2.1 Verbindungen zu Hosts müssen über den Reflection-Sicherheitsproxy erfolgen
Sie können den Hostdatenverkehr zentral verwalten und die Sichtbarkeit des Hosts reduzieren, indem Sie Verbindungen von Emulations-Sessions über den Management and Security Server herstellen. Hierzu werden Extra!-Sessions auf der Administrative WebStation erstellt, was Extra! zur Konfiguration in einem Administrationsmodus öffnet.
Der Management and Security Server bietet verschiedene Konfigurationsoptionen:
|
Clientautorisierung Clientautorisierung wird bei Verbindungen verwendet, die durch den Management and Security Server gesichert werden, um sicherzustellen, dass vor Herstellung der Verbindung der Zugriff auf die Hostsysteme genehmigt wurde. Wenn sich ein Benutzer am Management and Security Server anmeldet, erhält er nur Zugriff auf Terminal-Session-Dateien und andere Funktionen, für die ihm explizit die Nutzungsautorisierung erteilt wurde. |
Bei Verwendung der Standardkonfiguration für den Sicherheitsproxy werden Benutzer über Sicherheits-Tokens autorisiert. Zwischen dem Client und dem Sicherheitsproxy übermittelte Daten werden verschlüsselt, zwischen dem Sicherheitsproxy und dem Host übermittelte Daten werden nicht verschlüsselt. Wenn der Sicherheitsproxyserver in diesem Modus verwendet wird, sollte er durch eine firmeneigene Firewall geschützt installiert sein. Weitere Informationen hierzu finden Sie im Verbindungen zu Hosts müssen über den Reflection-Sicherheitsproxy erfolgen.
|
|
Übertragungsmodus |
Wenn der Sicherheitsproxy als Übergangsproxy konfiguriert ist, übergibt der Sicherheitsproxy Daten unabhängig von deren Inhalt an den Ziel-Host (das bedeutet, jegliche SSL/TLS-Quittungsdaten werden ignoriert). Sie können den Datenverkehr zwischen dem Client und dem Ziel-Host mit SSL/TLS sichern, indem Sie auf dem Ziel-Host die SSL-Benutzerauthentifizierung Bei der Clientauthentifizierung (auch als Benutzerauthentifizierung bezeichnet) müssen Benutzer ihre Identität durch digitale Zertifikate beweisen (Standardeinstellung für den Reflection-Sicherheitsproxy). Eine Clientauthentifizierung ist in der Regel beim Aufbau einer SSL-Session erforderlich. Ein TN 3270-Server erfordert ebenfalls Clientauthentifizierung, wenn der Benutzer die auf manchen Mainframe-Systemen bereitgestellte Express Logon-Funktion verwendet. aktivieren. Bei Verwendung eines Übergangsproxys ist Clientautorisierung Clientautorisierung wird bei Verbindungen verwendet, die durch den Management and Security Server gesichert werden, um sicherzustellen, dass vor Herstellung der Verbindung der Zugriff auf die Hostsysteme genehmigt wurde. Wenn sich ein Benutzer am Management and Security Server anmeldet, erhält er nur Zugriff auf Terminal-Session-Dateien und andere Funktionen, für die ihm explizit die Nutzungsautorisierung erteilt wurde. keine Option. Weitere Informationen hierzu finden Sie im Verbindungsaufbau im Übertragungsmodus. |
|
End-to-End-Sicherheit |
Nur für TN 3270-Sessions. Diese Option kombiniert die Benutzerautorisierung durch SSL/TLS-Sicherheit für die gesamte Verbindung. Die Funktion für einmaliges Anmelden (Single Sign-On) über IBM Express Logon ELF wird auch als Single Sign-on (SSO) bezeichnet und ist eine IBM-Mainframefunktion, mit der Benutzer sich beim Host anmelden und eine Verbindung herstellen können, ohne jedes Mal eine Benutzer-ID und ein Kennwort eingeben zu müssen. Mithilfe von Express Logon wird der Benutzer auf dem Mainframe anhand des SSL-Clientzertifikats authentifiziert, ohne Benutzer-ID und Kennwort einzugeben. wird ebenfalls unterstützt, sofern der Host SSL/TLS unterstützt. Weitere Informationen hierzu finden Sie im Verbindungsaufbau mit durchgängiger Sicherheit und Express Logon für 3270-Sessions.
|
