9 t0eQ35j8R0eGRAtwlh/4u92F/CkovPp8VLti9rEE++ysyJhqk0tiXSRbl7QJhsP /kRSR7H/F5WlZFm6ggPUpoT0mkiYgC7FiFrOpYk= /* /&

Procedimiento 2-2: catalogue el archivo de certificado de servidor de muestra

Modifique y ejecute el trabajo de ejemplo CIALCERT a continuación. Este trabajo

contiene una muestra de certificado de servidor X.509v3. Esta es una alternativa

a crear un certificado utilizando la utilidad Keyman / VSE u obteniendo un

certificado de un proveedor como VeriSign o Thawte. Puede usar este certificado

para prueba inicial Los datos binarios se representan con el carácter imprimible

base64 codificación.

29


// JOB CIALCERT // OPTION SYSPARM='00' SysId of main TCP/IP partition // LIBDEF PHASE,SEARCH=lib.sublib // EXEC CIALCERT,SIZE=CIALCERT,PARM='PRD2.SSLKEYS.SAMPLE03' -----BEGIN CERTIFICATE----- MIICozCCAgygAwIBAgIDQHoaMA0GCSqGSIb3DQEBBAUAMIGHMQswCQYDVQQGEwJ aQTEiMCAGA1UECBMZRk9SIFRFU1RJTkcgUFVSUE9TRVMgT05MWTEdMBsGA1UECh MUVGhhd3RlIENlcnRpZmljYXRpb24xFzAVBgNVBAsTDlRFU1QgVEVTVCBURVNUM RwwGgYDVQQDExNUaGF3dGUgVGVzdCBDQSBSb290MB4XDTAwMDkyNTAwNTcwNFoX DTAxMDkyNTAwNTcwNFowfjELMAkGA1UEBhMCVVMxDTALBgNVBAgTBE9oaW8xETA PBgNVBAcTCENvbHVtYnVzMR0wGwYDVQQKExRDb25uZWN0aXZpdHkgU3lzdGVtcz EUMBIGA1UECxMLRGV2ZWxvcG1lbnQxGDAWBgNVBAMTD3d3dy5zc2w0dnNlLmNvb TCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzVaoGneBdzbdLafdt7hrkWr5 VGk2ENmU3f24REuUdBXRIaTldzo6sQGeeGW4te8PPJ4CsRsVqydje1HAEUfDT93 5ZepA7syWzy67pcGy0fWof4npul1q+ncPT9Zup1PzDJWyxnH79Roy8thW+Xr0cv NYi58gPhdwDRaFzD6wA6kCAwEAAaMlMCMwEwYDVR0lBAwwCgYIKwYBBQUHAwEwD AYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQFAAOBgQBeKDqSmeCYyL/T2pMSM03X 22NwGLyh3tbXZbyCVkfPEiTjygf5vpg1Bx8yEOxMP4nGlcZaSMlIEbue6FZAARI cBtI6X1mtws9THbXo4xZpgectvhdA9wCWmszDLZcjai417K6oZYwYjsIPMwmi/7 Vl/0RUuDj6YnHQli6x1BYXAw== -----END CERTIFICATE----- /* /&

Procedimiento 2-3: catalogar el archivo de certificado raíz de muestra

Modifique y ejecute la secuencia de trabajos CIALROOT. Este trabajo contiene

una muestra Certificado raíz de la autoridad de certificación X.509v3 que puede

usar para la inicial pruebas. Nuevamente, los caracteres imprimibles codificados

en base64 representan los binarios datos.

// JOB CIALROOT // OPTION SYSPARM='00' SysId of main TCP/IP partition // LIBDEF PHASE,SEARCH=lib.sublib // EXEC CIALROOT,SIZE=CIALROOT,PARM='PRD2.SSLKEYS.SAMPLE03' -----BEGIN CERTIFICATE----- MIICmTCCAgKgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBhzELMAkGA1UEBhMCWkE xIjAgBgNVBAgTGUZPUiBURVNUSU5HIFBVUlBPU0VTIE9OTFkxHTAbBgNVBAoTFF RoYXd0ZSBDZXJ0aWZpY2F0aW9uMRcwFQYDVQQLEw5URVNUIFRFU1QgVEVTVDEcM BoGA1UEAxMTVGhhd3RlIFRlc3QgQ0EgUm9vdDAeFw05NjA4MDEwMDAwMDBaFw0y MDEyMzEyMTU5NTlaMIGHMQswCQYDVQQGEwJaQTEiMCAGA1UECBMZRk9SIFRFU1R JTkcgUFVSUE9TRVMgT05MWTEdMBsGA1UEChMUVGhhd3RlIENlcnRpZmljYXRpb2 4xFzAVBgNVBAsTDlRFU1QgVEVTVCBURVNUMRwwGgYDVQQDExNUaGF3dGUgVGVzd CBDQSBSb290MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1fZBvjrOsfwzo ZvrSlEH81TFhoRPebBZhLZDDE19mYuJ+ougb86EXieZ487dSxXKruBFJPSYttHo Cin5qkc5kBSz+/tZ4knXyRFBO3CmONEKCPfdu9D06y4yXmjHApfgGJfpA/kS+Qb biilNz7q2HLArK3umk74zHKqUyThnkjwIDAQABoxMwETAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBBAUAA4GBAIKM4+wZA/TvLItldL/hGf7exH8/ywvMupg+ yAVM4h8uf+d8phgBi7coVx71/lCBOlFmx66NyKlZK5mObgvd2dlnsAP+nnStyhV HFIpKy3nsDO4JqrIgEhCsdpikSpbtdo18jUubV6z1kQ71CrRQtbi/WtdqxQEEtg ZCJO2lPoIW -----END CERTIFICATE----- /* /&

30


Procedimiento 2-4: Verifique la clave privada y los certificados de muestra

Modifique y ejecute el trabajo CIALSIGV para verificar que la clave privada RSA y

los certificados están sincronizados.

// JOB CIALSIGV // OPTION SYSPARM='00' SysId of main TCP/IP partition // LIBDEF *,SEARCH=lib.sublib // EXEC CIALSIGV,SIZE=CIALSIGV,PARM='PRD2.SSLKEYS.SAMPLE03' /* /&

Paso 3: Crear archivos Este paso consta de los Procedimientos 3-1 a 3-6. Use estos procedimientos para Personalizados cree un archivo de clave privada RSA personalizado y archivos de certificado para su sistema. El CIALSRVR, CIALCERT, CIALROOT, CIALSIGV y Catálogo de utilidades CIALGPRV y acceso a la clave privada, servidor certificado y archivos de certificado raíz. El procedimiento 3-6 crea una copia de seguridad del archivo de clave privada RSA.

Almacene la clave privada y los archivos de certificado que cree en la biblioteca z / VSE usted nombró en el "Paso 1: Crear una subbiblioteca clave". La biblioteca, sublibrary, y los nombres de los miembros para la clave privada y los certificados que use deben ser especificado con PARM = en la instrucción // EXEC en cada utilidad. Nota: El archivo de clave privada RSA se cifra utilizando una clave predeterminada cuando está almacenado en el sistema z / VSE (Procedimiento 3-1). Para aumentar la seguridad del archivo de clave privada, cree una clave de cifrado única para cada z / VSE instalación. Consulte la sección "Protección del archivo de clave privada RSA" página 35, para obtener información sobre cómo crear una clave única. Procedimiento 3-1: Cree un archivo de clave privada RSA único

Elija una de las herramientas en la tabla a continuación para generar el RSA privado clave, luego vaya al procedimiento listado.

Herramienta Notas Ir... IBM’s

Keyman/VSE

Utilidad de Java

Para obtener información sobre el uso de esta utilidad, póngase en contacto con IBM o consulte z / VSE de IBM página de descargas. Ver los enlaces web en “Descripción general” en la página 27.

“Keyman/VSE

Utility”

(page 32)

Crypto

coprocesador

(CC) card

Una tarjeta CC le permite crear un RSA clave privada y escríbala en z / VSE directamente sin usar Keyman / VSE. Tamaños de clave admitidos: 1024, 2048, 4096.

“Crypto

Coprocessor

(CC) Card”

(page 32)

31


Keyman / VSE Utility. Para usar esta utilidad, haga lo siguiente:

1. Modifique el trabajo de muestra CIALSRVR.JCL y ejecútelo en el destino

Sistema z / VSE. Este trabajo almacena la clave pública / privada RSA

generada estructura que se envía a z / VSE.

// JOB CIALSRVR // OPTION SYSPARM='00' SysId of main TCP/IP partition // LIBDEF PHASE,SEARCH=lib.sublib // EXEC CIALSRVR,SIZE=CIALSRVR,PARM='LIB.SUBLIB.MEMNAME' SETPORT 6045 /* /&

2. Use la utilidad Keyman / VSE para generar una clave RSA. Se conecta a z / VSE,

genera la clave pública / privada RSA y envía la clave al sistema z / VSE de

destino.

El programa CIALSRVR que se ejecuta en z / VSE luego valida y escribe la clave. El

programa CIALSRVR emite un mensaje cada 30 segundos mientras espera a que

la PC genere y envíe la clave. El programa cierra hacia abajo automáticamente

después de recibir la clave. También puedes forzar el Proceso CIALSRVR para

detener emitiendo el comando "MSG xx, DATA = SHUTDOWN" a la partición en

la que se realiza el proceso está corriendo.

Es importante mantener el archivo de clave privada en secreto porque contiene

los datos de la clave privada RSA.

Tarjeta Crypto Coprocessor (CC). Para usar una tarjeta CC, modifique la muestra

trabajo a continuación y ejecútelo en el sistema z / VSE de destino. La tarjeta

genera un clave y lo almacena en el sistema z / VSE. Para verificar que una

tarjeta CC es disponible, consulte la sección "Verificación de la tarjeta de

hardware Crypto Express" en la página 43

// JOB CIALSRVR // OPTION SYSPARM='00' SysId of main TCP/IP partition // LIBDEF PHASE,SEARCH=lib.sublib // EXEC CIALSRVR,SIZE=CIALSRVR,PARM='LIB.SUBLIB.MEMNAME' GENRSAPK keysize

/* /& El tamaño de la clave es el tamaño de bit de la clave privada. Los valores válidos

son 1024, 2048 y 4096.

32


Procedimiento 3-2: Crear una solicitud de certificado

1. Utilice la utilidad IBM Keyman / VSE para generar una solicitud de certificado.

2. Envíe la solicitud a cualquier autoridad de certificación (CA) para obtener un certificado digital certificado. Cuando solicite el certificado, asegúrese de que sea un certificado de servidor SSL X.509v3 codificado en base64. La CA luego emite un certificado para el servidor TLS / SSL para z / VSE y firma el certificado con su clave privada RSA.

Importante: La solicitud de certificado contiene la clave pública RSA que usa z / VSE durante las negociaciones de encriptación. La clave privada RSA se usa para firmar la solicitud de certificado, pero los contenidos de la clave privada z / VSE son no está contenido en él y debe mantenerse en secreto. La CA verifica la firma en la solicitud y emite un certificado que contiene z / VSE Clave pública RSA. Luego firma el certificado emitido con su (el) Clave privada de CA. La CA garantiza la autenticidad de emite un certificado que contiene la clave pública RSA de z / VSE. Todas Los perfiles de certificado y los formatos clave y criptográfico se definen por el grupo de trabajo PKIX del IETF.

Procedimiento 3-3: instale el certificado emitido

1. Después de obtener el certificado de la CA, use un editor de texto de PC (como NOTEPAD.EXE en el sistema operativo Windows®) para ver eso. Si es texto ASCII que puede mostrar, y se ve como el certificado en el trabajo de muestra CIALCERT.JCL, entonces tiene un certificado codificado en base64. (Consulte el trabajo de muestra en el Procedimiento 2-2.) También puede mostrar su contenido desde una PC. Debería tener un .CRT o Extensión de archivo .CER, y en Windows puede hacer doble clic en él para ábralo y examine su contenido. Si el certificado está en formato binario, debe convertirlo a base64 codificación con una utilidad disponible en Windows o Linux. Referirse a Documentación de Linux o Windows para detalles sobre la conversión de un binario certificado a un certificado codificado en base64.

2. Modifique el trabajo de muestra CIALCERT.JCL para contener el emitido certificado. Los datos del certificado deben reemplazar el texto entre La línea "BEGIN CERTIFICATE" y la línea "END CERTIFICATE" en el archivo.

3. Ejecute su trabajo modificado CIALCERT.JCL en el sistema z / VSE de destino.

Procedimiento 3-4: instale el certificado raíz de la autoridad de certificación

1. Obtenga el certificado raíz en formato de texto de la CA. Debes usar la misma CA que emitió el certificado del servidor de producción. La CA El sistema z / VSE instala y utiliza el certificado raíz para verificar firma en el certificado emitido.

33


2. Use un editor de texto de PC para ver el archivo del certificado. Si el certificado está en formato binario, debe convertirlo a codificación base64 con una utilidad disponible en Windows o Linux. Consulte Linux o Windows documentación para detalles. Verifique que el certificado sea similar al del trabajo CIALROOT.JCL. (Ver el trabajo de muestra en Procedimiento 2-3.)

3. Modifique el trabajo de muestra CIALROOT.JCL para contener la raíz certificado. Los datos del certificado deben reemplazar el texto entre La línea "BEGIN CERTIFICATE" y la línea "END CERTIFICATE" en el archivo.

