(続)セキュリティ関連の変更の続編です。IBM i OSのオプション機能に関する変更点です。
Navigator for i (IBM i OS 5770-SS1 オプション.3 拡張基本ディレクトリーサポート)
Navigator for i は QHTTPSVRサブシステム下のADMIN1 サーバー上で動作します(従来通り)。デフォルトはポートは 2002、セキュアポートは 2003 です。Navigator の ログインURLは HTTP://hostname:2002/Navigator または、HTTPS://hostname:2003/Navigator です。HTTP://hostname:2002/Navigator/login でも可です。
Administration Runtime Expert (ARE) および Web Admin GUI 機能はNavigator for i に統合されました。
※こちらは別途記事を書いてみたいと思います。
ACS, Navigator for iからTLS接続するにはデジタル証明書が必要
(続)セキュリティ関連の変更にも記述しましたが、新しいホストサーバーである、ホストコネクションサーバー:HCSはTLS接続にデジタル証明書が必要になります。
デジタル証明書マネージャー(DCM)を使用して、新しいIBM iホスト接続サーバー(HCS)の新しいQIBM_QZBS_SVR_HOSTCNNアプリケーション定義に証明書を割り当てる必要があります。
OptiConnect 5770-SS1 オプション23 はサポート終了
OptiConnectは IBM i 7.6 で廃止されました。7.6インストール時に既存の OptiConnect コマンドはすべて削除されます。また、OptiConnect ハードウェアリソースは作成されなくなります。
代替手段として、TLSを使用した ObjectConnect over IP を推奨。参考情報はこちら
GDDM 5770-SS1 オプション14 はサポート終了
QGDDM ライブラリーは、7.6インストール時に作成されなくなります。GDDM を使用しているプログラムがない場合、QGDDMライブラリーは 7.6 へのアップグレード前またはアップグレード後に削除できます。もしもQGDDM ライブラリー内のプログラムを使用するユーザー・アプリケーションがある場合は変更が必要になります。
以下はLPP(ライセンスプログラム)の変更点です。
Web Enablement for IBM i 9.0 (5733-W90)
IBM i 7.6はtWAS 8.5.x以前のバージョンをサポートしません。基本的にはtWAS V9かWAS Libertyへの移行が必要になります。
いわゆるtWASベース版相当はIBM i のライセンスプログラム Web Enablement for IBM iという名称で提供されています。また、WAS LibertyもIBM i OS標準のAPサーバーとして組み込まれておりNavigator for i からリンクしているWeb Administration for iの管理画面や統合APサーバー等で利用されています。
・IBM i ライセンスプログラムまたはND版など一般PA製品のtWAS、どちらであっても8.5.x以前がインストールされている場合は、IBM i 7.6 へのアップグレード前にtWAS 9.0.5.22 以降に移行が必要です。
・上記はIBM Installation Manager (IM) バージョン 1.9.3以降がインストールされている必要があります。参考URLはこちら。また、インストレーションマネージャー1.9.xはJava 8 SE 32 ビットが必要です。
※インストレーションマネージャー1.10 以降は JDK 11でのみ動作しますが、JDK 11 は IBM i 7.6 では使用できないため、IM 1.10 以降にアップグレードしないでください。
IBM i システムに既に IM 1.10.x がインストールされている場合はこちらを参照して1.10 を削除しIM 1.9.3以降の1.9.x をインストールしてください。
現在インストールされている IM のバージョン確認方法は以下です。
方法①:
STRQSH
/QIBM/ProdData/InstallationManager/eclipse/tools/imcl version
方法②
最初に下記コマンドを実行
STRQSH
ls /QIBM/ProdData/InstallationManager/properties/version/
続けて以下を実行します。
IBM_Installation_Manager.X.Y.Z.swag という形式のファイル名をコピーし、次の行を探します:
X.Y.Z
cat /QIBM/ProdData/InstallationManager/properties/version/<上記のファイル名>
