2.2.2 ネットワークのセキュリティ
インストール中に、LANSA のデフォルト・パスワードでユーザー・プロファイル xxxPGMLIB と QOTHPRDOWN が作成されます。システムの機密性を保持するため、これらのパスワードを変更する必要があります。
自身の JSM インスタンスへのアクセスを制限するには、TCP/IP クライアント・アドレスのフィルターを使用します。
JSM インスタンスが指定の TCP/IP クライアントからの接続のみ受け入れるよう構成することができます。
例えば、IBM i 上で JSM インスタンス実行中に、同じマシン(区画)で LANSA または RPG プログラムが実行されている時、ループバック・アドレス (127.0.0.1) の使用が可能です。
JSM サーバーはポート 4560、アドレス 127.0.0.1 でリッスンし、127.0.0.1 からのクライアントのみを受け入れます。
ループバック・アドレスを使用するということは、通信トラフィックが物理カードに拡大しないことを意味します。
別のマシンやネットワーク・スキャナーはこの TCP/IP インターフェースにアクセスできません。
tcp.port=4560
tcp.backlog=20
tcp.interface=127.0.0.1
tcp.client.address=127.0.0.1
マルチホームのループバック・アドレス
同じポート番号を使って、複数の JSM インスタンス用の複数のループバック・アドレスを使用することができます。
tcp.port=4560
tcp.interface=127.0.0.1
tcp.port=4560
tcp.interface=127.0.0.2
ADDTCPIFC INTNETADR('127.0.0.2') LIND(*LOOPBACK) SUBNETMASK('255.0.0.0')
GO CFGTCP
1. TCP/IP インターフェースの処理
10.2.0.173 255.255.0.0 ETHLINE *ELAN
127.0.0.1 255.0.0.0 *LOOPBACK *NONE
127.0.0.2 255.0.0.0 *LOOPBACK *NONE
インターフェイス 127.0.0.2 を開始する必要があることを忘れないでください。
PING '127.0.0.1'
PING '127.0.0.2'
以下は DDTCPIFC *LOOPBACK のヘルプからの抜粋です。
変更されているインターフェースは、ループバック、もしくはローカルホストのインターフェースです。
ループバックに関連付けらた処理は物理ラインに拡張されることはないので、ループバック・アドレスに関連付けられたライン記述はありません。
この特殊な値は、最初のオクテット値が 127 のすべての INTNETADR に対して使用する必要があります。