2.3.9 JP1/AJS3へ接続するホストの制限
JP1/AJS3へ接続できるホストを制限することを接続元制限といいます。JP1/AJS3 - ManagerやJP1/AJS3 - Agentへの接続を制限することで,意図しないホストからの操作や,意図しないホストからのジョブの実行を防ぐことができます。
接続元制限機能を使用するには,環境設定パラメーターCONNECTIONRESTRICTIONの値を設定し,接続許可設定ファイルをマネージャーホストまたはエージェントホスト(論理ホストの場合は論理ホスト)ごとに作成します。接続を許可するホストのIPアドレスを接続許可設定ファイルに指定することで,指定したIPアドレスのホストからだけ接続できるようになります。指定していないIPアドレスのホストからの接続は拒否されます。環境設定パラメーターCONNECTIONRESTRICTIONの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 20.11.2(5) CONNECTIONRESTRICTION」を参照してください。
接続許可設定ファイルには,マネージャー用接続許可設定ファイル(permitted_host_manager.conf)と,エージェント用接続許可設定ファイル(permitted_host_agent.conf)の2種類があります。
JP1/AJS3への接続を制限するための設定手順については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.2 JP1/AJS3への接続を制限する設定」を参照してください。
- 注意事項
-
環境設定パラメーターCONNECTIONRESTRICTIONの値に対応する接続許可設定ファイルが環境設定ファイル格納フォルダにない場合,JP1/AJS3サービスまたはJP1/AJS3 Queueless Agentサービスが異常終了します。
- 〈この項の構成〉
(1) 接続を制限できる操作
接続元制限によってJP1/AJS3への接続を制限できる操作は,次のとおりです。
-
JP1/AJS3 - ViewからJP1/AJS3 - Managerへのログイン
-
各種ユニットの実行
-
Web Consoleサーバからの接続
-
関連製品からの接続
-
ajsで始まるコマンドのリモート実行
-
jpqで始まるコマンドのリモート実行
接続を制限できる操作について説明します。
(a) JP1/AJS3 - ViewからJP1/AJS3 - Managerへのログイン
JP1/AJS3 - ManagerへログインできるJP1/AJS3 - Viewホストを制限できます。
JP1/AJS3 - ManagerへログインできるJP1/AJS3 - Viewホストを制限するには,マネージャー用接続許可設定ファイルに,接続を許可するJP1/AJS3 - ViewホストのIPアドレスを指定します。
JP1/AJS3 - Managerに接続したあとに,すでに接続しているJP1/AJS3 - ViewのIPアドレスから接続できないように変更しても,変更前から接続しているJP1/AJS3 - Viewからは,実行登録や強制終了などのユニット操作を実行できます。次にログインするJP1/AJS3 - Viewから,接続が制限されます。
(b) 各種ユニットの実行
各種ユニットの,意図しないホストからの実行を制限できます。
JP1/AJS3 - ManagerがJP1/AJS3 - Agentへ,ジョブの実行,再実行,強制終了,および状態確認の要求をしたとき,JP1/AJS3 - Agentは,要求元ホストのIPアドレスがエージェント用接続許可設定ファイルに指定されているかどうかを確認します。
リモートジョブネットなど,別のマネージャーホストに接続するユニットの場合は,接続先のJP1/AJS3 - Managerは要求元ホストのIPアドレスがマネージャー用接続許可設定ファイルに指定されているかどうかを確認します。
接続許可設定ファイルにIPアドレスが指定されていない場合,要求は拒否されます。
ユニットごとに,どちらの接続許可設定ファイルで制限されるかを次の表に示します。
|
項番 |
ユニット種別 |
接続元の制限方法 |
|
|---|---|---|---|
|
1 |
リモートジョブネット |
M |
|
|
2 |
マネージャージョブグループ |
M |
|
|
3 |
マネージャージョブネット |
M |
|
|
4 |
プランニンググループ |
− |
|
|
5 |
起動条件 |
− |
|
|
6 |
標準ジョブ |
UNIXジョブ |
A |
|
7 |
PCジョブ |
A |
|
|
8 |
QUEUEジョブ |
M,A※1 |
|
|
9 |
フレキシブルジョブ |
A※2 |
|
|
10 |
ジョブネットコネクタ |
− |
|
|
11 |
ORジョブ |
− |
|
|
12 |
判定ジョブ |
− |
|
|
13 |
イベントジョブ |
A |
|
|
14 |
アクションジョブ |
A |
|
|
15 |
カスタムジョブ |
A |
|
|
16 |
引き継ぎ情報設定ジョブ |
− |
|
|
17 |
HTTP接続ジョブ |
A |
|
- (凡例)
-
M:マネージャー用接続許可設定ファイル
A:エージェント用接続許可設定ファイル
−:接続元を制限できない
- 注※1
-
QUEUEジョブをキューに登録するときは,そのキューの存在するマネージャーホスト上のマネージャー用接続許可設定ファイルの内容によって,接続(登録)できるかどうかが決まります。
QUEUEジョブを実行するときは,キューに接続されたエージェントホスト上のエージェント用接続許可設定ファイルの内容によって,接続(ジョブ実行)できるかどうかが決まります。
- 注※2
-
マネージャーホストから中継エージェントへの接続は接続元制限機能の対象ですが,マネージャーホストまたは中継エージェントから宛先エージェントへの接続は,接続元制限機能の対象外です。
フレキシブルジョブの詳細については,「2.9 クラウド環境でのジョブ実行について検討する」の補足事項を参照してください。
(c) Web Consoleサーバからの接続
JP1/AJS3 - Web ConsoleからJP1/AJS3 - Managerへの接続を制限できます。
接続を許可するWeb ConsoleサーバのIPアドレスを,接続許可設定ファイルに指定してください。