4. Ejecute su trabajo modificado CIALROOT.JCL en el sistema z / VSE de destino.

Procedimiento 3-5: verificar el certificado

1. Modifique el trabajo de muestra CIALSIGV.JCL con su información. (Ver el trabajo de muestra en el Procedimiento 2-4.)

2. Ejecute su trabajo modificado en el sistema z / VSE de destino. La firma contenida en el certificado z / VSE se valida con el público de la CA llave. Este paso verifica que la CA asociada emitió el certificado.

Su sistema z / VSE ahora está listo para usar los siguientes componentes:

• daemon TLSD; consulte "Definición del demonio TLS / SSL", página 38

• TLS / SSL para la interfaz de programación de aplicaciones (API) z / VSE

• API de CryptoVSE

• Interfaz de cifrado de cifrado común

Las API enumeradas anteriormente están documentadas en TCP / IP FOR z / VSE Guía del programador.

Procedimiento 3-6: Haga una copia de seguridad del archivo de clave privada RSA

Use este procedimiento opcional para hacer una copia de seguridad de un archivo de clave privada RSA. Este procedimiento le permite transportar de forma segura la clave cifrada a otro Sistema z / VSE.

1. Modifique el trabajo de muestra CIALGPRV.JCL con el de su sistema información.

2. Ejecute el trabajo CIALGPRV modificado en el sistema z / VSE que contiene La clave que desea copiar. El archivo de clave privada RSA cifrado es escrito en SYSLST usando codificación de caracteres imprimible base64. Esta los datos cifrados pueden usarse como entrada para la utilidad CIALPRVK.

34


3. Para instalar la clave en otro sistema z / VSE, modifique el CIALPRVK muestra

de trabajo con información para ese sistema. (Ver el trabajo de muestra en

Procedimiento 2-1.) Especifique el LIB.SUBLIB.MEMNAME en el que instale la

clave y reemplace los datos de muestra de la clave privada con los datos

generado por la utilidad CIALGPRV en el paso 2 anterior.

4. Ejecute el trabajo CIALPRVK modificado en el sistema z / VSE de destino.

Protegiendo el RSA La seguridad e integridad de los protocolos TLS y SSL dependen de ¡Mantener Archivos de clase privada privado el contenido de la clave privada RSA! Si el RSA es privado la clave está comprometida, entonces todas las comunicaciones que usan TLS / SSL también podrían estar comprometido Se debe crear una lib.sublib separada como se describe en "Paso 1: Crear una Sublibrary de claves", página 28. Esta lib.sublib no debe ser utilizado para cualquier otro propósito.

Además, la clave privada RSA se cifra automáticamente cuando se almacena en

El sistema z / VSE. Se usa una clave interna predeterminada para encriptar el

archivo almacenado clave, pero le recomendamos que cree un valor de clave

único para cada instalación. Cuando se inicia CIALSRVR (consulte los trabajos en

el Procedimiento 3-1), intenta CDLOAD una CIALEXIT.phase. Si esta fase no

existe, el programa usa una frase de contraseña predeterminada para cifrar el

RSA privado archivo de clave. Opcionalmente, puede crear una fase única

CIALEXIT.para proteger el contenido del archivo de clave privada RSA.

Para crear una única CIALEXIT.phase para una instalación, modifique y ejecute el

siguiente trabajo de muestra. Luego, realice los procedimientos en "Paso 3:

Crear archivos personalizados", página 31, para crear los archivos

personalizados.

Nota:

La herramienta Keyman / VSE admite la carga de una clave privada utilizando un

Fase CIALEXIT. Solicitará la frase de contraseña CIALEXIT cuando cargar la clave

en un PRVK.

35


// JOB CIALEXIT SAMPLE // OPTION CATAL // LIBDEF *,CATALOG=CSILIB.DRSTEST // EXEC ASMA90,SIZE=ASMA90 PUNCH ' PHASE CIALEXIT,* ' CIALEXIT CSECT CIALEXIT AMODE 31 CIALEXIT RMODE ANY PRINT GEN STM R14,R12,12(R13) Save callers regs LR R12,R15 Set up base reg USING CIALEXIT,R12 Establish addressability ST R13,SAVEAREA+4 Store callers R13 LA R13,SAVEAREA Provide a save area C R0,=F'1' Is this a get pass phrase? BE GETP1000 bif yes C R0,=F'2' Is this get key for rsa? BE GETK1000 bif yes LA R15,BADREQST Tell caller we failed B MAIN9000 Exit now * * * Get the private key file pass-phrase... GETP1000 DS 0H L R0,GETPHRSL Length of phrase LA R1,GETPHRST Address of phrase B MAIN8000 Return to caller * * * Get key used to encrypt the RSA private key... GETK1000 DS 0H LA R0,AES256KL Length of key (AES-256) LA R1,AES256KY Address of key (AES-256) B MAIN8000 Return to caller * MAIN8000 DS 0H LA R15, GOODNEWS Teller called success MAIN9000 DS 0H L R13, SAVEAREA+4 LM R2,R12,28(R13) RESTORE CALLERS R2-R12 L R14,12(R13) RESTORE R14 BR R14 RETURN TO CALLER * SAVEAREA DS 18F

(continua en la siguiente página)

36


* * * The PC client generating the RSA private key * * must enter this phrase before he or she is * * allowed to send a RSA private key to the z/VSE CIALSRVR server. * * * The SHA-1 hash on it is also stored with the RSA private key * * * and is checked whenever the private key is read... GETPHRSL DC F'28' Length of phrase(max 64) GETPHRST DC C'The cow jumped over the moon' * * * The below is a sample AES-256-CBC key value used to encrypt * * the RSA private key data that is stored on the z/VSE system. AES256KY DC XL16'1234567890ABCDEF0123456789ABCDEF' DC XL16'A123456789ABCDEFB123456789ABCDEF' DC XL16'7123456789ABCDEFA123456789ABCD0F' AES256KL EQU *-AES256KY * LTORG , * * * EQUATES GOODNEWS EQU 0 BADREQST EQU 1 * R0 EQU 0 R1 EQU 1 R2 EQU 2 R3 EQU 3 R4 EQU 4 R5 EQU 5 R6 EQU 6 R7 EQU 7 R8 EQU 8 R9 EQU 9 R10 EQU 10 R11 EQU 11 R12 EQU 12 R13 EQU 13 R14 EQU 14 R15 EQU 15 END CIALEXIT /* // EXEC LNKEDT,SIZE=512K /* /&

37


Definiendo el TLS/SSL Daemon

Esta sección presenta tres métodos para implementar un TLS / SSL daemon:

• Implementación de TLS / SSL en modo de transferencia

• Implementación de un servidor HTTPD habilitado para TLS / SSL

• Implementación de un servidor TELNETD habilitado para TLS / SSL

Implementando TLS/SSL El uso del daemon TLS / SSL le permite implementar el TLS / SSL protocolo de en Pass-Through Mode forma rápida y sencilla. No es necesario modificar las existentes aplicaciones

que se ejecutan en el sistema z / VSE. Para facilitar esto implementación, el

procesamiento se agrega en el front-end de la aplicación. En lugar de permitir

una comunicación directa entre el software del cliente y el servidor que se

ejecuta en z / VSE, TLS / SSL para z / VSE intercepta la comunicación en un

puerto seguro y gestiona la sesión directamente con el cliente.

Hay ventajas y desventajas de este enfoque. El más grande La ventaja es que no

se requieren modificaciones en las aplicaciones existentes. La mayor desventaja

es que el enfoque puede no funcionar con Algunos tipos de aplicaciones. Para

esas aplicaciones, TLS / SSL PARA z / VSE proporciona una interfaz de

programación de aplicaciones (API) que puede usar para SSL-habilita una

aplicación. Consulte el programador TCP / IP FOR z / VSE Guía para obtener

información sobre el uso de las API de TCP / IP FOR z / VSE.

Para inicializar el modo de transferencia, primero defina un daemon TLS / SSL

para cada Puerto TCP que desea proteger. Luego instale y pruebe con el cliente

software.

1. Defina e inicialice el daemon TLS / SSL. El ejemplo de comando a continuación

se define un daemon que se comunica con un TLS / SSL habilitado cliente. Cada

línea está etiquetada. Use la misma biblioteca, sublibrary y miembro nombres

que definió en el "Paso 1: Crear una sublibrary de claves" en la página 28.

DEFINE TLSD,ID=TLSDTELNET, - ID of this TLS/SSL daemon PORT=2020, - Secure port PASSPORT=3020, - Port the data is passed to CIPHER=0A092F353C3D, - Allowed cipher suites CERTLIB=PRD2, - Library name CERTSUB=SSLKEYS, - Sublibrary name CERTMEM=SAMPLE03, - Member name TYPE=1, - SSL server application MINVERS=0301 Minimum version required

Los parámetros de palabras clave se describen en la siguiente tabla.

38



ID= Un identificador arbitrario de 1 a 16 caracteres para esto deamon TLS / SSL.

PORT= Puerto en el que TLS / SSL para z / VSE escucha todos los TCP tráfico.

PASSPORT= El puerto TCP al que TLS / SSL para z / VSE daemon pasa el tráfico. Si es lo mismo que PORT = valor, entonces el daemon TLS / SSL definido pasa los parámetros de seguridad para un daemon que tiene directamente implementó el TLS / SSL para la API z / VSE. El daemon correspondiente usa el mismo puerto que el daemon TLS / SSL.

CIPHER= Un valor correspondiente a un conjunto de cifrado compatible. Múltiples valores están concatenados. Se requiere un valor. Para especificar los conjuntos de cifrado predeterminados, codifique 00. Las suites predeterminadas se establecen mediante la palabra clave SSLCIPH = en $ SOCKOPT.PHASE. En la fase distribuida, esto La palabra clave especifica el uso de todas las suites compatibles. Por detalles, ver “Apéndice A: Fase de opciones de $ SOCKOPT” en la Guía del programador TCP / IP FOR z / VSE. Para el protocolo SSL30, TLS 1.0 y TLS 1.1 versiones, utilice los valores a continuación para especificar una lista personalizada. 01 — parar RSA-NULL-MD5 02 — para RSA-NULL-SHA160 08 — para RSA-SDES040-SHA160 09 — para RSA-SDES056-SHA160 0A — para RSA-TDES168-SHA160 2F — para RSA-AES128-SHA160 35 — para RSA-AES256-SHA160 Para TLS 1.2, use los valores enumerados a continuación. Estas suites no son compatibles con el algoritmo DES. El TLS 1.2 el soporte también requiere la asistencia de CP de hardware de IBM para Función de función criptográfica (CPACF). 2F — para RSA_AES128CBC_SHA1 35 — para RSA_AES256CBC_SHA1 3C — para RSA_AES128CBC_SHA256 3D — para RSA_AES256CBC_SHA256 Los clientes deben usar uno o más de los cifrados especificados suites. Esto impone el nivel de seguridad deseado en una aplicación crítica o sensible.

39



El cliente propone una lista de cifrado en el orden que prefiere, de mayor a menor seguridad. El servidor luego selecciona uno de la lista y responde con el cifrado que se utilizará. TDES (para otro que no sea TLS 1.2) o AES128 es suficiente para la mayoría de las aplicaciones, pero el AES256 proporciona cifrado más fuerte para aplicaciones más sensibles.

CERTLIB= CERTSUB= CERTMEM=

La biblioteca, la sub biblioteca y los nombres de miembros para clave privada y certificados para ser utilizados por aplicación definida en este puerto. Si estos nombres son omitido, se utilizan los archivos de disco secuenciales predeterminados.

TYPE= El tipo de aplicación TLS / SSL. Los valores válidos son: 0: para un cliente con autenticación 1 - para un servidor sin autenticación de cliente 2 - para un servidor con autenticación de cliente 3 - para un cliente sin autenticación

MINVERS= Un valor hexadecimal que establece la versión mínima de El protocolo TLS / SSL que se utilizará para HTTPD, TELNETD y TLS / SSL de paso Daemons Los valores válidos son los siguientes.

Valor Notas 0303 Este es el estándar TLS 1.2 documentado en

RFC5246. Es el más seguro, pero los clientes deben apoyarlo para que esto funcione.

0302 Este es el estándar TLS 1.1 documentado en RFC4346.

0301 Este es el estándar TLS 1.0 documentado en RFC2246.

0300 Esta es la versión más antigua y menos segura de protocolo SSL original (SSL30), pero proporciona la mayor flexibilidad para que los clientes conéctese a este servidor.

Nota: El valor MINVERS que elija debe ser según las políticas de seguridad de su instalación. Las recomendaciones anteriores están destinadas a ayudar, pero en última instancia, es su elección en función de su entorno.

2. Instale y pruebe con el software del cliente. Debes seguir las instrucciones de

instalación del cliente, que generalmente incluyen la configuración de puerto

que corresponde con el parámetro PORT = especificado en el DEFINE el comando

TLSD.

40


Implementando un El daemon TCP / IP FOR z / VSE HTTP ha implementado el TLS / SSL para API z /

TLS/SSL-habilitando VSE con soporte en modo nativo. La definición es la siguiente. Cada línea está

servidor HTTPD etiquetada. Utilice la misma biblioteca, sublibrary y nombres de miembros. que

definió en el "Paso 1: Crear una Sublibrary de claves" en la página 28.

DEFINE TLSD,ID=HTTPDSSL, - ID of this TLS/SSL daemon PORT=443, - Default HTTPS port PASSPORT=443, - Native support CIPHER=0A092F353C3D, - Allowed cipher suites CERTLIB=PRD2, - Library name CERTSUB=SSLKEYS, - Sublibrary name CERTMEM=SAMPLE03, - Member name MINVERS=0301, - Minimum version required TYPE=1 SSL server application DEFINE HTTPD,ID=HTTPDSSL, - ID of this HTTP daemon PORT=443, - Default HTTPS port CONFINE=YES, - Confine to a specific lib DRIVER=HTTPD Driver phase name

Nota: • El DEFINE TLSD PORT = parámetro, el DEFINE TLSD PASAPORTE = parámetro, y el DEFINE HTTPD PORT = parámetro todos especifican el mismo número de puerto.