各WASバージョンの前提JAVAバージョン
tWAS V9.0 は Java SE 8 64 ビットのみサポート,WebSphere Liberty はJava SE バージョン 8 以上が必要です。
IBM i 7.6 には、Java SE 8 32 ビット (5770-JV1 オプション 16) および Java SE 8 64 ビット (5770-JV1 オプション 17) がインストールされている必要があります。最新Java グループ PTF適用を推奨。
IBM i 7.6にリリースアップする際、サポートされるWASバージョン
既存で導入済みのWASについては以下のバージョン以上にする必要があります。
tWAS V9.0の最小バージョンは9.0.5.22です。
WebSphere Libertyの最小バージョンは24.0.0.12です。
IBM i 7.6に新規インストール可能なWASバージョン
• 前提にIBM Installation Manager (IM) V1.9.3またはそれ以降のバージョン(1.9.x)がインストールされている必要があります。
• tWAS V9.0の新規インストールはバージョン9.0.5.22以降が必要です。
• WebSphere Libertyの新規インストールはバージョン24.0.0.12以降が必要です。
メディアはESSでダウンロード可能です。(参考URL)
Web Query (5733-WQX) は IBM i 7.6でサポートされない
Web Queryは2023/10/10にサポート終了されており、IBM i 7.6ではサポートされません。
ACS (5733-XJ1)
これより上の記事で書いた通り、HCSホストコネクションサーバーが新設された件、MFA等の記載がありますが同上、ですので省略します。
IBM i でACSからIBM iコマンド実行時、ジョブの認証方法が *TOTPの場合、以下のいずれかの条件で認証失敗が発生し現在のTOTPパスコード入力を求めます。
• オプションの間隔が *NONE に設定されている
• オプションの間隔がアクティブではないか期限切れになっている
認証失敗は、ジョブの認証情報がプロンプトなしで認証に使用されたために発生します。ACSはユーザーに新しい認証情報(パスワード)とTOTP入力を求めます。これは、コマンドが対話形式で入力された場合にのみ機能します。バッチジョブの場合、プロンプトを表示できないため、ジョブは応答待ちで実行されません。(原文には the job will hang indefinitely. と書いてありました。別途確認してみたいと思います。)
IBM i でバッチモードで実行するにはACSのコマンド(acsbundle.jarをJAVAから実行する等)にplugin=cldownloadを指定します。
ACSバッチ実行の例がこちらにあります。
IBM HTTP Server for i (5770DG1)
HTTPサーバー管理用GUIがNavigator for iに統合
HTTPサーバー管理GUIはNavigator for i内の機能に置き換えられます。詳細はこちら
Fast Response Cache Accelerator (FRCA)が利用不可に
IBM i の標準HTTPサーバーはApacheベースです。(Nginxも導入すれば使えます)Apache HTTPサーバー用Fast Response Cache Accelerator (FRCA)は、IBM i 7.6では利用できなくなりました。ローカルキャッシュがFRCA用に構成されている場合、これは無視されます。ファイルはHTTPサーバー経由で提供され、NFCキャッシュは使用されません。
Communication Utilities for i ほかのサポート終了
2023年12月にサポート終了済の下記のソフトウェアはIBM i 7.6でサポートされません。
詳細はこちら
・5761-CM1 IBM COMMUNICATIONS UTILITIES FOR SYSTEM i
・System/38 Utilities (5761-DB1)
・Application Management ToolSet for i (5770-AMT)
・BRMS (5770-BR1)
※上記リンクにはありませんが、Business Graphics Utility (5761-DS2)も7.6でサポートはありません。
BRMS 5770-BR1の後継は5770-BR2
BR2は5770-BR1 のすべての機能が 1 つのオプションにまとめられています。5770-BR1 は IBM i 7.6にはインストールできず、5770-BR2が必要になります。
IBM i 7.4, 7.5で5770-BR1導入済みのシステムを5770-BR2リリースアップ時に必要なPTF
IBM i 7.4, 7.5のBR1を5770-BR2 へアップグレードするためには以下の5770-BR1 PTF適用が必要。
