Реализация ssl в z / os

Question

Кто-нибудь знает, как реализовать SSL на сервере telnet z / OS?

Я пробовал искать на сайтах IBM и нашел, как реализовать ssl с MQ или другим программным обеспечением, но не нашел информациикак имплантировать в саму z / OS.

Answer 1

Для любого telnet-соединения на вашем z / OS-сервере у вас должно быть что-то вроде следующего в наборе данных конфигурации telnet:

BEGINVTAM                               
  PORT 1234                             
  DEFAULTLUS AB.0001..AB.9999 ENDDEFAULTLUS                         
  DEFAULTAPPL TSO                     
ENDVTAM                                 
TELNETPARMS                             
  PORT 1234                       
ENDTELNETPARMS                          

Простого изменения PORT на SECUREPORT должно быть достаточно длявключить SSL / TLS для этого соединения.Чтобы настроить дополнительные параметры TLS для соединения, вы можете добавить дополнительные параметры в раздел TELNETPARMS или определить их в разделе TELNETGLOBALS для всех портов.

Использование TTLSPORT вместо этого позволит использоватьпрозрачного TLS приложения (AT-TLS) на порту, который требует дополнительной настройки в агенте политики AT-TLS (если в вашей установке он уже запущен).

Для получения дополнительной информации см. «Конфигурация IP».Ссылка "и" Руководство по настройке IP "для сервера связи z / OS, в которых есть глава о настройке telnet-сервера.

Answer 2

Что касается стандартного клиента Telnet, убедитесь, что вы не перепутали telnet и tn3270. Стандартный клиент telnet, такой как PuTTY, обычно не поддерживает потоки данных, специфичные для 3270 - стандартный telnet будет обрабатываться в z / OS OMVS. Поддержка TN3270 осуществляется программой EZBTNINI, которая обычно выполняется через PROC с именем TN3270.

Трафик сеанса TN3270 может быть зашифрован, но эмуляторам TN3270 (например, BlueZone или PCOMM) необходимо указать неявный или явный TLS, когда они взаимодействуют с VTAM через порт TTLSPORT.

Чтобы использовать TLS с терминалами 3270 в z / OS, необходимо запустить агент политики. Предположим, у вас есть эти операторы в вашем профиле TN3270 для порта 1234:

; Add secure port 1234 for TLS
 TELNETPARMS
 TTLSPORT 1234             ; TTLSPORT for Policy Agent & AT-TLS
   CONNTYPE SECURE         ; Require TLS
   NOSEQUENTIALLU
ENDTELNETPARMS

BEGINVTAM
  PORT 1234
  DEFAULTLUS
    TCP00001..TCP00030
  ENDDEFAULTLUS
  ...other BEGINVTAM block statements
ENDVTAM

Вот пример файла pagent_TTLS.conf, который можно использовать для указания параметров TLS для порта 1234:

#----------------------------------------------------------------------
#--- AT-TLS policy for TN3270 --------------------------------------------
TTLSRule                           TN3270-Server-1234
{
   LocalAddr                       ALL
   LocalPortRange                  1234
   Direction                       Both
   Priority                        253
   TTLSGroupActionRef              gAct-TN3270
   TTLSEnvironmentActionRef        eAct-TN3270
   TTLSConnectionActionRef         cAct-TN3270
}
TTLSGroupAction                    gAct-TN3270
{
   TTLSEnabled                     On
   GroupUserInstance               1
}
TTLSEnvironmentAction              eAct-TN3270
{
   HandshakeRole                   Server
   EnvironmentUserInstance         0
   TTLSKeyringParmsRef             kyRingParms
}

TTLSConnectionAction               cAct-TN3270
{
   HandshakeRole                   ServerWithClientAuth
   TTLSCipherParmsRef              cipher1234-BlueZone_Ciphers
   TTLSConnectionAdvancedParmsRef  cAdv-TN3270-1234
   CtraceClearText                 On
   Trace                           1
}
TTLSConnectionAdvancedParms        cAdv-TN3270-1234
{
   ApplicationControlled           On
   SecondaryMap                    Off
   SSLv3                           On
   TLSv1                           On
   TLSv1.1                         On
   TLSv1.2                         On
}
TTLSKeyringParms                   kyRingParms
{
   Keyring                         MackDev
}
TTLSCipherParms                    cipher1234-BlueZone_Ciphers
{
# Bluezone 3DES Ciphers
   V3CipherSuites                  TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
   V3CipherSuites                  TLS_RSA_WITH_3DES_EDE_CBC_SHA

# Bluezone AES 128
   V3CipherSuites                  TLS_DHE_RSA_WITH_AES_128_CBC_SHA
   V3CipherSuites                  TLS_RSA_WITH_AES_128_CBC_SHA
   V3CipherSuites                  TLS_DHE_DSS_WITH_AES_128_CBC_SHA

# Bluezone "Strong Only"
   V3CipherSuites                  TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
   V3CipherSuites                  TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
   V3CipherSuites                  TLS_DHE_RSA_WITH_AES_256_CBC_SHA
   V3CipherSuites                  TLS_DHE_RSA_WITH_AES_128_CBC_SHA
   V3CipherSuites                  TLS_RSA_WITH_AES_256_GCM_SHA384
   V3CipherSuites                  TLS_RSA_WITH_AES_128_GCM_SHA256
   V3CipherSuites                  TLS_RSA_WITH_AES_256_CBC_SHA256
   V3CipherSuites                  TLS_RSA_WITH_AES_128_CBC_SHA256
   V3CipherSuites                  TLS_RSA_WITH_AES_256_CBC_SHA
   V3CipherSuites                  TLS_RSA_WITH_AES_128_CBC_SHA
   V3CipherSuites                  TLS_RSA_WITH_3DES_EDE_CBC_SHA
   V3CipherSuites                  TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
   V3CipherSuites                  TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
   V3CipherSuites                  TLS_DHE_DSS_WITH_AES_256_CBC_SHA
   V3CipherSuites                  TLS_DHE_DSS_WITH_AES_128_CBC_SHA
   V3CipherSuites                  TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

# Bluezone RC4
   V3CipherSuites                  TLS_RSA_WITH_RC4_128_MD5
   V3CipherSuites                  TLS_RSA_WITH_RC4_128_SHA

# Bluezone AES 256
   V3CipherSuites                  TLS_DHE_RSA_WITH_AES_256_CBC_SHA
   V3CipherSuites                  TLS_RSA_WITH_AES_256_CBC_SHA
   V3CipherSuites                  TLS_DHE_DSS_WITH_AES_256_CBC_SHA

}
#--- AT-TLS policy for TN3270 End ----------------------------------------