• El HTTPD definido utiliza los valores CIPHER y MINVERS. especificado en el comando DEFINE TLSD correspondiente, y solo se utiliza un puerto.

• El navegador usa HTTPS de forma predeterminada y luego se conecta directamente a puerto 443 como se define en el estándar RFC2818 "HTTP sobre TLS".

Implementando un El daemon Telnet TCP / IP FOR z / VSE ha implementado el TLS / SSL API con

TLS/SSL-habilitando soporte en modo nativo. Vea la definición de muestra a continuación. Utilizar la

Un seridorTelnet misma biblioteca, sublibrary y nombres de miembros que definió en el "Paso 1:

Crear una subbiblioteca clave "en la página 28.

DEFINE TLSD,ID=TLSDTNDS, - PORT=992, - PASSPORT=992, - CIPHER=0A092F353C3D, - MINVERS=0301, - CERTLIB=PRD2, - CERTSUB=SSLKEYS, - CERTMEM=SAMPLE03, - TYPE=1 SET TELNETD_BUFFERS=20 DEFINE TELNETD,ID=TELNVSSL,TERMNAME=TELNLU, - TARGET=DBDCCICS,COUNT=3,MENU=TCPMENU1,TYPE=VTAM, - POOL=YES,PORT=992

41


Nota:

• Puede usar la configuración SSLFLG1 = $ OPTCIPH en opciones personalizadas

fase para anular los cifrados especificados aquí. Para más detalles, ver "Apéndice

A: Fase de opciones de $ SOCKOPT" en TCP / IP FOR z / VSE Guía del

programador.

• DEFINE TLSD debe preceder a los comandos DEFINE TELNETD.

• Los valores PORT = y PASSPORT = en DEFINE TLSD y el PORT = el valor en

DEFINE TELNETD debe especificar el mismo puerto número. También debe

especificar POOL = YES en DEFINE Comando TELNETD.

• El parámetro TERMNAME = en DEFINE TELNETD tiene dos sinónimos: TCPAPPL

= y APPLID =. El nombre preferido para esto el parámetro es TERMNAME =.

Puede asegurar los daemons efectores TN3270E con TLS / SSL, como se muestra

abajo.

DEFINE TLSD,ID=TLSDTNDS, - PORT=992, - PASSPORT=992, - CIPHER=0A092F353C3D, - MINVERS=0301, - CERTLIB=PRD2, - CERTSUB=SSLKEYS, - CERTMEM=SAMPLE03, - TYPE=1 SET TELNETD_BUFFERS=20 * TN3270E Listener Daemon DEFINE TELNETD,ID=LSTNSSL,TN3270E=L,PORT=992,GROUP=ONE, - POOL=YES * TN3270E Effector Daemon DEFINE TELNETD,ID=EFFSSL,TERMNAME=TELNLU,TARGET=DBDCCICS, - PORT=992,COUNT=3,MENU=TCPMENU1,TYPE=VTAM, - POOL=YES,TN3270E=E,GROUP=ONE

42


Verificación de la tarjeta de hardware Crypto Express

Las tarjetas de hardware de criptografía proporcionan un rendimiento mejorado para solicitudes de criptografía asimétrica (RSA). TCP / IP PARA z / VSE El código TLS / SSL determina si se deben usar instrucciones de hardware en RSA operaciones comprobando un indicador en un bloque de control del sistema operativo. z / VSE establece este indicador cuando se instala una tarjeta criptográfica. (Algunos z / VSE las versiones no actualizan este indicador).

El código TLS / SSL busca este indicador cada vez que una aplicación Inicializa el entorno TLS / SSL en la partición actual. Si una tarjeta es instalada, TLS / SSL lo utiliza para realizar operaciones RSA para cualquier TLS / SSL aplicación que usa esa partición.

Por defecto, el código TLS / SSL elige si usar una tarjeta criptográfica automáticamente. Puedes elegir usar siempre hardware criptográfico instrucciones, o nunca las use, configurando una opción en $ SOCKOPT fase de opciones Para obtener más información sobre la configuración de opciones en esta fase, consulte la Guía del programador TCP / IP FOR z / VSE, "Apéndice A: $ SOCKOPT Fase de opciones ".

Si hay una tarjeta Crypto Express instalada en su sistema, debe asegurarse que está configurado para realizar operaciones asimétricas RSA. El IBM sistema operativo z / VSE proporciona la configuración y el soporte para esto dispositivo. Para verificar que hay una tarjeta disponible, emita el comando MSG FB, DATOS = ESTADO = CR. La salida de ejemplo a continuación muestra que una la tarjeta criptográfica ha sido configurada.

MSG FB,DATA=STATUS=CR FB 0011 CRYPTO DEVICE DRIVER STATUS: FB 0011 AP CRYPTO SUBTASK STARTED .......... : YES FB 0011 MAX REQUEST QUEUE SIZE ............. : 0 FB 0011 MAX PENDING QUEUE SIZE ............. : 0 FB 0011 TOTAL NO. OF AP REQUESTS ........... : 0 FB 0011 NO. OF POSTED CALLERS .............. : 0 FB 0011 AP-QUEUE INTERRUPTS AVAILABLE ...... : NO FB 0011 AP-QUEUE INTERRUPTS STATUS ......... : DISABLED FB 0011 AP CRYPTO POLLING TIME (1/300 SEC).. : 1 FB 0011 AP CRYPTO WAIT ON BUSY (1/300 SEC).. : 75 FB 0011 AP CRYPTO RETRY COUNT .............. : 5 FB 0011 AP CRYPTO TRACE LEVEL .............. : 3 FB 0011 TOTAL NO. OF WAITS ON BUSY ......... : 0 FB 0011 CURRENT REQUEST QUEUE SIZE ......... : 0 FB 0011 CURRENT PENDING QUEUE SIZE ......... : 0 FB 0011 ASSIGNED APS : PCICC / PCICA ....... : 0 / 0 FB 0011 CEX2C / CEX2A ....... : 1 / 0 FB 0011 CEX3C / CEX3A ....... : 0 / 0 FB 0011 PCIXCC .............. : 0 FB 0011 AP 19 : CEX2C - ONLINE FB 0011 ASSIGNED AP QUEUE (CRYPTO DOMAIN)... : 14 FB 0011 END OF CRYPTO DEVICE DRIVER STATUS

43


Consulte el manual de administración de IBM z / VSE Versión x Release x para

obtener una lista de comandos disponibles relacionados con criptografía.

El coprocesador criptográfico PCIe de IBM proporciona un alto rendimiento de

alta seguridad subsistema criptográfico. El criptográfico IBM 4765 el módulo de

seguridad fue validado para FIPS 140-2, nivel general 4, el máximo nivel de

seguridad. (Consulte la certificación FIPS número 1505 en la lista de módulos en

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm.)

Más información sobre el módulo 4765 de IBM está disponible en http://www-

03.ibm.com/security/cryptocards/pciecc/overview.shtml.

La mayoría de las operaciones de RSA ocurren durante la inicialización de la

sesión TLS / SSL. A cambiar la configuración del coprocesador de hardware, debe

apagar y reinicie todas las aplicaciones TLS / SSL. Las asistencias criptográficas de

hardware que fueron disponible cuando la aplicación inicializa el entorno TLS /

SSL continúe utilizándose hasta que se complete el ciclo de la aplicación.

Si una tarjeta Crypto Express de hardware no está disponible en su sistema, TCP

/ IP FOR z / VSE realiza operaciones RSA utilizando software. Se aplican las

siguientes limitaciones a las operaciones del software RSA:

• TCP / IP FOR z / VSE solo admite RSA-512 y RSA-1024. Si la aplicación utiliza

RSA-2048 o RSA-4096, las operaciones de RSA fallar.

• Se desarrolló la implementación del software RSA de TCP / IP FOR z / VSE para

pruebas y no tiene certificación FIPS.

• Las operaciones del software RSA pueden aumentar significativamente la

utilización de la CPU. TCP / IP FOR z / VSE no cambia automáticamente al uso de

software RSA si una tarjeta criptográfica no está disponible. Si quita una tarjeta

criptográfica y desea utilizar el software RSA, debe alternar la partición en la que

la aplicación se está ejecutando.

44

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm

http://www-03.ibm.com/security/cryptocards/pciecc/overview.shtml

http://www-03.ibm.com/security/cryptocards/pciecc/overview.shtml


Verificación de fase SHA-1

Visión general Esta sección explica cómo usar la utilidad de verificación de fase SHA-1

(CIALSHPH). Esta utilidad verifica la integridad de las fases leyendo una fase en

memoria, calculando un hash SHA-1 (también conocido como huella digital), y

compararlo con un valor establecido desde el momento en que La fase fue

creada originalmente. Este control proporciona una garantía absoluta. que el

contenido de la fase coincide con el valor distribuido original.

Puede verificar los valores SHA-1 correctos establecidos para cada fase

distribuido con el producto TCP / IP FOR z / VSE actual.

También puede usar la utilidad CIALSHPH para verificar la integridad de Fases

TCP / IP y miembros como archivos .OBJ.

Antes que empieces Se debe instalar una clave de producto SSL válida antes de poder usar la Fase

Utilidad de verificación. Consulte la sección “Clave del producto” en la página

22, para obtener más información.

Comprobando la fase TCP/IP Este procedimiento explica cómo verificar la integridad de los archivos Integridad descargados TCP / IP FOR z / VSE fases que ha instalado en su sistema.

Para obtener más información sobre la instalación de TCP / IP FOR z / VSE, consulte el capítulo 3, "Instalación" en la Guía de instalación de TCP / IP FOR z / VSE.

Paso 1: Crear la TCP / IP FOR z / VSE se distribuye con una fase que contiene el SHA-1valores para Tabla SHA-1 Phase cada fase. Los valores SHA-1 están contenidos en un trabajo de muestra con el nombre de archivo de TvrmSHA1.JCL, donde vrm es la versión, lanzamiento, y nivel de modificación de TCP / IP PARA z / VSE.

Tenga en cuenta que, si se aplica algún mantenimiento, los valores SHA-1 cambiar, y puede ser necesario crear una tabla actualizada de TCP / IP fases con sus correspondientes valores SHA-1. Puedes hacer esto por contactar al soporte técnico para un trabajo TvrmSHA1 actualizado que será como el que se muestra a continuación.

45


Muestra TvrmSHA1.JCL // JOB TvrmSHA1 // OPTION CATAL // LIBDEF *,CATALOG=lib.sublib

// EXEC ASMA90,SIZE=ASMA90 PUNCH ' PHASE TvrmSHA1,* ' * TvrmSHA1 CIALSHAT GEN * DC C'$EDCTCPV',XL20'731F6EB4A207E63EB1A3F01A751430130ADA36B1' DC C'$SOCKDBG',XL20'B862B55465247A7015G1589DE8E56AD34CD7303A' DC C'$SOCKLST',XL20'86679BDC6D5D96F146DB2FA1E12BBDFFF6F13BE3' DC C'$SOCKOPT',XL20'73C169E4766D16109AFB5046588F62F0628FAB22' DC C'ASOCKET ',XL20'207D159D973EA9A1987596CC86CEAB5C60B56E70' DC C'CGILOAD ',XL20'38799CE977FC4DD6D62928C612EFD81DF041ED14' DC C'CHECKTCP',XL20'B9C8A87358D4103C6E2BA1BC0593DBE09122E0A9' . . . other phases . . . DC C'TELNETD ',XL20'D99B98151C2E9D87A5D73187262709931EF6B0FE' DC C'TELNET01',XL20'AF1923FA93317AB055D5B42B842160F0B1C86869' DC C'TRCTAPE ',XL20'7C35A30F76177BF73281709CE7C0C0CEBA61CA5C' DC C'TRIBTAPE',XL20'3E4EA717EE6EEC84F7ECCD8A48300BCF9DFF041E' DC C'VERCHECK',XL20'8BC669B41526EC2D68E380132F270B18927DA53A' DC F'-1' End of SHA-1 hash table END /* // EXEC LNKEDT,SIZE=512K /* /&

Paso 2: fase de verificación El segundo paso es usar la tabla de fase SHA-1 (TvrmSHA1.PHASE) para Verifique Integridad a integridad de sus fases instaladas. Ejecute el CIALSHPH programa utilizando el siguiente trabajo como ejemplo:

// JOB CIALSHPH // OPTION LOG // LIBDEF PHASE,SEARCH=lib.sublib

// EXEC CIAlLSHPH,SIZE=CIALSHPH VERCHECK TvrmSHA1 /* /&

Reemplace lib.sublib en este trabajo con la biblioteca y sublibrary que utilizó

para la instalación de TCP / IP FOR z / VSE.

Nota:

Consulte la sección “Opciones del programa CIALSHPH”, página 49, para obtener

información. en las opciones UPSI que puede configurar para la utilidad

CIALSHPH.

Si el trabajo se completa con un código de retorno de cero, significa que todas

las fases coinciden con los valores contenidos en TvrmSHA1.PHASE, y se

garantiza la integridad de las fases instaladas.