IBM i 7.5 BR1用PTF SJ01879、IBM i 7.4 BR1用PTF SJ01877
BRMSアップグレード前にQUSRBRM 内の BRMSファイルにユーザーが作成した依存関係がないことを確認します。QUSRBRM 内のすべてのPF, LFに対しDSPDBRコマンドを実行して依存関係をリストします。もし、BRMSに関連のない(ユーザー作成ファイル等の)依存関係があるばあいはBR2にアップグレードする前に依存関係にあるBRMS以外のファイルを削除します。
QUSRBRM におけるファイル依存関係の問題を防ぐため、以下のコマンドを使用して BRMS SQL サービスを削除します。
CALL QBRM/Q1AOLD PARM('INSTALL ' 'RMVSQLSERV' 'N' '00')
以下のSQLでQUSRBRM内のユーザーファイルを検索できます。
select * from table(qsys2.object_statistics('QUSRBRM','FILE')) x where OBJOWNER <> 'QBRMS';
5770-BR2は5770-BR1が既にインストールされている環境にはインストールできません。BR1 PTFをインストールした後、GO LICPGM メニューのオプション 12で削除するか、DLTLICPGM LICPGM(5770BR1) OPTION(*ALL) コマンドで5770-BR1 とそのすべてのオプションを削除する必要があります。
※ BR1ライセンスプログラムを削除しても QUSRBRM は削除されません。ライブラリー QUSRBRM はユーザー定義が存在するので通常は削除しなくて可。
その後、5770-BR2をインストールして、以下のページに記載のBRMSのPTFを適用します。
List of BRMS Service Packs
https://fortradocs.atlassian.net/wiki/spaces/IWT/pages/165642445/List+of+BRMS+Service+Packs
IBM i 7.4, 7.5にBR2が導入済みのシステムをIBM i 7.6にリリースアップする場合
BRMSをアップグレードする前にライブラリーQBRMに一時PTFを適用する。以下のコマンドでアップグレード前にすべてのBRMS PTFを永続適用する
APYPTF LICPGM(5770BR2) SELECT(*ALL) APY(*PERM)
BRMSをアップグレードする前に、QUSRBRM内のBRMSファイルにユーザーが作成した依存関係が存在しないことを確認する。QUSRBRM内のPFとLFに対してDSPDBRコマンドでBRMS関連のファイルのみがリストされていることを確認します。その他のIBM以外の依存関係が存在する場合はアップグレードを開始する前に削除する必要があります。
QUSRBRMにおけるファイル依存関係の問題を防ぐため、以下のコマンドを使用してBRMS SQLサービスを削除します。
CALL QBRM/Q1AOLD PARM('INSTALL ' 'RMVSQLSERV' 'N' '00')
以下のコマンドでユーザーがQUSRBRMに作成したオブジェクトをリストできます。
select * from table(qsys2.object_statistics('QUSRBRM','FILE')) x where OBJOWNER <> 'QBRMS';
BRMS のパラメーター(例:制御グループ属性のターゲット・リリース等)を確認しIBM i 7.6 で無効になる可能性のある値が含まれていないか確認する。
データエリアに関連した情報
https://www.ibm.com/support/pages/node/644087
INZBRMコマンドのパラメーター変更
INZBRMコマンドのパラメーター OPTION(*SECUREDDM) と ACTION(*SET) は削除されました。サーバー認証項目の追加 (ADDSVRAUTE) コマンドのパラメーター SERVER(QDDMDRDASERVER) を使用する代替案が推奨。
WRKMEDPCY TYPE(*MED)は削除
媒体ポリシーの処理 (WRKPCYBRM *MED) コマンド・インターフェースの媒体クラス特殊値 *ADSM は削除されました。
ユーザープロファイルQBRMSおよびBRMS機能を実行するユーザープロフィールはMFA設定が不可。
上記に該当するすべてのユーザープロファイルは、QIBM_RUN_UNDER_USER_NO_AUTHアクセスが必須となります。(MFAは不可)。
BRMSのテープ装置関連コマンドおよびAPIの使用はIOSYSCFGおよびSAVSYS特殊権限がユーザーに必要になりました。
IASP情報へのアクセス
BRMSを使用してIASP情報にアクセスする場合、ユーザーはIASPのデバイス記述に対するUSE権限を持っている必要があります。