その3の続きです。
セキュリティ関連(続)
監査ジャーナル項目(SM:システムマネージメント)の変更
監査ジャーナルについて、DDM TCP/IP 属性の変更 (CHGDDMTCPA)コマンドを実行した監査ログは、SM (システム管理変更) ジャーナル項目タイプ SM (システム管理変更) で詳細項目タイプ「D」(DRDA) が記録されていましたが、7.6では詳細項目タイプが「M」(CHGDDMTCPA CL コマンド) に変更されます。
寄り道:上記変更をマニュアルで確認してみる。
マニュアルで言うと下記の画像部分になります。
IBM i 7.5 監査ジャーナル項目
7.6(英語)では Mに変更されていることが分かります。
※マニュアル中の記号 |< >| は変更箇所を示します。
・・ところで日本語の7.6なのですが、、上記URLのen -> ja にすると移動できますので、、
。。。おいおい、M が 中 に自動翻訳変換されてしまっています・・(^^;
日本語サイトは時々この手の不具合がありますので、適時 en サイトをご確認ください‥
実機で監査ジャーナルの変化を確認してみる。
①監査ジャーナルの設定
OSコマンドでもできますが最近はNavigator for i でもできますので、セキュリティ → 監査ジャーナル から下記の設定を行います。
まず監査構成を設定します。
下図のように SM を選択して 使用可能 のスイッチをオンにします。
監査ジャーナルの項目として SM:System Management Change(システム変更管理)を選択します。テスト用なので自分のユーザープロフィール(GOMA)を指定しました。
②CHGDDMTCPAコマンドを実行
CHGDDMTCPAコマンドでIBM i 7.6と7.5の2つに同じ設定変更を実行してみます。
Navigator for i の監査対象レコードに表示されました。要約ビューで4件ログされています。(CHGDDMTCPAコマンドを複数回実行してしまったため)こちらは7.5です。
明細を表示しようとしたところ固まってしまいました… 本来であれば、7.5ならば、SMで詳細項目タイプが D、7.6ならばM、が確認できるはずです。後日確認したいと思います。
クラスター構成下のターゲットシステム上での監査レコード作成ユーザーの変更
同一のクラスタ管理ドメインジョブに属するIBM i で、ターゲットノード上の監視対象リソースを作成、変更、削除した際生成される監査レコード作成ユーザーが従来のQSYSからQCLUSTERに変更されました。
システム提供ユーザープロフィールの削除 QMGTC、QIBMHELP、QPM400
ユーザープロフィールQMGTC, QIBMHELP, QPM400は使用されなくなり、IBM i 7.6 にリリースアップすると削除されます。また、それらの所有するオブジェクトも削除されます。
IBM i 7.6 アップグレード前に以下のクエリを実行して、QMGTC、QIBMHELP、および QPM400 が所有する(7.6リリースアップ時に削除される)オブジェクトを確認してください。
--
-- Objects owned by QMGTC, QIBMHELP, and QPM400
--
SELECT 'QMGTC' AS user_profile,
COALESCE(
path_name,
object_library CONCAT '/' CONCAT object_name CONCAT ' '
CONCAT object_type) AS object
FROM TABLE (
qsys2.object_ownership('QMGTC')
)
UNION ALL
SELECT 'QIBMHELP' AS user_profile,
COALESCE(
path_name,
object_library CONCAT '/' CONCAT object_name CONCAT ' '
CONCAT object_type) AS object
FROM TABLE (
qsys2.object_ownership('QIBMHELP')
)
UNION ALL
SELECT 'QPM400' AS user_profile,
COALESCE(
path_name,
object_library CONCAT '/' CONCAT object_name CONCAT ' '
CONCAT object_type) AS object
FROM TABLE (
qsys2.object_ownership('QPM400')
);
IBM i サービス ASP_INFO, ASP_JOB_INFO, MEDIA_LIBRARY_INFO, TAPE_CARTRIDGE_INFOの変更
上記QSYS2のビューの参照結果は、実行ユーザーが装置記述に対して *USE 権限を持つ行のみ返すように変更されました。
QPGMR 特殊権限 *SAVSYS を除去
IBM i で PTF SJ0xxxx を適用すると、QPGMR ユーザープロファイルの *SAVSYS 特殊権限が除去されます。
※上記のPTFの番号はまだ未定なのかもしれません、現在手元にある7.6テスト版ではSJ0ではじまるPTFが複数適用済みですが、QPGMRに特殊権限 *SAVSYSは付与されています。確認継続します。
MFA(多要素認証)に関連した変更
セキュア接続に使用される新しいホストサーバー:ホストコネクションサーバー(HCS)
ホストコネクションサーバー(ホスト接続サーバー、HCS)という新しいホストサーバーが追加されました。HCSは他のIBM i 上のホストサーバーへの接続要求の認証と転送を行います。HCSはTLSが必要です。
具体的にはHCSはMFA設定ユーザーのTOTPパスコードの認証などを行う、という事だと思います。クライアントは一度、HCSとセキュアな接続を確立すれば、それ以降は新しい接続を再度の認証無く追加が可能です。
また、ACSやNavigator for i がTLS接続する際は、MFA有無に関わらずHCSが要求を処理します。
クライアント・アプリケーションで TLSでの接続前やMFAを有効にする前に、ユーザーはデジタル証明書マネージャーを使用してホスト・サーバー・アプリケーション ID QIBM_QZBS_SVR_HOSTCNN でデジタル証明書を構成する必要があります。
HCS から確立および転送される接続は、HCS ポート(デフォルトでは 9480)を使用します。
MFA(多要素認証)のクラスター環境下でのサポート拡張
クラスター管理ドメインが拡張され、MFA 対応のユーザー・プロファイルの同期が可能になりました。ただし、*TOTP または *REGFAC 認証方式を使用するユーザーが実行するIBM i クラスター操作は殆どが失敗します。さらに、管理ドメインによって監視されているリソースに対して操作を実行すると、*TOTP または *REGFAC 認証方式を使用するユーザーが実行した場合、リソースの不整合が発生する可能性があります。
上記はのエラー・失敗の原因は、IBM i OS毎にTOTPの鍵を生成しているから、という事でしょうか?確認したいと思います。
クラスター管理ドメインのネットワーク・ファイル・キャッシュ(NFC)はサポートされない
クラスター管理ドメインでTCP/IP属性のNFCネットワークファイルキャッシュはサポートされなくなりました。新たにクラスターリソース NFC *TCPA は対か不可能になりました。既存のものはそのまま残りますがサ参照されなくなるのでNFC *TCPA を削除する事が推奨です。
IASPストレージ障害後のリカバリー時間が指定可能に
IBM i 7.5まではIASP ストレージのエラー回復は、IASP が自動的にオフにされるまで 20 分間実行されます。IBM i 7.6ではこの時間(タイムアウトするまでの時間)を20~65,000分まで指定可能です。
(当然ですが、IASPでないASPストレージのエラー時の挙動には関係なし)
タイムアウト値は、IPL および SLIC のスリップインストール後も保持されます。
IASP のタイムアウト値を設定するマクロ例
SETIASPTIMEOUT -SET N
※ N は分数
IASP の現在のタイムアウト値を表示するマクロの形式は次のとおりです。
IASPTIMEOU
※
記載は省略しましたが、上記以外にもたとえば出口点プログラムやIASP(独立ASP)へのAPI操作に対して明示的にユーザープロフィールが必要になる、Kerberosケルベロス認証用の暗号化キータイプが aes256-, aes128-等に限定される等の細かなセキュリティ強化がなされています。必要に応じてプログラム資料説明書を確認してください。