46


Si el trabajo se completa con un código de retorno distinto de cero, significa que

un Se detectó un problema de integridad. Debe revisar la salida SYSLST a

Determinar la causa del problema. El siguiente ejemplo muestra el mensaje que

se emiten para una fase no sincronizada:

$SOCKDBG FOUND IN lib.sublib SIZE=00000138 $SOCKDBG SHA1 HASH=DEE6471190BB604D034991447361CF01C866381A $SOCKDBG SHA1 HASH DOES NOT MATCH SHA1 FROM T216SHA1

Los errores fuera de sincronización pueden ser aceptables. Puede corregir estos

errores como sigue:

1. Copie el valor HASH = de un mensaje emitido en su copia de TvrmSHA1.JCL.

2. Ejecute el trabajo TvrmSHA1.JCL para volver a crear TvrmSHA1.PHASE.

3. Vuelva a ejecutar el trabajo CIALSHPH.

Comprobando Non-TCP/IP Esta sección contiene dos procedimientos que describen cómo verificar la Integridad de miembros integridad de cualquier miembro de IBM, proveedor o cliente:

• Verificar múltiples fases • Crear un valor SHA-1 para cualquier miembro individual

Fase de verificación Utilice los siguientes cuatro pasos para verificar múltiples fases que no sean TCP

/ IP.

Paso 1: especificar las fases

Edite y ejecute el JCL a continuación. Debe reemplazar la lista de nombres de

fase en el ejemplo con los que quieres verificar. El trabajo genera la fase

CUSTSHA1.

Para CATALOG =, reemplace lib.sublib con la biblioteca y sublibrary en que desea

catalogar esta fase.

Para SEARCH =, reemplace csilib.sublib con el lib.sublib utilizado para Instalación

de TCP / IP PARA z / VSE.

En este ejemplo, PAYROLL1, PAYROLL2 y PAYWXYZ son las fases a verificar.

47


// JOB CUSTSHA1 // OPTION CATAL // LIBDEF *,CATALOG=lib.sublib <--lib.sublib for CUSTSHA1

// LIBDEF *,SEARCH=csilib.sublib <--TCP/IP lib.sublib

// EXEC ASMA90,SIZE=ASMA90 PUNCH ' PHASE CUSTSHA1,* ' CUSTSHA1 CIALSHAT GEN * DC C'PAYROLL1',XL20'00' DC C'PAYROLL2',XL20'00' DC C'PAYWXYZ ',XL20'00' DC F'-1' End of SHA-1 hash table END /* // EXEC LNKEDT,SIZE=512K /* /&

Paso 2: Crear valores SHA-1

Genere valores SHA-1 para las fases enumeradas ejecutando lo siguiente trabajo:

// EXEC CIALSHPH,SIZE=CIALSHPH,PARM='GENCODE' VERCHECK CUSTSHA1 /*

Este trabajo genera el valor SHA-1 generado para cada fase en SYSLST.

Por ejemplo, las siguientes líneas pueden salir para la fase.

PAYROLL1 FOUND IN PRODLIB.PAYROLL SIZE=00035FD8 PAYROLL1 SHA1 HASH=731F6EB4A207E63EB1A3F01A751430130ADA36B1 DC C'PAYROLL1',XL20'731F6EB4A207E63EB1A3F01A751430130ADA36B1'

Se generarán líneas similares para las otras fases.

Paso 3: edite el ensamblaje CUSTSHA1

Copie las líneas que contienen DC C'xxxxxxx',XL20'yyyyyyyy' y péguelos en el ensamblaje CUSTSHA1 para reemplazar la lista de fases.

(Consulte “Paso 1: Especifique las fases” en la página 47.) Luego, ejecute el

ensamblaje nuevamente y edite el enlace para crear un nuevo CUSTSHA1.PHASE.

Paso 4: Ejecute VERCHECK

Verifique las fases de la siguiente manera:

A. Ejecute el siguiente trabajo utilizando la fase CUSTSHA1 regenerada.

48


// EXEC CIALSHPH,SIZE=CIALSHPH VERCHECK CUSTSHA1 /*

B. Examine la salida en busca de errores fuera de sincronización como se explica

en "Paso 2: Verificar la integridad de la fase" en la página 46.

Creando un valor SHA-1 Puede usar los siguientes comandos SYSIPT después de un "// EXEC CIALSHPH para un solo Miembro "para crear un valor SHA-1 para cualquier miembro individual.

Comando Descripción

MEMBSHA1 any-phase Le permite crear un valor SHA-1 para cualquier fase. La fase puede ser de IBM, un vendedor, o alguna otra fuente.

MEMBTYPE type Le permite crear un valor SHA-1 para cualquier miembro de la biblioteca no en fase. El miembro El tipo que especifique se aplica a todos los MEMBSHA1 comandos que siguen.

Por ejemplo, el siguiente trabajo se puede usar para crear el valor SHA-1 para un

archivo de mazo de objetos de biblioteca (.OBJ):

// EXEC CIALSHPH,SIZE=CIALSHPH MEMBTYPE OBJ MEMBSHA1 IPNRSTUB /*

Este paso de trabajo lee el archivo IPNTSTUB.OBJ y genera el SHA-1 valor por

ello.

Programa CIALSHPH El programa CIALSHPH tiene dos opciones útiles de UPSI que se describen en la Opciones tabla de abajo.

Configuración de UPSI Byte Descripción // UPSI 1XXXXXXX DEBUG ON

Esta configuración proporciona información de diagnóstico. Use esta opción solo cuando CSI Technical Solicitudes de soporte que configura para recopilar datos para el análisis de problemas

// UPSI XXXXXXX1 TERSE ON Esta configuración suprime todo correcto comparaciones Solo fa

49


Paso de cadenas sensibles entre sistemas z / VSE

Existe un riesgo de exposición a la seguridad si intenta pasar de manera sensible

cadenas como ID de usuario y contraseñas entre sistemas z / VSE en diferentes

ubicaciones. Para enviar estas cadenas de forma segura, la función TLS / SSL para

z / VSE incluye dos utilidades por lotes que puede ejecutar que usan claves

públicas / privadas de RSA y un certificado para cifrar y descifrar información

confidencial. Adicionalmente, puede usar estas utilidades para verificar que su

tarjeta Crypto Express sea trabajando sin tener que ejecutar una aplicación SSL /

TLS.

Siga los pasos a continuación para enviar cadenas de manera segura desde un

sistema z / VSE a otro.

Paso Acción

1. Use la utilidad Keyman y CIALSRVR para generar una clave privada y un

certificado en su sistema z / VSE local. Ver la sección “Keyman / VSE Utility” en

la página 32 para más detalles. Suponga que el sistema local se llama

"VSESYSDC" ("DC" - descifrar).

2. En z / VSESYSDC, envíe solo el certificado a la otra z / VSE sistema donde está

instalado TCP / IP FOR z / VSE. Suponga que el otro sistema se llama "VSESYSEC"

("EC" - encriptar).

3. En z / VSESYSEC, ejecute CIALCERT para catalogar solo el archivo. CERT. No

incluya el archivo. ROOT o. PRVK en z / VSESYSEC. El certificado contiene la clave

pública RSA que se utilizará para cifrar tarjetas (entrada SYSIPT que contiene las

cadenas para transmitir).

4. En z / VSESYSEC, personalice y ejecute el siguiente trabajo para cifrar tarjetas.

Reemplace lib.sublib.memname con el nombre del certificado catalogado por

CIALCERT. Las dos líneas de texto son las cadenas para encriptar y transmitir.

// JOB CIALEPAS // EXEC CIALEPAS,SIZE=CIALEPAS,PARM='lib.sublib.memname' The quick brown fox jumped over the moon. Don's secret password is "GetAclue1853". /*

La salida SYSLST de este trabajo contiene el bloque cifrado RSA en codificación

base64.

5. En z / VSESYSEC, envíe un correo electrónico que contenga el bloque de

cifrado datos a z / VSESYSDC.

50


Paso Acción

6. En z / VSESYSDC, personalice y ejecute el siguiente ejemplo de trabajo para

descifre la salida SYSLST base64 que envió en un correo electrónico. Tú

simplemente puede cortar esas líneas del mensaje de correo electrónico y

pegarlas en el trabajo.

Este trabajo debe ejecutarse en z / VSESYSDC porque tiene la parte privada de la

clave RSA. Reemplace lib.sublib.memname en el trabajo con el nombre de la

clave privada (.PRVK) que creó en el paso 1. Es descifrado utilizando la parte

privada de la clave RSA.

// JOB CIALDPAS // EXEC CIALDPAS,SIZE=CIALDPAS,PARM='lib.sublib.memname' <Base64 output from CIALEPAS pasted here as SYSIPT data>

/* /&

La salida de este trabajo contiene el texto original descifrado del Tarjetas

cifradas CIALEPAS:

The quick brown fox jumped over the moon. Don's secret password is "GetAclue1853".

Estas cadenas ahora se han transmitido de forma segura al objetivo sistema.

51


Estándares publicados

TLS / SSL para z / VSE se basa en estándares publicados. Puedes obtener Más

información sobre estas normas de las siguientes fuentes:

• Recursos de seguridad de RSA en https://www.rsa.com/en-

us/perspectives/resources

• El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) en

http://csrc.nist.gov/groups/ST/

• RFC1321, Algoritmo de resumen de mensajes MD5 de RSA Data Security, Inc.

• RFC2104, HMAC: hash con clave para la autenticación de mensajes

• RFC2202, Casos de prueba para HMAC-MD5 y HMAC-SHA-1

• RFC1113, Mejora de la privacidad para el correo electrónico de Internet.

• RFC2045, Extensiones multipropósito de correo de Internet (MIME) Primera

parte

• RFC2459, certificados de Internet PKI X.509v3

• RFC2246, estándar TLS en https://datatracker.ietf.org/wg/tls/charter/

• RFC4346, protocolo TLS 1.1 estándar.

• RFC5246, protocolo estándar TLS 1.2.

52

https://www.rsa.com/en-us/perspectives/resources

https://www.rsa.com/en-us/perspectives/resources

http://csrc.nist.gov/groups/ST/

https://datatracker.ietf.org/wg/tls/charter/


Referencias

Para obtener más información sobre programación y seguridad TLS / SSL,

consulte la publicación siguientes publicaciones.

RSA Security’s Official Guide to Cryptography

Steve Burnett and Stephen Paine

ISBN 0-07-213139-X

Osborne/McGraw-Hill

Applied Cryptography

Bruce Schneier

ISBN 0-471-11709-9

John Wiley & Sons

OS/390 V2R10.0 System Secure Sockets Layer Programming Guide and

Reference

IBM document number SC24-5877-03

Security on IBM z/VSE

IBM form number SG24-7691-02

http://www.redbooks.ibm.com/redpieces/abstracts/sg247691.html

SSL and TLS: Designing and Building Secure Systems

Eric Rescorla

ISBN 0-201-61598-3

Addison-Wesley

SSL and TLS Essentials: Securing the Web

Stephen Thomas

ISBN 0-471-38354-6

John Wiley & Sons

53

3 3. SecureFTP for z/VSE

Visión general

El protocolo FTP estándar se usa a menudo para transferir archivos a través de un TCP /

IP red. Este protocolo requiere un sistema para actuar como un cliente que emite

comandos para configurar y controlar un canal de datos independiente. Esta El canal se

utiliza para transferir archivos entre los dos sistemas. Lo único la seguridad

proporcionada es el uso opcional de una identificación de usuario y contraseña durante

la inicialización de la conexión del comando. Todos los comandos, incluidos El ID de

usuario y la contraseña se pasan a través de la red de forma clara y son, por lo tanto,

susceptibles de abuso.

La función SecureFTP para z / VSE proporciona autenticación de usuario,

confidencialidad e integridad de datos mediante el uso de certificados firmados

digitalmente, cifrado de datos y funciones hash seguras. Estos estándares de la industria

Las funciones criptográficas proporcionan autenticación, privacidad e integridad para

comandos y datos transmitidos usando el protocolo FTP implementando Transport Layer

Security (TLS) y Secure Sockets Layer (SSL) en Clientes y servidores FTP que se ejecutan

en la plataforma z / VSE.

El Grupo de trabajo de ingeniería de Internet (IETF) ha reemplazado oficialmente SSL con

TLS como protocolo estándar. TLS es compatible con SSL, pero contiene mejoras de

seguridad. SecureFTP para z / VSE implementa el SSL 3.0, TLS 1.0, TLS 1.1 y TLS 1.2

estándares para seguridad comunicaciones Porque algunas personas todavía usan el

acrónimo SSL cuando discutiendo el protocolo TLS, este capítulo puede usar SSL para

referirse tanto a Estándares SSL y TLS.

Protocolos SecureFTP para z / VSE se basa en varios componentes integrados, incluidos

• PKI (Infraestructura de clave pública) para identificación

• RSA para algoritmos de intercambio de claves

• AES, TDES y DES para el cifrado de datos

54

Chapter 3 SecureFTP for z/VSE

• MD5, SHA-1 y SHA-2 (SHA-256) para el hashing de mensajes

• HMAC para autenticación de mensajes

SecureFTP para z / VSE implementa muchos protocolos estándar de la industria,

incluso

• RFC2246 (Seguridad de la capa de transporte) para TLS 1.0

• RFC4346 para TLS 1.1

• RFC5246 para TLS 1.2

• RFC1321 (algoritmo de resumen de mensaje MD5)

• RFC2104 (HMAC)

• RFC2459 (certificados PKI X.509v3)

Mediante el uso de algoritmos estándar de la industria, tiene garantizada la

compatibilidad con una amplia variedad de otras plataformas que también

admiten seguridad Servidores y clientes FTP habilitados para TLS / SSL.

SecureFTP para z / VSE se basa en el documento IETF, "Asegurando FTP con TLS

”(RFC4217). Este documento es un estándar aceptado oficialmente. para

transmitir archivos de forma segura con el protocolo FTP.

55


Setup

La función SecureFTP para z / VSE se incluye con TCP / IP FOR Producto z / VSE.

