Verbindungsaufbau mit durchgängiger Sicherheit und Express Logon für 3270-Sessions

Gehen Sie auf diese Weise vor, um eine 3270-Session mit durchgehender Sicherheit im Management and Security Server zu konfigurieren. Bei dieser Konfiguration werden Benutzerautorisierung mit Sicherheit von Extra! zum Ziel-Host kombiniert.

Sie haben die Option, 3270-Verbindungen zu einem IBM Mainframe für die Verwendung von IBM Express Logon (ELF) zu konfigurieren.

Anforderungen

Auf dem Host ist SSL/TLS aktiviert. Anweisungen hierzu finden Sie in der Dokumentation zum Host.
Eine Installation von Management and Security Server. In der Konfiguration des Sicherheitsproxys muss Clientautorisierung als erforderlich festgelegt sein. (Optional kann Clientauthentifizierung als erforderlich konfiguriert werden.) Zur Clientauthentifizierung können Sie ein einzelnes Zertifikat oder zwei getrennte Clientzertifikate auf den einzelnen Servern (Sicherheitsproxy und Ziel-Host) verwenden.
Digitale Zertifikate. Zum erfolgreichen Aufbau der SSL/TLS-Sessions zwischen dem Client und dem Sicherheitsproxy sowie zwischen Client und Ziel-Host sind eventuell mehrere digitale Zertifikate erforderlich. Authentifizierung mit Zertifikaten in Extra!.

Info über Zertifikate

Serverzertifikate

Auf SSL/TLS-Ziel-Hosts und Sicherheitsproxyservern sind in der Regel bereits Serverzertifikate installiert. Diese Serverzertifikate müssen vom Client als vertrauenswürdig eingestuft werden. Der Client stuft ein Serverzertifikat als vertrauenswürdig ein, wenn:

das Zertifikat von einer Zertifizierungsstelle signiert wurde, die der Client als vertrauenswürdig einstuft, oder
das Zertifikat selbstsigniert ist und in den vertrauenswürdigen Stammzertifikatsspeicher importiert wurde, in dem Extra! es finden kann.

Um ein einziges Serverzertifikat für Ziel-Host und Sicherheitsproxy zu verwenden, führen Sie einen der folgenden Schritte aus:

Deaktivieren Sie in der Extra!-Session im Dialogfeld Verbindungseditor das Kontrollkästchen Serveridentität überprüfen.
(Empfehlung) Erstellen Sie ein Zertifikat, das die Adresse des Ziel-Hosts als Subject Common Name (Subjekt-Eigenname) und die Adresse des Sicherheitsproxys als Subject Alternative Name (SAN) verwendet.

Clientzertifikate

Zur Clientauthentifizierung verwendete Zertifikate müssen von einer Zertifizierungsstelle signiert werden, die sowohl vom Sicherheitsproxy als auch vom SSL/TLS-Server des Ziel-Hosts als vertrauenswürdig eingestuft wird.

Express Logon erfordert außerdem, dass das zur Authentifizierung auf dem TN3270-Server verwendete Clientzertifikat RACF-registriert ist. (Ausführliche Informationen hierzu finden Sie in der Dokumentation zum 3270-Server.)

So konfigurieren Sie eine Session mit End-To-End-Verschlüsselung

Starten Sie Management and Security Server in einem Webbrowser, indem Sie folgenden URL festlegen:

http://Server:Port /mss/AdminStart.html

Ersetzen Sie Server und Port durch die Angaben für die Management and Security Server-Adresse.
Klicken Sie auf Administrative WebStation, und melden Sie sich als Administrator an.
Klicken Sie im linken Bereich auf Session-Manager.
Fügen Sie eine neue Session hinzu bzw. wählen Sie eine vorhandene Session aus, und klicken Sie auf Starten.
Befolgen Sie die Anweisungen in diesem Assistenten, um die Session zu konfigurieren. Behalten Sie auf jeden Fall die Standardoption Reflection-Sicherheitsproxy als Verbindungsart bei.
Geben Sie auf der Registerkarte Reflection-Sicherheitsproxy des Menüs Proxyserveradresse einen Reflection-Sicherheitsproxyserver an.

Eine Beschreibung des ausgewählten Reflection-Sicherheitsproxyservers wird unter den Feldern angezeigt.
Geben Sie unter Destination host (Ziel-Host) und Destination port (Zielport) die erforderlichen Angaben ein (der Zielport sollte der SSL/TLS-Port auf dem Host sein, z. B. butterblume.blumen.com:3000) und aktivieren Sie dann das Kontrollkästchen End-to-end security (Durchgängige Sicherheit).
Klicken Sie auf Weiter, und fahren Sie mit den Anweisungen im Assistenten fort, um die Konfiguration fertigzustellen.

Wenn Sie auf Beenden klicken, wird die Session in Extra! geöffnet.
Beenden Sie Extra!, und speichern Sie die Session.

Wiederholen Sie diese Schritte, um weitere Sessions zu erstellen. Sie können jeweils nur eine Session erstellen (oder öffnen), wenn Sie Extra! im Administrative WebStation-Modus ausführen.

Stellen Sie anschließend die Session ausgewählten Benutzern zur Verfügung.