Qualität unser Service z/os Communication Server + Express Logon Facility Erfahrungsbericht Bernd Daubner, Mainframe Bereitstellung
Agenda Funktionsweise ELF Public Key Infrastruktur, Zertifikate Zertifikatsverwaltung in z/os Einrichtung ELF im CS Communication Server Zertifikatsverwaltung in Microsoft Windows Microsoft API und Client Zertifikate Aktivierung SSL und ELF am Attachmate myextra V9 3270 Client IBM PCOMM V5.8 und ELF Support Mainframe Single Signon mit Express Logon Facility Public Key Infrastructure z/os Communication Server ELF Support TN3270 Client Express Logon Facility Session Manager Passticket Support Dieser Vortrag z/os Communication Server ELF Test TPX mit Express Logon und RACF Passticket Bernd Daubner, Mainframe Bereitstellung 2
Funktionsweise Express Logon Facility 1 User startet Session 6 Zertifikat RACF 2 Zertifikat entsperren ELF Makro Client Zertifikat 3 SSL Handshake Logon Screens, 5 Platzhalterübertragung z/os CS TN3270 Server Austauschen der Paltzhalter durch UserID & Passticket 8 9 & applid UserID & Passticket Connect & Output Logon Screens Antwort auf Logon Screens 7 4 10 SNA Application UserID, applid & Passticket Bernd Daubner, Mainframe Bereitstellung 3
PKI Public Key Infrastruktur Mit Public-Key-Infrastruktur bezeichnet man in der Kryptologie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet. Die PKI umfasst folgende Dienste und ist bei IZB auf z/os realisiert: Digitale Zertifikate: Digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen. Zertifizierungsstelle (Certificate Authority, CA): Organisation, welche das CA-Zertifikat bereitstellt und die Signatur von Zertifikatsanträgen übernimmt. Registrierungsstelle (Registration Authority, RA): Organisation, bei der Personen, Maschinen oder auch untergeordnete Zertifizierungsstellen Zertifikate beantragen können. Zertifikatsperrliste (Certificate Revocation List): Eine Liste mit Zertifikaten, die vor Ablauf der Gültigkeit zurückgezogenen wurden z. B. weil das Schlüsselmaterial kompromittiert wurde. Verzeichnisdienst: ein durchsuchbares Verzeichnis, welches ausgestellte Zertifikate enthält, meist ein LDAP-Server Validierungsdienst (Validation Authority, VA): Ein Dienst, der die Überprüfung von Zertifikaten in Echtzeit ermöglicht wie OCSP Bernd Daubner, Mainframe Bereitstellung 4
PKI Zertifikat (X.509 Version 3) Common name (required) CN=plexxyz.server.izb Organisation (required) O=IZB Organisational Unit (optional) City/Locality (optional) State/Province (optional) Country (required) C=DE * Extensions (RFC2459) Subject and Issuer Attributes extensions - Issuer and Subject Alternative Name: other name forms than X.500 (for example, IP adress) Key and Policy Information extensions Certificate Path Constrains Certificate version : 3 Certificate serial number Signature algorithm identifier Issuer (CA) X.500 name Validity periode Subject X.500 name Subject public key info Algorithm id Public key value Issuer unique identifier Subject unique identifier Extensions * Signature Bernd Daubner, Mainframe Bereitstellung 5
PKI Zertifizierungspfad IZB CA Zertifikat Public Key Signiert Pivate Key IZB Class 2 CA Zertifikat Public Key IZB PKI Signiert Pivate Key Srv Zertifikat 1 Public Key Signiert Pivate Key Srv Zertifikat 2 Public Key Signiert Pivate Key Client Zertifikat Public Key Signiert Pivate Key Bernd Daubner, Mainframe Bereitstellung 6
Zertifikatsverwaltung in z/os In z/os Installationen mit SAF Produkt RACF erfolgt die Zertifikatsverwaltung idealer Weise mit den Command RACDCERT Zertifikate werden für User oder technische User mit Keyrings im RACF organisiert (Schlüssel und Schlüsselbund) Für TN3270 SSL ist mindestens ein Keyring und ein Server Zertifikat für den technischen User/STC anzulegen. ELF benötigt Client Autorisierung und erfordert zusätzlich pro User einen Keyring mit dessen Client Zertifikat Anzeige des/der Keyrings racdcert id(userid) listring(*) Display der Zertifikate racdcert id(userid) list Bernd Daubner, Mainframe Bereitstellung 7
Zertifikatsverwaltung in z/os racdcert id(userid) listring(*) Digital ring information for user USERID: Ring: >USERIDring< Certificate Label Name Cert Owner USAGE DEFAULT -------------------------------- ------------ -------- ------- LABEL00000001 ID(USERID) PERSONAL YES IZB Root CA CERTAUTH CERTAUTH NO IZB Class 2 CA CERTAUTH CERTAUTH NO Bernd Daubner, Mainframe Bereitstellung 8
