z/OS 仮想サーバー・インスタンスへの接続
z/OS 仮想サーバー・インスタンスは、通常、外部から直接アクセスしてはならないプライベート・バックエンド・インフラストラクチャー・コンポーネントです。 開発、テスト、またはデモンストレーションに使用される環境でも、論理的分離のために適切なプラクティスに従う必要があります。
z/OS 仮想サーバー・インスタンスなどのバックエンド・インフラストラクチャーへのトラフィックを安全に分離および制御するためにサブネットを使用する方法については、以下のチュートリアルを参照してください。
- 仮想プライベート・クラウド内のパブリック・フロントエンドとプライベート・バックエンド
- 要塞ホストを使用してリモート・インスタンスにセキュアにアクセスする
- クライアントとサイト間の VPN サーバーについて
クライアントからサイトへの VPN サーバーを使用して VPC ネットワークに接続した後、プライベート IP アドレスを使用して z/OS 仮想サーバー・インスタンスにアクセスできます。
開始前に
z/OS インスタンスに接続する前に、必ずプライベート IP アドレスを見つけてください。 プライベートIPアドレスはシステムによって提供されるIPアドレスで、VPCネットワーク内でのみアクセス可能です。 z/OS 仮想サーバー・インスタンスのプライベート IP アドレスは、インスタンスが正常に作成された後、コンソールの 「予約済み IP アドレス (Reserved IP address)」 列で確認できます。
z/OS 仮想サーバー・インスタンスが z/OS 開発およびテスト・ストック・イメージを使用して作成されている場合は、 「予約済み構成」 表を参照して、インスタンスのセキュリティー・グループにポートを追加できます。
ステップ 1. パスワードの構成
z/OS 仮想サーバー・インスタンスにログインする前に、デフォルト・ユーザー ID ibmuser
のパスワードを変更する必要があります。
z/OS Wazi aaS カスタム・イメージを使用する場合は、パスワードを構成する必要はありません。 このステップを無視して、代わりに z/OS 仮想サーバー・インスタンスに接続しても問題ありません。
-
SSH 秘密鍵とデフォルトのユーザー ID を使用して、 z/OS UNIX シェル環境にログインします。 以下のコード・スニペットの
vsi ip address
は、 z/OS 仮想サーバー・インスタンスのプライベート IP アドレスを表します。ssh -i <path to your private key file> ibmuser@<vsi ip address>
以下の例のような応答を受け取ります。 接続の継続を求めるプロンプトが出されたら、
yes
と入力します。The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established. ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxx. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'xxx.xxx.xxx.xxx' (ECDSA) to the list of known hosts.
-
tsocmd
コマンドを使用して、 z/OS インスタンスのパスワード・フレーズを構成します。YOUR PASSWORD PHRASE
を独自のパスワード・フレーズに置き換えます。tsocmd "ALTUSER IBMUSER PHRASE('YOUR PASSWORD PHRASE') NOEXPIRE RESUME"
パスワード・フレーズの割り当てにリストされているパスワード・フレーズの構文規則に従う必要があります。
コマンドについて詳しくは、 tsocmd-シェルからの TSO/E コマンドの実行(許可コマンドを含む) および ALTUSER(Alter user profile)を参照してください。
ステップ 2 接続
以下の方法で z/OS 仮想サーバー・インスタンスと対話できます。
TN3270 端末エミュレーターの使用
TN3270 端末エミュレーターを使用して、タイム・シェアリング・オプション拡張機能 (TSO/E) にログオンすることができます。 保護された TN3270 のデフォルト・ポートは 992
です。3270 エミュレーション・プログラムへのセキュア接続を確立するには、パラメーターとして自己署名認証局 (CA) 証明書を指定する必要があります。 自己署名 CA 証明書は、 z/OS UNIX System Servicesの IBMUSER
ユーザー ID のホーム・ディレクトリーにある common_cacert
というファイルで見つけることができます。
-
のためにmacOS,Linux、およびSecure Copy Protocol(SCP)クライアントがインストールされているWindowsシステムでは、
common_cacert
保護された Telnet ポートに接続する前にファイルを開き、次のコマンドを実行します。scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert <my local dir>/common_cacert c3270 -cafile <my local dir>/common_cacert -port 992 <vsi ip address>
ファイルの形式が正しくない場合は、ASCII 形式に変換する必要があります。
-
Windows の場合、まず自己署名 CA 証明書を Windows にインポートしてから、 IBM Personal Communications (PCOMM) を作成して、Windows のトラストストアから CA 証明書を読み取る必要があります。 以下のステップを実行します。