Esta sección describe cómo configurar su sistema para usar esta característica.

Clave de producto Debe obtener y aplicar una clave de producto para habilitar esta función.

Verificar si hay instalada una clave SecureFTP válida, consulte la sección

"Producto Clave "en el capítulo 2, página 22.

Para obtener instrucciones sobre cómo aplicar claves de producto, consulte TCP

/ IP FOR z / VSE Guía de instalación, capítulo 3, "Instalación".

Requerimientos Los requisitos adicionales para usar SecureFTP para z / VSE son los siguientes:

• La función TLS / SSL para z / VSE debe estar habilitada. Ver capítulo 2 "TLS / SSL

para z / VSE", en la página 22 para obtener información sobre cómo configurar

una aplicación para usar TLS / SSL.

• Para ejecutar un servidor SecureFTP externo, la partición estática o dinámica

que use debe tener una capacidad mínima de almacenamiento virtual de 8 MB.

• Para ejecutar un servidor o cliente SecureFTP en z / VSE, debe asegurarse de

que Tanto el servidor FTP externo como el cliente FTP son compatibles con TLS /

SSL. Además, debe determinar el nivel de protocolo (TLS 1.2, TLS 1.1, TLS 1.0, o

simplemente SSL30) del servidor y cada cliente que se conecta lo.

Ejecutando un External El siguiente trabajo de ejemplo ejecuta un servidor SecureFTP externo en z / VSE. Servidor SecureFTP

// JOB FTPBSSLS // OPTION LOG,PARTDUMP // OPTION SYSPARM='00' * * * This is a SecureFTP server for z/VSE. * * Any foreign clients connecting to it must be SSL enabled. * // LIBDEF *,SEARCH=yourlib.sublib // EXEC FTPBATCH,SIZE=FTPBATCH,PARM='TLS=SERVER,FTPDPORT=990' SET TLS10 PRIVATE LIB.SUBLIB.SAMP1024 NOCLAUTH /* /&

56


Este trabajo contiene los siguientes parámetros FTPBATCH, especificados por

PARM =, para un servidor TLS / SSL


TLS=SERVER Requerido en PARM = para inicializar el TLS / SSL ambiente.

FTPDPORT=990 Especifica el número de puerto al que los clientes pueden conectar. Un cliente TLS / SSL implícito usa un puerto número de 990. Un cliente TLS / SSL explícito usa otros números de puerto. Un cliente implícito es más seguro porque el protocolo de enlace TLS / SSL ocurre justo después de la conexión se abre antes de intercambiar mensajes. Con clientes explícitos, el protocolo de enlace TLS / SSL hace no se produce hasta que el comando AUTH TLS / SSL es recibido.

Los operandos del comando SET en este trabajo son los siguientes. Estos

operandos son posicionales

Operando SET Descripción

TLS10 El primer operando establece el nivel mínimo de Protocolo TLS / SSL que los clientes pueden usar para conéctese a este servidor. TLS 1.2 tiene la mayoría características de seguridad mejoradas, pero no todos los clientes apoyarlo Especificar TLS10, por ejemplo, requiere clientes que se conectan para usar el TLS 1.0 o superior versión del protocolo. Los valores válidos son los siguientes.

Valor Sinónimos TLS12 (ninguno) TLS11 (ninguno) TLS10 TLS*, TLSV1*, TLS31* SSL30* SSL*, SSLV3*

* Puede no ser compatible en una versión futura. por compatibilidad con versiones anteriores, "SSL" y Todavía se aceptan "TLS" (sin números).

57


Operando SET Descripción

PRIVATE Los valores válidos son PRIVADOS o CLAROS. Este operando controla la seguridad de la conexión de datos. La conexión del comando siempre está asegurada, pero el cifrado es opcional en la conexión de datos FTP. Es posible que solo desee proteger la identificación de usuario, contraseñas y otros comandos y evitar el extra gastos generales para la transferencia de datos a granel. Especificar PRIVADO requiere que los clientes negocien un Conexión segura para la transferencia de datos. Especificando CLEAR hace que se envíe la conexión de datos y recibido sin una conexión segura.

LIB.SUBLIB.

SAMP1024 Esta es la biblioteca, sublibrary y nombre de miembro para el certificado del servidor, el certificado raíz y el privado Clave para ser utilizado. También puede especificar SDFILES si el servidor / certificado raíz y la clave privada son contenido en archivos de disco secuenciales. Ver "Paso 1: Crear una subbiblioteca clave ", página 28, para obtener información al definir estos archivos o una rutina de biblioteca.

NOCLAUTH NOCLAUTH: Sin autenticación de cliente. CLNTAUTH también se puede especificar para forzar el uso de autenticación del cliente. Cuando CLNTAUTH es especificado, el servidor requiere que el cliente envíe un certificado que valida la identidad del cliente conectando al servidor. Consulte también la discusión de los certificados de cliente en “Certificados SecureFTP” en la página 61.

Ejecutando un Internal El siguiente comando define un servidor SecureFTP interno en z / VSE. SecureFTP Servidor

DEFINE FTPD,ID=FTPDSSL,PORT=990,COUNT=1,TIMEOUT=9000,UNIX=NO, - DRIVER=FTPDAEMN,SSL=YES,SSLKEY=DRSLIB.SSLKEYS.SAMP1024, - SSLVERSION=TLS10,SSLCIPHER=ALL,SSLDATACONN=PRIVATE, - SSLMODE=IMPLICIT

El comando DEFINE FTPD y todas sus opciones están documentados en el

Referencia de comandos TCP / IP FOR z / VSE.

Los parámetros relacionados con SecureFTP son los siguientes.

58



SSL= Los valores válidos son los siguientes: NO: deshabilita SSL para un servidor (el valor predeterminado). SÍ: habilita SSL para este servidor FTP sin autenticación del cliente YESCLAUTH: habilita SSL para este servidor FTP y requiere que otros clientes se conecten proporcionar un certificado de cliente (autenticación del cliente). Con la opción SÍ, los clientes no se autentican, pero con YESCLAUTH, el servidor solicita que el cliente proporciona un certificado que luego utiliza para autenticar la identidad del cliente que se conecta en ello. Consulte también "Certificados SecureFTP", pág. 61)

SSLKEY= El lib.sublib.member del que SSL lee el tipos de miembros (.prvk, .cert, .root).

SSLCIPHER= Para los protocolos SSL30, TLS 1.0 y TLS 1.1: TODOS: (el valor predeterminado) Usar cifrados predeterminados; ver nota. AES: se aceptan estos conjuntos de cifrado AES: 35 RSA_AES256CBC_SHA 2F RSA_AES128CBC_SHA DES: se aceptan estas suites de cifrado DES: 0A RSA_3DESCBC_SHA 09 RSA_DESCBC_SHA 08 RSA_DES40CBC_SHA1 FUERTE: se aceptan conjuntos de cifrado fuertes: 35 RSA_AES256CBC_SHA 2F RSA_AES128CBC_SHA 0A RSA_3DESCBC_SHA MEDIO: se aceptan suites de cifrado medio: 2F RSA_AES128CBC_SHA 0A RSA_3DESCBC_SHA 09 RSA_DESCBC_SHA DÉBIL: se aceptan estos conjuntos de cifrado débiles: 09 RSA_DESCBC_SHA 08 RSA_DES40CBC_SHA1 NULL: se aceptan estos conjuntos de cifrado nulo: 02 RSA_NULL_SHA1 01 RSA_NULL_MD5 HARDWARE: dinámico; basado en detectado instalaciones de hardware.

59



Para TLS 1.2, los valores válidos se enumeran a continuación. La compatibilidad con TLS 1.2 también requiere el CP de hardware de IBM Asistencia para la función criptográfica (CPACF) característica. TODOS: (el valor predeterminado) Usar cifrados predeterminados; ver nota. FUERTE: se acepta este conjunto de cifrado fuerte: 3D RSA_AES256CBC_SHA256 MEDIO: se aceptan estas suites medianas: 35 RSA_AES256CBC_SHA1 3C RSA_AES128CBC_SHA256 DÉBIL: se acepta este conjunto de cifrado débil: 2F RSA_AES128CBC_SHA1 Nota: los cifrados predeterminados son establecidos por SSLCIPH palabra clave en $ SOCKOPT. Por defecto, todo soportado Se permiten suites de cifrado. Para más información, consulte el "Apéndice A: Fase de opciones de $ SOCKOPT" en la guía del programador TCP / IP FOR z / VSE.

SSLVERSION= La versión mínima del protocolo SSL o TLS que los clientes pueden usar al conectarse a este Daemon SecureFTP. Los valores válidos están a continuación.

Valor Sinónimos TLS12 0303 TLS11 0302 TLS10 0301, TLSV1* SSL30* 0300, SSLV3*

* Compatible con compatibilidad con versiones anteriores. TLS 1.2 es el más mejorado, pero no todos los clientes pueden soportarlo. Cada sitio debe evaluar esto requisito basado en el entorno específico.

60


Parámetro

Descripción

SSLDATACONN= Los valores válidos son CLARO y PRIVADO. CLEAR hace que los datos del archivo se envíen y reciban Sin encriptación. PRIVADO asegura todos los datos del archivo enviado y recibido con encriptación. El servidor SecureFTP requiere que todos los comandos y las respuestas se protegerán mediante cifrado, pero asegurar la conexión de datos es opcional. Una mayor sobrecarga de cifrado puede afectar negativamente afectar el rendimiento de la conexión de datos. Cada sitio debe evaluar la necesidad de proteger los datos. conexión.

SSLMODE= Establece el modo de negociación. Los valores válidos son IMPLICIT: esta es la configuración predeterminada. La negociación SSL / TLS se realiza de inmediato cuando se establece la conexión (antes de 220 mensaje de bienvenida enviado). EXPLÍCITO: esta configuración retrasa el SSL / TLS negociación hasta que un comando AUTH sea recibido. Esto es algo menos seguro porque se envía el mensaje inicial de bienvenida 220 Borrar texto.

Certificado SecureFTP Los servidores SecureFTP externos e internos requieren un archivo .cert que contiene el certificado del servidor. Un servidor externo usa el comando SET para identificar la ubicación de este certificado. Un servidor interno usa el Parámetro SSLKEY para identificar la ubicación. El protocolo SSL siempre requiere que el servidor proporcione un certificado al cliente que se conecta a él. Uno de los propósitos de este requisito es evitar una exposición de seguridad comúnmente conocido como suplantación de identidad.

Los servidores SecureFTP externos e internos también pueden requerir clientes conectarse a ellos para proporcionar un certificado de cliente para verificar cada cliente identidad. Para exigir a los clientes que se identifiquen con un certificado de cliente, el servidor externo usa el operando SET CLNTAUTH, y el interno el servidor usa la palabra clave SSL = YESCLAUTH. Los certificados de servidor y cliente también contienen una firma digital de una autoridad de certificación como Verisign, Inc. El certificado se utiliza para verificar la identidad del cliente o servidor. Este proceso de usar Los certificados, las firmas digitales y las autoridades de certificación se conocen como Infraestructura de clave pública (PKI).

61 Chapter 3 SecureFTP for z/VSE

Ejecutando un SecureFTP El siguiente trabajo muestra cómo ejecutar un cliente SecureFTP en z / VSE. Cliente

// JOB FTPBSSLC // OPTION LOG,PARTDUMP,NOSYSDMP // OPTION SYSPARM='00' * * * This is a SecureFTP client for z/VSE. * * The foreign FTP server must be SSL/TLS enabled... * // EXEC FTPBATCH,SIZE=FTPBATCH,PARM='TLS=CLIENT' [SET TLS10 PRIVATE LIB.SUBLIB.MEMBER] LOPEN LUSER local_userID

LPASS local_password

OPEN foreign_ip_address port_number [ssl_mode tls_protocol] AUTH SSL [CLEAR|PRIVATE] USER foreign_userID

PASS foreign_password

<your normal FTP commands> CLOSE LCLOSE QUIT /*

Los comandos y operandos únicos para este cliente TLS / SSL se enumeran en la

mesa de abajo. Los operandos del comando SET y OPEN son posicional.

Comando/operador Descripción PARM='TLS=CLIENT' Requerido en EXEC FTPBATCH para inicializar El

entorno SSL / TLS.

62


Comando/operador Descripción SET TLS10 PRIVATE

LIB.SUBLIB.MEMBER Esta instrucción SET habilita al cliente autenticación. Los operandos son posicionales. Este comando generalmente se usa solo cuando FTPBATCH está configurado como un servidor. Pero cuando se configura como un cliente con client_authentication, el único operando que es se utiliza el LIB.SUBLIB.MEMBER para establecer el certificado del cliente que se usará si el servidor al que está conectado solicita un certificado. Use este comando solo si el FTP externo el servidor requiere autenticación del cliente. "TLS10" y "PRIVADO" son marcadores de posición. LIB.SUBLIB.MEMBER es la biblioteca, sublibrary y nombres de miembros que solía almacenar la clave privada RSA y los archivos de certificado. Consulte el capítulo 2, "TLS / SSL para z / VSE", para detalles.

foreign_ip_address Operando en el comando ABRIR. Especifica el dirección IP del servidor extranjero.

port_number Operando en el comando ABRIR. Especifica el puerto del servidor al que se conecta este cliente. "990" denota un cliente SSL implícito por defecto. Otros números de puerto denotan un SSL explícito cliente por defecto. Los clientes implícitos son más seguros porque El protocolo de enlace SSL ocurre justo después de la conexión está abierto. Con clientes explícitos, el apretón de manos no ocurre hasta que el comando AUTH SSL es procesado.

ssl_mode Operando en el comando ABRIR. El valido los valores son EXPLICIT e IMPLICIT. Esta el valor anula el modo predeterminado de un puerto. por ejemplo, el puerto 990 está implícito por defecto. Especificar EXPLICIT cambia el modo de implícito a explícito. Ver también número_puerto encima.

