Connessione tramite la Sicurezza end-to-end ed Express Logon per sessioni 3270

Utilizzare questa procedura per configurare sessioni 3270 con sicurezza end-to-end in Management and Security Server. Questa configurazione combina l'autorizzazione utente con la sicurezza da Extra! all'host di destinazione.

È anche possibile configurare queste connessioni in modo che utilizzino IBM Express Logon (detto anche come ELF), nell'utilizzo di una connessione 3270 a un mainframe IBM.

Requisiti

SSL/TLS attivato sull'host. Vedere la documentazione inclusa con l'host per istruzioni.
Un'installazione di Management and Security Server. Il proxy di sicurezza deve essere configurato per richiedere Client authorization (Autorizzazione client). (Può essere facoltativamente configurato per richiedere Client authentication (Autenticazione client). Per l'autenticazione del client è possibile utilizzare un unico certificato o due certificati del client separati su ogni server (proxy di sicurezza e host di destinazione).
Certificati digitali. Per stabilire correttamente le sessioni SSL/TLS fra il client e il proxy di sicurezza, e il client e l'host di destinazione, potrebbero essere necessari più certificati digitali. Autenticazione con i certificati in Extra!.

Informazioni sui certificati

Certificati del server

Solitamente sugli host SSL/TLS di destinazione e sui server proxy di sicurezza sono già installati certificati del server. Ognuno di questi certificati deve essere attendibile per il client. Il client riterrà attendibile un certificato del server se:

È firmato da un'autorità di certificazione ritenuta attendibile dal client; oppure
È autofirmato e importato nell'archivio dei certificati attendibili cove Extra! può trovarlo.

Per utilizzare un singolo certificato del server sia per l'host di destinazione che per il proxy di sicurezza, procedere in uno dei modi seguenti:

Nella sessione Extra!, deselezionare la casella di controllo Verifica l'identità del server nella finestra di dialogo Connection Editor (Editor delle connessioni).
(Consigliato) Creare un certificato che utilizza l'indirizzo dell'host di destinazione per il Subject Common Name (Nome comune soggetto) e l'indirizzo del proxy di sicurezza per il Subject Alternative Name (Nome alternativo soggetto).

Certificati del client

I certificati utilizzati per l'autenticazione del client devono essere firmati da un'autorità di certificazione ritenuta attendibile sia dal proxy di sicurezza sia dall'host SSL/TLS di destinazione.

L'Express Logon richiede anche che il certificato del client utilizzato per eseguire l'autenticazione sul server TN3270 sia registrato con RACF. (Per ulteriori informazioni, vedere la documentazione in dotazione con il server 3270.)

Per configurare una sessione con una crittografia end-to-end

In un browser Web avviare Management and Security Server impostando l'URL su:

http://server:porta /mss/AdminStart.html

dove server e porta vengono sostituiti con l'indirizzo di Management and Security Server.
Fare clic su Administrative WebStation e accedere come amministratore.
Nel riquadro sinistro, fare clic su Session Manager.
Aggiungere una nuova sessione o selezionare una sezione esistente e fare clic su Launch (Avvia).
Seguire le istruzioni della procedura guidata per configurare la sessione. Assicurarsi di lasciare l'opzione predefinita Proxy di sicurezza di Reflection selezionata come tipo di connessione.
Nella scheda Sicurezza di Reflection, dal menu Indirizzo server proxy, specificare un server proxy di sicurezza di Reflection.

Sotto i campi viene visualizzata una descrizione del server proxy di sicurezza di Reflection selezionato.
Immettere un Destination host (Host di destinazione) e una Destination port (Porta di destinazione, deve corrispondere alla porta SSL/TLS sull'host, ad esempio buttercup.flowers.com:3000), quindi selezionare la casella di controllo End-to-end security (Sicurezza end-to-end).
Fare clic su Avanti e proseguire nella procedura guidata per completare la configurazione.

Quando si fa clic su Fine, la sessione viene aperta in Extra!.
Uscire da Extra! e salvare la sessione.

Per creare un'altra sessione, ripetere questa procedura. Quando si esegue Extra! in modalità WebStation di amministrazione, è possibile creare o tenere aperta una sola sessione per volta.

Successivamente rendere la sessione disponibile a utenti specifici.