-
common_cacert
ファイルを z/OS システムからご使用のワークステーションに転送します。 -
ワークステーションで 「インターネットオプション」 を開きます。
-
「コンテンツ」 で、 「証明書」 を選択します。
-
「インポート」 を選択して「証明書のインポートウィザード」ページを開き、 「次へ」 をクリックします。
-
参照をクリックして、
common_cacert
ファイルを選択し、 次へをクリックします。 -
「証明書ストア」ページで、 「次のストアにすべての証明書を配置」 を選択し、 「参照」 をクリックして 「信頼されたルート認証局」 を選択し、 「次へ」 をクリックします。
-
「証明書インポートウィザードの完了」ページで、 「完了」 をクリックします。
-
CA 証明書をトラストストアに正常に転送した後、PCOMM でセキュア・セッションを作成する必要があります。 「リンク・パラメーター」 構成の 「ホスト定義」 タブで、 z/OS 仮想サーバー・インスタンスの IP アドレスまたはホスト名をポート
992
とともに入力します。 -
「リンク・パラメーター」 構成の 「セキュリティー・セットアップ」 タブで、 「セキュリティーを有効にする」 ボックスにチェック・マークを付けます。
デフォルトのユーザー ID は
IBMUSER
で、パスワードは前のステップで構成したものです。 その後、 Interactive System Productivity Facility (ISPF) を使用するか、 z/OS UNIX シェルおよびユーティリティーを使用して、TSO ネイティブ・モードで z/OS と対話できます。 詳しくは、 z/OS(TSO、 ISPF、および z/OS UNIX インターフェース) を参照してください。3270 接続用の非セキュア・ポート
23
がクローズされます。 保護されたポート992
を使用する必要があります。- VSI サーバー証明書には、 z/OS 仮想サーバー・インスタンスのプライベート IP アドレス情報のみが含まれます。
- オプションで、浮動 IP アドレスを介して接続するときに、
accepthostname
引数の一部として VSI の IP アドレスを使用できます。 以下に例を示します。c3270 -cafile <my local dir>/common_cacert -port 992 -accepthostname <vsi ip address> <floating ip>
-
IBM Host On-Demand の使用
IBM Host On-Demandを使用して CA 証明書をインポートする場合は、以下のコマンドを実行します。
-
z/OS システムから証明書ファイルをダウンロードします。
scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert ./Downloads/common_cacert
-
ダウンロードした証明書をインポートします。 認識可能な別名を使用してください。
keytool -importcert -alias <alias> -file ./Downloads/common_cacert -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
-
インポートされた証明書を確認します。
keytool -list -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
Web ブラウザーを使用した z/OSMF へのアクセス
Web ブラウザーを使用して、 IBM z/OS Management Facility (z/OSMF) にアクセスできます。 例えば、URL https://<vsi ip address>:10443/zosmf/LogOnPanel.jsp
にアクセスします。
z/OSMFについて詳しくは、「 IBM z/OS Management Facility」を参照してください。
z/OSMFを起動すると、内部自己署名ルート証明書によって署名された TLS 証明書を使用して z/OS 仮想サーバー・インスタンスが作成されるため、ブラウザー・セキュリティー警告が表示されます。
IBM Cloud UI からのシリアル・コンソールの使用
IBM Cloud を使用して、シリアル・コンソールに接続し、コンソール内で IPL の進行状況をモニターできます。
シリアルコンソールに接続するには、 IBM Cloud Identity and Access Management (IAM)で仮想サーバーインスタンスに対して Operator
(またはそれ以上)および Console Administrator
のロールを割り当てる必要があります。 それ以外の場合、シリアル・コンソールは使用不可になります。
IBM Cloud UI を使用してコンソールに接続するには、以下の手順を実行します。
-
IBM Cloud コンソールで、ナビゲーションメニュー アイコン
インフラストラクチャ
コンピュート > 仮想サーバーインスタンス に進みます。
-
VPCの仮想サーバーインスタンスの一覧で、アクセスしたいインスタンスのオーバーフローボタンをクリックし 、「シリアルコンソールを開く」 をクリックします。 または、インスタンスの詳細ページで、右上にある 「アクション」 をクリックし 、「シリアルコンソールを開く」 をクリックします。
-
シリアルコンソールが使用されている場合、セッションを強制的に開くかどうかを確認するメッセージが表示されます。 これにより、他のユーザーのセッションが切断されます。