63


Comando/operador Descripción tls_protocol Operando en el comando ABRIR. Establece la versión

de protocolo que el cliente propone al servidor. Los valores válidos son los siguientes. El valor predeterminado es TLS10.

Valor Sinónimos TLS12 (ninguno) TLS11 (ninguno) TLS10 TLS*, TLSV1*, TLS31* SSL30* SSL*, SSLV3*

* Puede no ser compatible en una versión futura. por compatibilidad con versiones anteriores, "SSL" y Todavía se aceptan "TLS" (sin números).

AUTH SSL Los operandos válidos son SSL y TLS. Para clientes explícitos, este comando debe siga inmediatamente el comando ABRIR. Nota: El comando AUTH no se usa con clientes implícitos (por ejemplo, puerto 990 por defecto).

PRIVATE | CLEAR Use PRIVADO (el valor predeterminado) si el SSL externo El servidor FTP está utilizando datos privados (seguros) conexión. Use CLEAR si el servidor FTP SSL externo es utilizando una conexión de datos no segura. Estas los comandos llaman PROT y LPROT con cualquiera el argumento "P" o "C". Ver el TCP / IP FOR z / VSE User Guide para obtener más información sobre PROT y LPROT. Puedes cambiar entre PRIVADO y CLEAR para servidores FTP locales y extranjeros comandos Vea el ejemplo del cliente a continuación para más información.

Ejemplo El siguiente ejemplo de cliente SecureFTP muestra cómo las conexiones de datos

se pueden cambiar entre CLARO y PRIVADO. En este ejemplo, el comando DIR

solicita una lista de directorio del servidor FTP externo, y el comando LDIR

solicita una lista de directorio del FTP local servidor. Los datos de listado de

directorio provienen de la conexión de datos.

64


// EXEC FTPBATCH,SIZE=FTPBATCH,PARM='TLS=CLIENT' LOPEN LUSER local_userID

LPASS local_password

LAUTH SSL OPEN foreign_ip_address 990 IMPLICIT TLS10 USER foreign_userID

PASS foreign_password

CLEAR LDIR PRIVATE DIR PRIVATE PUT %SAM2,SAM,EPIC FTPBSSLC.TXT QUIT /* /&

Observe que CLEAR se emite justo antes del comando LDIR y PRIVADO se emite

justo antes del comando DIR. Los comandos en este ejemplo, suponga que el

servidor FTP externo requiere datos privados conexión.

Para obtener más información sobre las conexiones de servidores FTP locales y

extranjeros, vea los diagramas en la introducción al capítulo FTP en TCP / IP FOR

Guía del usuario de z / VSE.

65

4 4. See-TCP/IP for z/VSE

Visión general

See-TCP / IP para z / VSE es un sistema y monitor de red que lo ayuda Identificar

y corregir los cuellos de botella del sistema para mejorar el rendimiento del

sistema. Consiste en un servidor z / VSE y un cliente de computadora personal

(PC).

El servidor z / VSE se ejecuta en el mainframe. Escucha para cliente de PC

conexiones y proporciona datos de rendimiento sin procesar relacionados con el

trabajo en el Sistema z / VSE. El cliente de PC recopila estos datos de

rendimiento y los almacena en una base de datos de manera significativa. Estos

datos se utilizan para monitorear z / VSE y cree gráficos y tablas que detallen el

rendimiento del sistema.

66

Chapter 4 See-TCP/IP for z/VSE

Configuración del servidor z/VSE

See-TCP / IP para z / VSE se distribuye con el producto TCP / IP FOR z / VSE. Esta sección explica cómo configurar su sistema z / VSE para usar esto característica.

La función See-TCP / IP para z / VSE requiere que descargue ciertos componentes del sitio web de CSI International e instalarlos en una PC. Este procedimiento se describe en la sección "Configuración de PC" en la página 72.

Clave de producto Debe obtener y aplicar una clave de producto See-TCP / IP para z / VSE. A verifique si esta clave está instalada, consulte la sección "Clave del producto" en capítulo 2, página 22. Para obtener una clave de producto See-TCP / IP para z / VSE, contacte a CSI International en [email protected].

Para obtener instrucciones sobre cómo aplicar una clave de producto, consulte TCP / IP FOR z / VSE Guía de instalación, capítulo 3, "Instalación". Ver también el CHECKPRD comando en la referencia de comando TCP / IP FOR z / VSE.

Procedimiento Siga los pasos a continuación para configurar un servidor See-TCP / IP para z / VSE.

1. Agregue la fase SVSESVAP al SVA. Esto puede y también debe ser agregado al procedimiento de IPL del sistema. Para hacer esto, modifique y ejecute el siguiente trabajo en la partición BG:

// JOB SVSESVAP ADD SVSESVAP TO THE SDL/SVA

// LIBDEF PHASE,SEARCH=lib.sublib

SET SDL SVSESVAP,SVA /* /&

2. Inicie el servidor See-TCP / IP para z / VSE, luego modifique y ejecute el

siguiente trabajo.

// JOB SVSESRVR // OPTION LOG,PARTDUMP,NOSYSDMP // OPTION SYSPARM='00' <=SysId of TCP/IP for z/VSE partition to be monitored> // LIBDEF PHASE,SEARCH=lib.sublib Installation lib.sublib // EXEC SVSESRVR,SIZE=SVSESRVR,PARM='VELOCITY' SETPORT 5450 SETUSER1 $SEEVSE1 $SEEVSE1 SETUSER2 $SEEVSE2 $SEEVSE2 SETUSER3 $SEEVSE3 $SEEVSE3 OPENLOG SEEPCLOG /* /&

mailto:[email protected]

67


En la declaración EXEC anterior, el parámetro opcional VELOCITY permite que el

monitor de rendimiento Velocity solicite TCP / IP FOR Datos de rendimiento de z

/ VSE del servidor See-TCP / IP. El seguimiento el mensaje muestra que este

monitoreo está activo:

SEE310 Velocity data collection active

Nota:

Anteriormente, el comando VELOCITY habilitaba esta supervisión, pero Este

comando está en desuso (consulte ZP227220). Usando la VELOCIDAD en cambio,

el parámetro reduce la sobrecarga del monitor SEEVSE solo activando las

funciones de monitoreo que utiliza Velocity agente de recopilación de datos.

El trabajo SVSESRVR se mantendrá activo y se puede ejecutar en cualquier

versión estática o partición dinámica con un mínimo de 8 MB de

almacenamiento virtual. los SVSESRVR se puede apagar con un "MSG xx, DATA =

SHUTDOWN" comando desde la consola del sistema z / VSE, donde xx es la ID de

partición ejecutando el trabajo SVSESRVR.

Los comandos que se muestran en el trabajo de ejemplo anterior se describen a

continuación sección.

68


Comandos z/VSE

Los siguientes comandos se pueden enviar a la partición SVSESRVR usando la rutina de atención de z / VSE "MSG xx, DATA = command", donde xx es el ID de partición que ejecuta el trabajo SVSESRVR. Puedes ingresar la mayoría de los comandos como entrada de tarjeta colocándolos en el SYSIPT después de // instrucción JEC EXEC SVSESRVR.

Lista de comandos Los comandos z / VSE son los siguientes.


SETPORT num Establece el número de puerto de escucha para clientes de PC en conectarse a El valor puede ser cualquier número. de 1 a 65000 (el valor predeterminado es 5450). La PC el cliente también abre un puerto de datos cuyo valor es uno menor que el valor SETPORT y un comando puerto de conexión que es uno menos que los datos Puerto. Los puertos predeterminados utilizados en z / VSE sistema son 5450, 5449 y 5448. Esto el comando puede ser útil al configurar configuración de los cortafuegos. Es válido solo en SYSIPT Entrada de tarjeta.

SETUSER1 userid passwd



Se pueden usar hasta tres ID de usuario y contraseñas conectado a See-TCP / IP para z / VSE. El comando SETUSERn crea la ID de usuario y contraseña que debe ingresarse cuando se le solicite por el PC Client. El ID de usuario y la contraseña son no entre mayúsculas y minúsculas. El ID de usuario asociado con SETUSER1 es la única sesión que puede emitir y recibir comandos TCP / IP FOR z / VSE y mensajes Una vez que la ID de usuario asociada con SETUSER1 está conectado, los registros se envían desde z / VSE Servidor a la PC y se almacenan en su sistema base de datos. La PC del SETUSER1 se utiliza para archivar y almacenar los datos de rendimiento. Las ID de usuario SETUSER2 y SETUSER3 son limitado a pantallas de actividad en tiempo real.

OPENLOG SEEPCLOG Hace que el SVSESRVR abra una conexión para que la PC envíe comandos y reciba TCP / IP para mensajes z / VSE, final de sesión de FTP registros, terminación de conexión registros y otros eventos registrados. El puerto el valor para esta conexión es dos menos que el Valor de SETPORT. Solo la identificación de usuario asociada con el comando SETUSER1 puede conectarse en este puerto

69



SETSYSID id Establece TCP / IP PARA z / VSE SYSID. Eso anula la configuración // OPTION SYSPARM =. Este comando es válido solo en la tarjeta SYSIPT entrada.

CONTROL SEEVSE

{ATTACH | DETACH}

Abre una conexión de control con TCP / IP. PARA la partición z / VSE, envía un comando de control, y luego recibe la respuesta del dividir. La opción ATTACH adjunta el Fase SVSEMNTR en TCP / IP PARA z / VSE dividir. La opción DETACH separa el Fase SVSEMNTR en la partición. Ambos comandos se emiten automáticamente durante el inicio de la partición SVSESRVR y apagar. Por lo tanto, debe emitirlos solo cuando lo solicite el soporte técnico de CSI.

SEGMENT Provoca la salida z / VSE / POWER SYSLST para la partición SVSESRVR que se segmentará.

RESETPCX Restablece todas las conexiones de PC activas abruptamente cerrando todas las conexiones activas actualmente. Un nuevo la escucha se emite luego de 30 segundos. Espere aproximadamente 1 minuto después de emitir este comando antes de intentar reconectarse desde una PC cliente. Este comando puede ser útil cuando la PC no puede establecer una conexión con el Partición SVSESRVR.

STATUS Muestra las sesiones de PC actualmente activas con la partición SVSESRVR. MSG xx (sin ", DATOS =") por defecto para emitir el ESTADO mando.

MONPHASE xxxx Activa la supervisión de la carga de fase de la fase xxxx.

LOCPHASE {* | xxxxxxx} Muestra las fases monitoreadas. Usando un '*' el comodín muestra todas las fases monitoreadas.

ABEND000 Hace que la partición SVSESRVR termine anormalmente. Emita este comando solo cuando lo solicite Soporte técnico de CSI para diagnosticar un problema.

SHUTDOWN Termina la partición SVSESRVR.

70


Opciones de depuración SVSESRVR también usa la declaración UPSI JCL para activar la depuración

opciones. Si se producen problemas, el Soporte técnico de CSI puede solicitarle

que agregue una de las siguientes declaraciones.

Opción Descripción // UPSI 1XXXXXXX Emita un volcado para anulaciones en SVSESRVR. // UPSI X1XXXXXX Si TCP / IP FOR z / VSE no está activo, espere a que

sube. // UPSI XX1XXXXX Haga que SVSEMNTR emita mensajes de diagnóstico. // UPSI XXX1XXXX (No utilizado) // UPSI XXXX1XXX (No utilizado) // UPSI XXXXX1XX Volcar bloques de control z / VSE durante

inicialización // UPSI XXXXXX1X Active el monitoreo de almacenamiento para

SVSESRVR. // UPSI XXXXXXX1 Emita muchos SDUMP para la depuración.

71


Configuración de la PC

El procedimiento de configuración de PC See-TCP / IP para z / VSE verifica e

instala cuatro componentes en tu PC. Estos componentes de software se

describen abajo.

Sistema operativo El cliente de PC See-TCP / IP para z / VSE se ejecuta en el sistema operativo Requisitos Windows® sistema.

Requisitos de Hardware La PC debe cumplir los siguientes requisitos mínimos.

Componente Requisito

Procesador Intel® Pentium® o procesador compatible; Mínimo 600 MHz (se recomienda 1 GHz o más)

Memoria (RAM) 256 MB mínimo (se recomiendan 512 MB +)

Redes Debe poder acceder al sistema z / VSE que desea para supervisar

Espacio del disco Cada sistema debe poder almacenar hasta 4 GB de datos en disco

Componentes de Software El procedimiento de instalación instala los siguientes componentes de software: Instalar • See-TCP / IP para la aplicación z / VSE. Esta es la aplicación de escritorio se

utiliza para recopilar y mostrar datos de sus sistemas z / VSE.

• Software Microsoft SQL Server®. Este es un peso ligero, redistribuible servidor de bases de datos que se ejecuta como un servicio de Windows. Es utilizado por See-TCP / IP para z / VSE para almacenar y recuperar datos.

• Software Microsoft Data Access Components 2.8. Este software es requerido por SQL Server Express.

• Software Windows Installer 3.1. Este software es requerido por SQL Servidor Express.

• Software .NET Framework 2.0 o 3.5. Este es un componente de la Sistema operativo Microsoft Windows® y se utiliza para construir y ejecutar Aplicaciones basadas en Windows. Microsoft empaqueta .NET Marco con sus sistemas operativos. El software es actualizado por rutinas integradas en el sistema operativo. Por lo tanto, el .NET Es posible que Framework ya esté instalado y actualizado en su PC.