(d) 関連製品からの接続
関連製品からJP1/AJS3 - Managerへの接続を制限できます。
接続を許可する,関連製品がインストールされているホストのIPアドレスを接続許可設定ファイルに指定してください。
JP1/AJS3 - Managerへの接続を制限できる製品は,次のとおりです。
-
JP1/AJS3 - Definition Assistant
-
JP1/OJE(メインフレームからジョブ実行要求を受け取る場合)
-
JP1/NQSEXEC(ジョブ実行要求を受け取る場合)
(e) ajsで始まるコマンドのリモート実行
ajsで始まるコマンドのリモート実行による,JP1/AJS3 - Managerへの接続を制限できます。
ajsで始まるコマンドをリモート実行する場合,コマンド実行先のマネージャーホストのマネージャー用接続許可設定ファイルに,コマンド実行元のマネージャーホストのIPアドレスを指定します。
リモート実行できるコマンドについては,マニュアル「JP1/Automatic Job Management System 3 コマンドリファレンス 1.1.7 コマンドのリモート実行」を参照してください。
(f) jpqで始まるコマンドのリモート実行
jpqで始まるコマンドのリモート実行による,JP1/AJS3 - Managerへの接続を制限できます。
jpqで始まるコマンドをリモート実行する場合,コマンド実行先のマネージャーホストのマネージャー用接続許可設定ファイルに,コマンド実行元ホストのIPアドレスを指定します。
(2) 接続許可設定ファイルの設定
接続許可設定ファイルには,JP1/AJS3 - ManagerまたはJP1/AJS3 - Agentへの接続を許可するホストのIPアドレスを指定します。また,JP1/AJS3 - Managerで接続元制限機能を有効にする場合,接続許可設定ファイルには,自ホストのIPアドレスを必ず指定してください。
接続許可設定ファイルの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.2 JP1/AJS3への接続を制限する設定」を参照してください。
次のような場合,設定するIPアドレスに注意が必要です。
-
リモートジョブネットを実行する場合
-
ajschkdefコマンドでジョブネットコネクタをチェックする場合
-
NAT環境の場合
-
通信方式がANYバインド方式であり,複数NICまたはエイリアスIPアドレスを使用している環境の場合
それぞれに設定が必要なIPアドレスについて,次に説明します。
(a) リモートジョブネットを実行する場合
リモートジョブネットを実行する場合,転送元ホストと転送先ホストの両方で,お互いの接続許可設定ファイルに設定する必要があります。
接続元を制限している環境でリモートジョブネットを実行する場合の例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020410.GIF)
この例の場合,リモートジョブネットの転送元ホスト,転送先ホスト,および実行先ホストで,それぞれ次のように設定します。
- 転送元ホスト
-
自ホストのIPアドレス(192.168.31.1)
転送先ホストのIPアドレス(192.168.31.2)
- 転送先ホスト
-
自ホストのIPアドレス(192.168.31.2)
転送元ホストのIPアドレス(192.168.31.1)
- 実行先ホスト
-
転送先ホストのIPアドレス(192.168.31.2)
- 注意事項
-
リモートジョブネットが実行登録されている間は,各ホストの接続元制限の設定を変更しないでください。リモートジョブネットを実行したあとに接続元制限で接続が拒否されると,状態通知,強制終了,実行先ホストの定義の削除などができなくなります。
(b) ajschkdefコマンドでジョブネットコネクタをチェックする場合
ajschkdefコマンドに-Mオプションを指定してユニット定義の事前チェックをする場合,[接続範囲]に[別サービス]を指定したジョブネットコネクタがチェック対象に含まれるときは,接続先ホストのマネージャー用接続許可設定ファイルに,ジョブネットコネクタが定義されているホストのIPアドレスを設定する必要があります。
ジョブネットコネクタの例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020430.GIF)
この例の場合,接続先ホストHostBのマネージャー用接続許可設定ファイルに,ジョブネットコネクタが定義されているホストHostAのIPアドレスを指定します。指定しないでajschkdefコマンドを実行した場合,チェック結果の「NUMBER OF CHECKUNITS」に表示される「チェックが完了したユニット数」が接続を拒否されたユニット数分少なくなり,メッセージKAVS3431-Iが統合トレースログに出力されます。
ajschkdefコマンドの詳細については,マニュアル「JP1/Automatic Job Management System 3 コマンドリファレンス 3. 通常の運用で使用するコマンド ajschkdef」を参照してください。
(c) NAT環境の場合
NAT環境の場合,ホストのIPアドレスと通信の送信元となるIPアドレスが異なります。NATによる変換後のIPアドレスを指定してください。
NAT環境の場合に,接続を制限する例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020440.GIF)
この例の場合,エージェント用接続許可設定ファイルには「200.200.200.200」を指定します。
(d) 通信方式がANYバインド方式であり,複数NICまたはエイリアスIPアドレスを使用している環境の場合
実際の通信の送信元となる可能性のある,すべてのIPアドレスを指定してください。
複数NICを使用している環境の場合に,接続を制限する例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020450.GIF)
この例の場合,マネージャーホストが送信元IPアドレスとして使用する可能性のある,「192.168.31.1」,「192.168.31.2」,および「192.168.31.3」をエージェント用接続許可設定ファイルに指定します。