-
プロンプトに従って資格情報を入力し、インスタンスにログインします。
-
Ctrl + L キーの組み合わせを使用して、新しい z/OS マスター・コンソールを開きます。ここでは、 z/OS 仮想サーバー・インスタンス操作に対して 4 つのコマンド
start
、stop
、ipl
、およびoprmsg
を発行できます。
詳しくは、VNC またはシリアル・コンソールを使用した仮想サーバー・インスタンスへのアクセスを参照してください。 VNC コンソールは、 z/OS 仮想サーバー・インスタンスではサポートされません。
浮動 IP アドレスを介した SSH 秘密鍵の使用
浮動 IP アドレスを介して SSH 秘密鍵を使用して、 z/OS UNIX シェル環境に接続することができます。
ただし、セキュリティー上の考慮事項として、浮動 IP を z/OS 仮想サーバー・インスタンスからアンバインドし、すべての接続に 要塞ホスト または クライアント/サイト間 VPN サーバー を使用することもできます。 デフォルトのセキュアポートは22です。 浮動 IP アドレスについて詳しくは、 浮動 IP アドレスの予約 を参照してください。
別の SSH 鍵を使用して作成された別の z/OS 仮想サーバー・インスタンスにアクセスする場合は、その z/OS 仮想サーバー・インスタンス上の authorized_keys
ファイルに SSH 公開鍵を追加するようにインスタンス所有者に依頼する必要があります。 authorized_keys
ファイルについて詳しくは、 authorized_keys ファイルのフォーマット および z/OS 仮想サーバー・インスタンスにアクセスするための新規ユーザーの構成 を参照してください。
ステップ 3。 z/OS 仮想サーバー・インスタンスにアクセスするための新規ユーザーの構成
インスタンスの作成後に、他のユーザーが独自の z/OS ユーザー ID と独自の SSH 鍵を使用して z/OS 仮想サーバー・インスタンスにアクセスできるようにするには、各ユーザー・プロファイルを作成し、各 SSH 公開鍵を z/OS 仮想サーバー・インスタンス上の authorized_keys
ファイルに追加する必要があります。
-
以下のいずれかの方法を使用して、 RACF (リソース・アクセス管理機能) に新しい z/OS ユーザー ID を作成できます。
ADDUSER
コマンドを発行します。- TSO/E 情報センター機能 (ICF) パネルを介してユーザーを登録する。 情報センター機能の管理について詳しくは、「 z/OS TSO/E 管理」を参照してください。
以下に、
ADDUSER
コマンドを使用してユーザー・プロファイルを作成する例を示します。 ユーザー Steve H. (部門 A のメンバー) のユーザー・プロファイルを作成したいとします。以下の値を割り当てます。STEVEH
ユーザーID用DEPTA
(デフォルト接続グループの場合)DEPTA
(STEVEH ユーザー・プロファイルの所有者の場合)R3I5VQX
(初期パスワード)Steve H.
(ユーザー名)
Steve H. は、TSO 以外のユーザー・プロファイル・セグメントを必要としません。 開始時に設定する TSO セグメント値は、アカウント番号の場合は
123456
、ログオン・プロシージャーの場合はPROC01
です。これらの値を使用してユーザー・プロファイルを作成するには、以下のコマンドを実行します。
ADDUSER STEVEH DFLTGRP(DEPTA) OWNER(DEPTA) NAME('Steve H.') PASSWORD(R315VQX) TSO(ACCTNUM(123456) PROC(PROC01))
-
その後、以下のいずれかのオプションを使用して、新しい SSH 公開鍵を
authorized_keys
ファイルに追加できます。-
ssh-copy-id -i <new-ssh-public-key-file> ibmuser@<vsi ip address>
などの Linux コマンドを使用して、ローカル・ファイル・システム上の新しい SSH 公開鍵を z/OS 仮想サーバー・インスタンスにアップロードします。 詳しくは、 SSH 鍵をサーバーにコピーするための ssh-copy-idを参照してください。 -
z/OS 仮想サーバー・インスタンスにログインし、 z/OS Unix システム・シェル・コマンド (
cat <new-ssh-public-key-file> >> ~/.ssh/authorized_keys
など) を使用して、新しい SSH 公開鍵をauthorized_keys
ファイルに連結します。 詳しくは、 Cat-Concatenate or display filesを参照してください。 -
Zowe CLI を使用して z/OS 仮想サーバー・インスタンスに接続してから、CLI プロファイルを作成し、新しい SSH 公開鍵を
authorized_keys
ファイルに追加します。 Zowe CLI プロファイルについて詳しくは、 Zowe CLI プロファイルの作成を参照してください。
-
authorized_keys
ファイルおよび z/OS ユーザー・プロファイルについて詳しくは、 authorized_keys ファイルのフォーマット および ユーザーを定義するためのステップの要約を参照してください。
次のステップ
仮想サーバー・インスタンスに接続した後、 インスタンスを管理 できます。
z/OS 仮想サーバー・インスタンスの管理手順については、 z/OS 仮想サーバー・インスタンスの構成と管理 を参照してください。