Para verificar si .NET Framework está instalado, diríjase a su PC Panel de control y elija el icono para actualizar o eliminar software. Consulte la lista de aplicaciones para ver si "Microsoft .NET Framework x.x "está en la lista. La versión se indica en los títulos.

72


Instalación de Software See-TCP / IP para z / VSE está diseñado para ejecutarse en un sistema operativo Procedimiento Windows sistema.

Siga los pasos a continuación para instalar el software del cliente en una PC.

1. Obtenga el archivo de configuración See-TCP / IP para z / VSE PC de CSI

internacional. Vaya a http://www.csi-international.com/download.htm y

seleccione "Ver-TCP / IP" en Administración de red y Supervisión. Ingrese la

información solicitada y acepte al usuario acuerdo para iniciar la descarga del

archivo ZIP (seetcpipsetup.zip).

2. Extraiga el contenido del archivo ZIP a una carpeta en su PC, luego lea las

instrucciones de configuración en el archivo $ README_SeeTCPIP_PC.txt.

3. Ejecute el archivo asociado "setup.exe" en su PC para instalar .Net Framework

2.0 y el software del servidor Microsoft Sql. Siga las instrucciones para ejecutar

los instaladores correspondientes.

4. Ejecute el archivo SetupSee.msi.

Cuando todos los componentes necesarios se han instalado y verificado, se inicia

el instalador de la aplicación. Sigue las indicaciones para completar la instalación.

Consulte el archivo Léame anterior para obtener más información.

73

http://www.csi-international.com/download.htm


Operación del cliente PC

Forma principal See-TCP / IP para z / VSE comienza con un formulario principal que le permite definir cada uno de sus sistemas z / VSE. Debe especificar un nombre único para cada sistema, junto con la dirección IP y el puerto donde se ejecuta el servidor. Una vez que se define un sistema z / VSE, simplemente haga clic en el botón Ver sistema para acceder a él.

Formulario de sistema El formulario del sistema le permite

• Controle sus conexiones al servidor

• Iniciar sondeo de datos

• Ver monitores y gráficos

• Interactuar con la consola TCP / IP FOR z / VSE

• Administra el historial de cada sistema.

El formulario del sistema contiene varios paneles que se pueden mover y cambiar de tamaño para ver las diferentes tablas de datos y gráficos.

Votación See-TCP / IP para z / VSE utiliza muestreo o sondeo de datos para recopilar información sobre su sistema z / VSE. Los controles de sondeo están ubicados en la parte inferior del formulario del sistema. Para recopilar datos, el lado del servidor el componente debe ejecutarse en el sistema z / VSE supervisado. Entonces tú puede hacer clic en el botón Conectar. Si se realiza la conexión, el sistema se inicializa y se muestra el mensaje "Listo para comenzar" en la barra de estado.

Ahora puede iniciar un temporizador para muestrear datos z / VSE en un intervalo seleccionado. Si hace clic en Iniciar Autopolling, se muestra un temporizador y los datos son recolectado cada vez que expira el intervalo. See-TCP / IP para z / VSE El cliente toma los datos de rendimiento sin procesar y los almacena en un formato amigable. Eso luego calcula los valores utilizando los datos y muestra estos valores en útiles cuadros y tablas.

También puede hacer clic en el botón Encuesta cada vez que el cliente esté conectado a muestree su sistema z / VSE inmediatamente.

Monitoreando Real-Time See-TCP / IP para z / VSE le permite crear monitores para varios datos relacionados con el rendimiento. Normalmente, un valor de rendimiento de z / VSE tiene un contador para, por ejemplo, el número de interrupciones que han ocurrido. Si desea monitorear este valor, puede hacerlo usando un monitor absoluto o un monitor delta.

Monitores absolutos Un monitor absoluto traza puntos que muestran el valor real leído z / VSE cada vez que se completa una encuesta de datos. Si el valor leído de z / VSE es 900, un monitor absoluto traza 900 para la serie en ese momento.

74


Motores Delta Un monitor delta traza puntos que muestran el cambio de valor sobre un

intervalo cuando se completan las encuestas consecutivas. Si el valor leído de z /

VSE ha aumentado de 900 a 1000, un monitor delta traza 100 para las series

durante ese intervalo de tiempo.

Monitores del grupo Los datos de rendimiento se combinan en grupos que se relacionan con

diferentes aspectos de z / VSE y TCP / IP PARA z / VSE. Estos grupos son los

siguientes:

Grupo Datos monitoreados VSE Actividad relacionada con el rendimiento general de z / VSE.

Despacho de Turbo Actividad de la CPU y ciclos de Turbo Dispatcher.

Particiones Uso de CPU y recuentos de SIO desglosados por partición, trabajo o paso. Los datos solo se recopilan para particiones que se definen durante una encuesta. Por ejemplo, si un trabajo se ejecuta en 30 segundos y no se completa la encuesta de datos durante ese tiempo, el trabajo no se reflejará en el monitor.

TCP/IP Actividad relacionada con el rendimiento general de TCP / IP incluyendo tráfico de red, clientes, daemons, despachadores, errores y otros datos.

Foreign IPs Actividad relacionada con el tráfico entrante y saliente según el protocolo, como TCP o UDP, roto abajo por dirección IP extranjera.

Conexones Actividad relacionada con el lado de envío y recepción de las conexiones TCP / IP actuales, desglosadas por local puerto, IP foránea, IP foránea: puerto o partición. Al igual que con particiones, los datos solo se recopilan para conexiones que existir durante una encuesta.

Daos de la serie Los datos de la serie son los valores de datos reales que se recopilan y mostrado en el monitor. Algunas series se relacionan con el rendimiento general y puede contener solo un valor para cada punto en el tiempo, como el número de tareas activas que se ejecutan bajo z / VSE. Otras series pueden contener múltiples valores, como el uso de CPU de partición donde podría haber muchas particiones corriendo al mismo tiempo.

Para los grupos z / VSE, Turbo Dispatcher y TCP / IP, consulte TCP / IP para z / VSE le permite combinar varias series en un monitor y trazar cada valor Para la actividad de la CPU, los valores se dividen en cinco porcentajes que suman 100 por ciento para cada CPU.

Para los grupos Particiones, IP extranjeras y Conexiones, el monitor apila los valores de la serie agrupados según un valor común, es decir, partición, trabajo o paso. También limita el número de valores mostrados a Ahorre espacio (las 10 particiones con el mayor porcentaje de uso de CPU). Estas configuraciones se pueden cambiar usando los controles a la derecha del monitor.

75


Porcentajes de CPU Los porcentajes de CPU se controlan de una de dos maneras:

• Absoluto. Los valores corresponden al porcentaje de tiempo de CPU utilizado desde el último reinicio de la CPU.

• Delta. Los valores corresponden al porcentaje de tiempo de CPU utilizado durante un intervalo de tiempo.

Historia Los datos se almacenan para cada sistema z / VSE cada vez que se realiza una encuesta de datos terminado. Si está utilizando la consola TCP / IP FOR z / VSE, los registros son almacenado cada vez que se recibe un mensaje, finaliza un paso de trabajo, una conexión finaliza, finaliza una sesión FTP o el servidor See-TCP / IP para z / VSE es empezado. Todos estos datos se guardan en la PC y se pueden usar para crear y Mostrar tablas y cuadros históricos.

Administrar Registros Cada sistema almacena sus registros en una base de datos SQL. Por defecto, el el historial puede almacenar hasta 4 GB de registros para cada sistema. Usted puede use los controles Administrar historial para eliminar registros y tiempos innecesarios del historial de tu sistema. Un gráfico circular muestra la cantidad de espacio que se está utilizado por el historial del sistema y el espacio está disponible en la base de datos.

El primer tipo de registros son los recopilados durante las encuestas. Ellos pueden ser completamente despejado o eliminado individualmente de acuerdo con el tiempo. los otros tipos de registros son los recopilados por la consola TCP / IP FOR z / VSE. Una vez que se eliminan los registros, ya no se pueden mostrar en el historial cuadros o tablas.

Crear graficos Los gráficos históricos se crean de la misma manera que los monitores en tiempo real. Referir a "Monitoreo en tiempo real" arriba para obtener descripciones de la tabla disponible tipos, grupos y series. Por supuesto, para gráficos históricos, puede elegir qué fechas y horas desea incluir. Puede hacer clic con el botón derecho en cualquier gráfico y seleccionar Vista de datos para ver los datos subyacentes en formato tabular. Además, puede usar la barra de herramientas en cualquier gráfico para manipular sus propiedades y guardarlo en el disco para su uso posterior.

See-TCP / IP puede crear informes que muestren conexiones IP en z / VSE.

76


Consola TCP / IP PARA z / VSE

Utiliza la consola para emitir comandos TCP / IP FOR z / VSE y ver TCP / IP para mensajes z / VSE. Hay una línea de comando donde los comandos se puede ingresar manualmente o con ayuda interactiva. Además, la consola almacena mensajes, registros de terminación de pasos de trabajo, conexión registros de terminación, registros de final de sesión de FTP y registros de inicio en El historial del sistema. Los resúmenes de estos registros se pueden ver en él se pueden cargar registros de consola o registros completos en tablas.

Búsqueda interactiva Dos controles, descritos a continuación, están disponibles en el lado derecho de la consola para buscar comandos y mensajes. Se vuelven visibles cuando haces clic en ellos Para mantenerlos visibles, haga clic en el icono de la chincheta en su esquina superior derecha. Un historial de mensajes y comandos que tienes mirado hacia arriba se guarda en los cuadros combinados:

• Comandos TCP / IP PARA z / VSE

Presenta opciones de parámetros para los comandos disponibles. Escribe un comando nombre en el cuadro combinado en la parte superior de la ayuda y presione <Intro>.

Atajo: presione <F1> dentro de la línea de comando y seleccione un comando nombre de la lista presentada.

• Códigos de mensaje TCP / IP PARA z / VSE

Muestra descripciones de mensajes y acciones sugeridas. Escribe un mensaje nombre en el cuadro combinado en la parte superior de la ayuda y presione <Intro>.

Atajo: haga doble clic en un código de mensaje en la consola, luego haga clic con el botón derecho y seleccione "Buscar mensaje".

Tabla de consola Las siguientes tablas corresponden a registros recopilados siempre que La consola TCP / IP FOR z / VSE está activa.

Tabla Datos mostrados

Pasos de trabajo

Datos de rendimiento acumulados para cada paso del trabajo cuando termina.

Conexiones

Datos de rendimiento acumulados para cada conexión cuando termina

Sesiones FTP

Datos de rendimiento acumulados para cada sesión FTP cuando acaba.

Inauguración

Una lista de veces cuando el servidor See-TCP / IP para z / VSE se inició en z / VSE.

Puede hacer clic derecho en las columnas que no le interesan para ocultarlas.

77

5 5. Firewall Shield

Visión general

Firewall Shield evita el acceso no autorizado a internet de z / VSE sistemas que

alojan el producto TCP / IP FOR z / VSE.

La mayoría de las instalaciones de z / VSE tienen un número limitado de

direcciones IP conocidas que puede acceder al sistema z / VSE. Por lo tanto, el

Firewall Shield es un Implementación de firewall basada en la "lista blanca". Este

enfoque también puede ser considerado como seguridad de forma

predeterminada, lo que significa que se deniega el acceso a menos que se

permita específicamente una dirección IP para comunicarse con el Sistema z /

VSE.

Firewall Shield controla el acceso de tres maneras:

• Primero, limita el acceso a solo direcciones IP dentro de un rango permitido.

• Segundo, para las direcciones IP que tienen acceso permitido, puede bloquear

el ping (ICMP) intenta que las conexiones permanezcan invisibles para Internet.

• Tercero, puede controlar a qué puertos TCP o UDP se puede acceder mediante

direcciones permitidas La función Firewall Shield se incluye con TCP / IP FOR z /

VSE producto y no requiere una descarga por separado.

78

Chapter 5 Firewall Shield

Activación

Firewall Shield se carga temprano durante el inicio de TCP / IP para evitar

posibilidad de que un sistema remoto pase por alto el escudo antes de que se

active el firewall inicializado El mecanismo para activar el firewall es el

parámetro FIREWARN = o FIREWALL = que identifica la configuración

personalizada fase a utilizar. El inicio de TCP / IP sería similar a uno de los

siguiendo instrucciones.

Activación en modo WARN:

// EXEC IPNET,SIZE=IPNET,PARM='ID=00,INIT=IPINIT00,FIREWARN=FIREWALL'

Activación en modo FAIL:

// EXEC IPNET,SIZE=IPNET,PARM='ID=00,INIT=IPINIT00,FIREWALL=FIREWALL'

Con cualquiera de las declaraciones de activación, la fase de firewall configurable

será cargado que contiene la lista de direcciones IP permitidas. Ver la sección

"Configuración de firewall", página 85, para obtener detalles sobre el trabajo

que crea esto fase. El nombre predeterminado de la fase de configuración es

FIREWALL. la misma fase se puede compartir entre pilas, o se pueden nombrar

nombres de fase únicos creado y utilizado para permitir diferentes

configuraciones cuando se ejecuta con Múltiples pilas. Cada rango de direcciones

IP también puede especificar el permitido Puertos z / VSE (TCP o UDP) y si el

ICMP (Ping) está permitido desde el rango de dirección IP remota. Si esta fase se

carga correctamente, el Firewall Shield se activará en el modo especificado.

Para el modo FAIL, esto significa que cualquier datagrama recibido de cualquier

control remoto La dirección IP que no esté definida en la fase de configuración

del firewall será descartado y se emitirá un mensaje de violación.