Zertifikatsverwaltung in z/os racdcert id(userid) list Digital certificate information for user <USERID>: Label: LABEL00000001 Certificate ID: 2QfJ6fDw9PT208HCxdPw8PDw8PDw8kBA Status: TRUST Start Date: 2005/08/24 00:00:00 End Date: 2010/08/22 23:59:59 Serial Number: >03A2< Issuer's Name: >CN=IZB Class 2 CA.O=IZB Informatik-Zentrum Muenchen-Frankfurt a.m. Gm< >bh & Co. KG.C=DE< Subject's Name: >CN=Bernd Daubner.OU=oe30020.O=izb.C=de< Key Usage: HANDSHAKE Private Key Type: None Ring Associations: Ring Owner: <USERID> Ring: >USERIDring< Bernd Daubner, Mainframe Bereitstellung 9
Einrichtung ELF im CS CommSvr Die Konfiguration erfolgt im Profile Member der Telnet Server STC Für ELF sind mindestens die drei letzten Zeilen erforderlich Der SSL Timeout von 60 Sekunden räumt dem Anwender mehr Zeit ein seinen privaten Zertifikatsspeicher frei zu geben (PIN, biometrischer Sensor etc.) ; - TN3270(E) SSL Server Port 23 ; - Client und Server Authentifizierung ; TelnetParms SECUREPORT 23 KEYRING SAF <KEYRING> CONNTYPE SECURE CLIENTAUTH SAFCERT EXPRESSLOGON SSLTIMEOUT 60 Bernd Daubner, Mainframe Bereitstellung 10
Zertifikatsverwaltung in Microsoft Windows Mit der Microsoft Management Console (MMC.exe) können eigene Zertifikate oder vertrauenswürdige Stammzertifizierungsstellen (CAs) etc. verwaltet werden Bernd Daubner, Mainframe Bereitstellung 11
Microsoft API und Zertifikatsspeicher Sicherung durch Besitz und Wissen (PIN) Lesegeräte oder Treiber stellen das enthaltene Zertifikat der Microsoft API bereit Bernd Daubner, Mainframe Bereitstellung 12
Einstellungen Attachmate myextra V9 Sitzung einrichten mit Optionen -> Einstellungen -> Verbindung Bernd Daubner, Mainframe Bereitstellung 13
Einstellungen Attachmate myextra V9 Session Parameter für SSL konfigurieren Zertifikat auswählen Bernd Daubner, Mainframe Bereitstellung 14
Attachmate myextra V9 Macro aufzeichnen Marco aufzeichnen Name für das Makro angeben Aufzeichnung starten Session aufbauen Logon in TPX ausführen mit Username und Passwort Aufzeichnung stoppen Aufgezeichnetes Macro wie folgt für ELF ändern Bernd Daubner, Mainframe Bereitstellung 15
Attachmate myextra V9 Macro Änderungen für ELF Folgende Veränderungen sind zu treffen g_hostsettletime = 1000 ' Millisekunden If Not Sess0.Visible Then Sess0.Visible = TRUE rc& = Sess0.InitializeELF("IZTPXT",60000) If (rc <> 0) Then VTAM Appl MsgBox("Initialisierung Express Logon ist fehlgeschlagen. Das Makro wurde abgebrochen.") STOP End If Sess0.Screen.WaitHostQuiet(g_HostSettleTime) ' Dieser Codeabschnitt enthält die aufgezeichneten Ereignisse Sess0.Connected = True Sess0.Screen.Sendkeys("tpxt<Enter>") Sess0.Screen.WaitHostQuiet(g_HostSettleTime) Sess0.Screen.PutString ")USR.ID(",14,24 Sess0.Screen.Sendkeys("<NewLine>") Sess0.Screen.PutString ")PSS.WD(",15,24 Sess0.Screen.Sendkeys("<Enter>") Bernd Daubner, Mainframe Bereitstellung 16
Attachmate myextra V9 Macro ELF aktivieren Bernd Daubner, Mainframe Bereitstellung 17
Einstellungen IBM PCOMM V5.8 Bernd Daubner, Mainframe Bereitstellung 18
Einstellungen IBM PCOMM V5.8 Sitzungsdefinition (*.ws Datei) Kommunikation anpassen Host-Typ zseries Schnittstelle LAN Anschluss Telnet3270 Verbindungsparameter Bernd Daubner, Mainframe Bereitstellung 19
IBM PCOMM V5.8 ELF Marco (elf.mac) ELF Macro einrichten Bearbeiten Makro/Skript konfigurieren Anpassen Bernd Daubner, Mainframe Bereitstellung 20
Demo Verbindungsaufbau mit ELF (1/6) Bernd Daubner, Mainframe Bereitstellung 21
Demo Verbindungsaufbau mit ELF (2/6) Token einstecken Bernd Daubner, Mainframe Bereitstellung 22
Demo Verbindungsaufbau mit ELF (3/6) Zertifikatsspeicher mit PIN aufsperren Bernd Daubner, Mainframe Bereitstellung 23
Demo Verbindungsaufbau mit ELF (4/6) TPXT Macro startet an der USS-Tab den Session Manager TPX Bernd Daubner, Mainframe Bereitstellung 24
Demo Verbindungsaufbau mit ELF (5/6) Macro übermittelt Platzhalter für UserID und Passwort Bernd Daubner, Mainframe Bereitstellung 25
Demo Verbindungsaufbau mit ELF (6/6) Bernd Daubner, Mainframe Bereitstellung 26
Qualität unser Service Herzlichen Dank. IZB Informatik-Zentrum München Frankfurt am Main GmbH & Co. KG Bernd Daubner, Mainframe Bereitstellung Einsteinring 17 85609 Aschheim Tel. +49 89 94511-8578 bernd.daubner@izb.de www.izb-informatik-zentrum.de