有人知道如何在z / OS telnet服务器上实现SSL吗?
我尝试在IBM站点中查找并找到了如何使用MQ或其他软件实现ssl的方法,但是没有找到有关如何将其植入z / OS本身的信息。
答案 0 :(得分:2)
对于z / OS服务器上的任何telnet连接,您的telnet配置数据集中都应具有以下内容:
BEGINVTAM
PORT 1234
DEFAULTLUS AB.0001..AB.9999 ENDDEFAULTLUS
DEFAULTAPPL TSO
ENDVTAM
TELNETPARMS
PORT 1234
ENDTELNETPARMS
只需将PORT更改为SECUREPORT就足以在此连接上启用SSL / TLS。要为连接配置其他TLS参数,您可以在TELNETPARMS部分中添加更多参数,或在TELNETGLOBALS部分中为所有端口定义它们。
改为使用TTLSPORT将允许在端口上使用应用程序透明TLS(AT-TLS),这需要在AT-TLS策略代理中进行其他配置(如果您的安装已经在运行中)。
有关更多信息,请查看z / OS Communication Server的“ IP配置参考”和“ IP配置指南”,它们都有关于配置telnet服务器的章节。
答案 1 :(得分:0)
对于“现成的” Telnet客户端,请确保不要混淆“ telnet”和“ tn3270”。像PuTTY这样的“开箱即用”的telnet客户端通常不支持3270特定的数据流-OMVS将在z / OS中处理标准的telnet。 TN3270支持由名为EZBTNINI的程序处理,该程序通常通过名为TN3270的PROC运行。
TN3270会话流量可以进行加密,但是当TN3270仿真器(如BlueZone或PCOMM)通过TTLSPORT端口与VTAM通信时,必须被告知使用隐式或显式TLS。
要在z / OS上将TLS与3270终端一起使用,必须运行策略代理。假设您在TN3270配置文件中的端口1234中有以下语句:
; Add secure port 1234 for TLS
TELNETPARMS
TTLSPORT 1234 ; TTLSPORT for Policy Agent & AT-TLS
CONNTYPE SECURE ; Require TLS
NOSEQUENTIALLU
ENDTELNETPARMS
BEGINVTAM
PORT 1234
DEFAULTLUS
TCP00001..TCP00030
ENDDEFAULTLUS
...other BEGINVTAM block statements
ENDVTAM
这里有一个示例pagent_TTLS.conf可用于为端口1234指定TLS选项:
#----------------------------------------------------------------------
#--- AT-TLS policy for TN3270 --------------------------------------------
TTLSRule TN3270-Server-1234
{
LocalAddr ALL
LocalPortRange 1234
Direction Both
Priority 253
TTLSGroupActionRef gAct-TN3270
TTLSEnvironmentActionRef eAct-TN3270
TTLSConnectionActionRef cAct-TN3270
}
TTLSGroupAction gAct-TN3270
{
TTLSEnabled On
GroupUserInstance 1
}
TTLSEnvironmentAction eAct-TN3270
{
HandshakeRole Server
EnvironmentUserInstance 0
TTLSKeyringParmsRef kyRingParms
}
TTLSConnectionAction cAct-TN3270
{
HandshakeRole ServerWithClientAuth
TTLSCipherParmsRef cipher1234-BlueZone_Ciphers
TTLSConnectionAdvancedParmsRef cAdv-TN3270-1234
CtraceClearText On
Trace 1
}
TTLSConnectionAdvancedParms cAdv-TN3270-1234
{
ApplicationControlled On
SecondaryMap Off
SSLv3 On
TLSv1 On
TLSv1.1 On
TLSv1.2 On
}
TTLSKeyringParms kyRingParms
{
Keyring MackDev
}
TTLSCipherParms cipher1234-BlueZone_Ciphers
{
# Bluezone 3DES Ciphers
V3CipherSuites TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
# Bluezone AES 128
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA
# Bluezone "Strong Only"
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_RSA_WITH_AES_128_GCM_SHA256
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA256
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA256
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
# Bluezone RC4
V3CipherSuites TLS_RSA_WITH_RC4_128_MD5
V3CipherSuites TLS_RSA_WITH_RC4_128_SHA
# Bluezone AES 256
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA
}
#--- AT-TLS policy for TN3270 End ----------------------------------------