Para el modo WARN, esto significa que los mismos mensajes de violación

ocurrirá, pero los datagramas asociados no se descartarán. Este modo es útil

para la configuración inicial del firewall para identificar los números de puerto en

z / VSE al que las direcciones IP remotas intentan acceder. Es fuertemente

recomendado para usar inicialmente y probar con el modo WARN.

79


Comandos y Mensajes

Comandos FIREWALL El comando FIREWALL se usa para controlar y monitorear el Firewall Proteger. La sintaxis es

FIREWALL {ON|OFF|LOAD [PHASE=phase-name]|WARN|FAIL|MSGON|

MSGOFF|DEBUGON|DEBUGOFF|REPORT|ALLOWED|BLOCKED} Dónde EN Es la configuración predeterminada si el parámetro FIREWALL = se usa en La instrucción EXEC IPNET y una fase de configuración del firewall es cargado correctamente durante el inicio de TCP / IP. Si el firewall no es inicialmente encendido, o se apaga con el comando FIREWALL OFF, FIREWALL ON puede emitirse para activar o reactivar el firewall. APAGADO Desactiva la función de Firewall Shield. FASE DE CARGA = nombre de fase Activa una nueva configuración de firewall. Esto significa un nuevo firewall la fase de configuración se cargará y activará. La fase por defecto nombre es FIREWALL, pero la palabra clave PHASE = se puede usar para cargar Una fase de configuración diferente. ADVERTIR Establece el firewall en modo de advertencia. Se muestran violaciones de firewall y registrado, pero se permite un intento de acceso cuando este modo está activo. Cuando está en modo de advertencia, la verificación inicial de una dirección IP que no coincidir con un rango puede pasar a la siguiente capa. Los puertos TCP, Los puertos UDP e ICMP también se verifican, y esas comprobaciones pueden mostrar mensajes bloqueados adicionales en las capas más profundas para el protocolo correspondiente. FALLAR Establece el firewall en modo de falla. Se muestran violaciones de firewall y registrado, y cada datagrama asociado se descarta inmediatamente. MSGON Muestra todos los intentos bloqueados en la consola y SYSLST. MSGOFF Muestra la primera aparición de intentos bloqueados en la consola y SYSLST, pero los bloques posteriores no se muestran. Un contador es mantenido, y el INFORME DE FIREWALL puede usarse para ver el Número de bloques para cualquier dirección IP y puerto específicos.

80


DEBUGON

Activa el modo de depuración y se crean volcados de diagnóstico durante

procesamiento de firewall.

Precaución:

DEBUGON DE FIREWALL puede causar rápidamente muchos volcados a SYSLST

en la partición TCP / IP. Utilice esta configuración solo en Dirección de Soporte

Técnico.

DEBUGOFF

Desactiva el modo de depuración y no se realizarán volcados de diagnóstico.

REPORTE

Muestra las direcciones IP permitidas y las direcciones IP permitidas, pero luego

bloqueado por TCPPORTS, UDPPORTS o ICMP.

PERMITIDO

Muestra una lista de direcciones IP permitidas y la cantidad de veces que cada

estaba permitido.

OBSTRUIDO

Muestra una lista de direcciones IP que fueron bloqueadas porque no están en la

tabla de firewall.

QUERY FIREWALL El comando QUERY FIREWALL muestra el firewall actual ajustes que se hacen

Comando cumplir.

Consulte también los comandos IPSTAT y QUERY IPSTAT en TCP / IP FOR Referencia de comandos z / VSE.

Mensajes Los mensajes relacionados con el Firewall Shield están documentados en el Manual de mensajes TCP / IP FOR z / VSE. Estos mensajes proporcionan información y estadísticas sobre la actividad del firewall.

Todos los mensajes se emiten a SYSLST en la partición TCP / IP, y puede controlar qué mensajes se muestran en la consola del sistema z / VSE según el nivel (Crítico, Importante, Advertencia, Seguridad, Informativo, Respuesta) indicada para cada mensaje individual. Consulte el comando MODIFICAR REGISTRO en el comando TCP / IP PARA z / VSE Referencia para obtener información sobre cómo controlar qué niveles de mensajes son se muestra en la consola del sistema z / VSE y / o se registra en una secuencia archivo de registro de disco.

81


Bloqueo de direcciones IP

Rangos de direcciones La configuración del firewall contiene las direcciones IP que pueden acceder al

sistema z / VSE. Esto se logra especificando rangos de direcciones IP remotas Un

rango puede ser una sola dirección IP remota por simplemente usando la misma

dirección inicial y final.

Se pueden especificar varios rangos, pero no se realiza ninguna clasificación. El

primero el rango de coincidencia, buscando de arriba a abajo, se utiliza desde el

cargado fase de configuración del firewall.

IP Address 127.0.0.1 La dirección IP 127.0.0.1 se conoce como la dirección de bucle de retorno local, y

es a menudo utilizado por aplicaciones que se ejecutan bajo el control del mismo

TCP / IP apilar. El tráfico para este tipo de conexión nunca sale del z / VSE local

sistema, pero sigue siendo parte de las conexiones definidas dentro de z / VSE

sistema. Las definiciones de firewall predeterminadas y recomendadas se

establecen en siempre permita este tipo de conexión. Pero el loopback 127.0.0.1

puede También se puede controlar o monitorear en modo de advertencia para

ver temporalmente estas conexiones Un ejemplo de esto es un FTPBATCH

LOPEN que establece una conexión con su sub tarea de demonio FTP conectado

localmente.

82


Bloqueo de puertos TCP y UDP

Visión general La verificación del rango de direcciones IP se realiza primero, y si la IP remota la dirección está permitida, entonces, opcionalmente, un grupo de puertos permitidos puede ser asociado con el rango de direcciones IP asociado. La palabra clave del grupo de puertos ALL puede especificarse para permitir el uso de cualquier puerto en el sistema z / VSE para el rango de direcciones IP asociado. Para usar el bloqueo de puertos TCP y UDP, el rango de direcciones IP permitido se puede configurar con un grupo de puertos permitidos Una conexión TCP consta de dos conjuntos de componentes:

• Dirección IP local y puerto Esta es la dirección IP local y el número de puerto de z / VSE.

• Dirección IP remota y puerto Esta es la dirección IP remota y el número de puerto.

El bloqueo del puerto TCP del firewall examina solo el puerto local que se está utilizado en una conexión TCP. Tenga en cuenta que se estableció una conexión entre las particiones en el mismo sistema z / VSE todavía tienen puerto local y remoto números.

TCP y UDP Port Cuando una aplicación z / VSE emite una conexión (una apertura activa) o una Bloqueo para Clientes escucha (un abierto pasivo), puede especificar un número de puerto local en

z/VSE específico para ser utilizado, o puede especificar cero para el número de puerto. Si se usa cero, un puerto libre es asignado dinámicamente para el número de puerto local del libre disponible rango de puertos en el sistema z / VSE. El rango de puerto libre local z / VSE predeterminado es 4096–65535. El rango de puertos libres predeterminado se puede anular con Comando PORTRANGE, como se documenta en TCP / IP FOR z / VSE Manual de referencia de comandos.

El firewall bloqueará los servidores remotos que intentan usar un z / VSE local. número de puerto que no está en el grupo de puertos asociado con la IP remota habla a. La excepción a esto es si la aplicación está utilizando un puerto libre en el rango de puerto libre actualmente definido. En ese caso, la conexión será permitido o no permitido según la configuración FREEPBLK = NO / YES. Eso puede ser difícil identificar qué aplicaciones z / VSE están utilizando codificación fija números de puerto local en lugar de puertos libres dinámicos. El modo de advertencia de los cortafuegos debe usarse para detectar los puertos que usa aplicaciones de cliente z / VSE

Bloqueo TCP Port para Cuando se ejecuta una aplicación de servidor z / VSE, especifica un puerto Servidores en z/VSE conocido número que los clientes remotos pueden usar para conectarse al sistema z / VSE. El firewall bloqueará los clientes remotos que intenten conectarse a un local El servidor z / VSE escucha en un puerto que no está en el grupo de puertos asociado con la dirección IP remota.

Tenga en cuenta que debido a que UDP es una conexión sin estado, esta declaración no aplicar al bloqueo de puertos UDP.

83

ter 5 Firewall Shield

Consideraciones FTP

La conexión de datos FTP utiliza una conexión dinámica independiente y

puede ser difícil de configurar cuando el firewall está activo. Cuando un

dato se establece la conexión, un lado entra en un estado de escucha

pasivo y envía Un mensaje al otro lado informándole del número de

puerto que se utilizará.

Un lado se conoce como en modo pasivo, y el otro es referido como

estar en modo activo. Se obtiene un puerto libre dinámico cuando en

modo pasivo y, por lo tanto, es casi imposible configurar los números de

puerto permitidos para el sistema remoto. Una alternativa es tener el

lado z / VSE estará en modo activo, por lo que no tendrá que ingresar un

pasivo estado de escucha, pero eso significa que el sistema remoto debe

ingresar al modo pasivo el estado de escucha y su firewall deben permitir

el lado z / VSE de la conexión para conectarse a su puerto de escucha

pasivo.

84


Configuración Firewall

Configuración de muestra La configuración del cortafuego se establece mediante un trabajo de montaje / Job edición de enlaces como el Ejemplo de trabajo a continuación. Este trabajo crea FIREWALL.PHASE.

* $$ JOB JNM=FIREWALL,CLASS=0,DISP=D * $$ LST CLASS=A // JOB FIREWALL Assemble and Catalog Firewall Settings // OPTION CATAL // LIBDEF *,CATALOG=LIBRARY.SUBLIB // EXEC ASMA90,SIZE=ASMA90,PARM='SZ(MAX-200K,ABOVE)' PUNCH ' PHASE FIREWALL,* ' * * * The below are sample settings for creating the FIREWALL.PHASE FIREWALL BEGIN,PHASE=FIREWALL * FIREWALL ALLOW,IPV4BEG=127.000.000.001,IPV4END=127.000.000.001, X TCPPORTS=ALL,UDPPORTS=ALL,ICMP=YES,FREEPBLK=NO * FIREWALL ALLOW,IPV4BEG=039.101.062.131,IPV4END=039.101.062.131, X TCPPORTS=PORTGRPA,UDPPORTS=NONE,ICMP=YES,FREEPBLK=YES * FIREWALL ALLOW,IPV4BEG=039.101.062.200,IPV4END=039.101.062.255, X TCPPORTS=PORTGRPB,UDPPORTS=NONE,ICMP=NO * FIREWALL ALLOW,IPV4BEG=235.100.101.200,IPV4END=235.100.101.232, X TCPPORTS=PORTGRPC,UDPPORTS=PUDPGRPA,ICMP=NO * FIREWALL END * * * Port Group definitions begin here... PORTBEGN DS 0D Beginning of port groups * DS 0D PORTGRPA DC F'21',F'20',F'3349' Allowed ports DC X'FFFFFFFF' End of group indicator * DS 0D Beginning of new group PORTGRPB DC F'80',F'443',F'222' Allowed ports DC F'81',F'572',F'998' Allowed ports DC X'FFFFFFFF' End of group indicator * DS 0D Beginning of new group PORTGRPC DC F'32767',F'32768' Allowed ports DC X'FFFFFFFF' End of group indicator * DS 0D Beginning of new group PUDPGRPA DC F'1200',F'1201',F'1202' Allowed ports DC X'FFFFFFFF' End of group indicator * PORTENDX DS 0H Ending of port groups * END /* // EXEC LNKEDT,SIZE=512K /* /& * $$ EOJ

85


FIREWALL Macro El trabajo de configuración utiliza los siguientes macros operandos FIREWALL.

Operandos

• El operando ALLOW establece la dirección IP inicial y final rangos para permitir

el acceso al sistema.

• El uso del protocolo ICMP puede restringirse con ICMP = YES / NO. ICMP es el

protocolo utilizado por las utilidades de diagnóstico de red, como PING y

TRACERT. Desafortunadamente, estas utilidades también son a menudo utilizado

por malware para detectar direcciones IP para hackear. Especificar ICMP = NO

para bloquear un rango de direcciones IP que hagan ping al z / VSE sistema. El

valor predeterminado es SÍ.

• Los puertos TCP y UDP a los que puede acceder el rango de direcciones IP el

sistema z / VSE también se puede controlar señalando el TCPPORTS = y / o

UDPPORTS = a un grupo de números de puerto. El uso de la opción ALL para

puertos permite todos los puertos de los asociados protocolo para acceder en el

sistema z / VSE. El valor de palabra clave NINGUNO se puede especificar para

denegar todos los puertos del protocolo TCP o UDP.

• El uso de puertos libres dinámicos se puede controlar con FREEPBLK = SÍ / NO

opción. El valor predeterminado es NO, o el uso de los puertos libres dinámicos

están bloqueados.

86


Acerca de los comandos ACCESS y TRUST

Los comandos ACCESS y TRUST actuales que están documentados en el manual

de referencia de comandos TCP / IP FOR z / VSE también se puede utilizar para

controlar el acceso al sistema z / VSE. Pero estos comandos no son compatibles

una tabla de direcciones IP preexistentes, y requieren alguna actividad para la

dirección IP asociada antes de que se puedan emitir los comandos.

Para evitar conflictos con los sitios actuales que usan estos comandos, la

aplicación del cortafuego es independiente de estos comandos. El cortafuego no

tiene efecto operativo en estos comandos. El uso del ACCESO y los comandos

PREVENIR además del firewall están permitidos, pero es desanimado porque

crea una capa más compleja que no es necesario.

87

tcp/ip z/vse

Documents