IBM. Planlegge, installere og konfigurere Host On-Demand. IBM Host On-Demand versjon 12.0 SC

IBM Host On-Demand versjon 12.0 IBM Planlegge, installere og konfigurere Host On-Demand SC43-3039-01

IBM Host On-Demand versjon 12.0 IBM Planlegge, installere og konfigurere Host On-Demand SC43-3039-01

Merk Før du bruker opplysningene i denne boken og det produktet det blir henvist til, må du lese Tillegg E, Merknader, på side 159. Niende utgave (februar 2016) Originalens tittel: IBM Host On-Demand Version 12 Planning, Installing and Configuring Host On-Demand (SC14-7266-01) Denne utgaven gjelder for versjon 12 av IBM Host On-Demand (programnummer 5724-I20) og alle etterfølgende utgaver og endringsnivåer til annet blir opplyst i nye utgaver. Copyright IBM Corporation 1997, 2016.

Innhold Om denne boken.......... vii Annen Host On-Demand-dokumentasjon.... vii Standarder som er brukt i denne boken..... viii Terminologi.............. ix Termer knyttet til Java.......... x Del 1. Planlegging for Host On-Demand............ 1 Kapittel 1. Innføring i IBM Host On-Demand............. 3 Hva er Host On-Demand?.......... 3 Hvordan fungerer Host On-Demand?...... 3 Hvorfor bruke Host On-Demand?....... 5 Kostnadseffektiv tilkobling........ 5 Sentralisert styring av konfigurasjonsopplysninger 5 Direkte tilkobling til en Telnet-tjener..... 5 Nettleserbasert brukergrensesnitt...... 5 Støtter mange ulike plattformer og nettverksmiljøer............ 6 Støtte for Java............. 6 Støtte for Internet Protocol versjon 6..... 6 Støtter mange språk........... 6 Sikre tilkoblinger............ 6 Tilpassede HTML-filer.......... 7 Verktøysett for å opprette nye e-business-applikasjoner......... 7 Programmerbar Host On-Demand...... 7 APIer for Host On-Demand-sesjonsstyrer.... 7 Støtte for WebSphere Portal........ 8 Tilkobling til DB2-databaser på IBM System i-tjenere............... 8 Nyheter................ 8 Siste informasjon om Host On-Demand.... 8 Nye funksjoner i Host On-Demand Versjon 12.. 8 Kapittel 2. Planlegge for distribusjon 11 Forklaring av den HTML-baserte modellen.... 11 Forklaring av den konfigurasjonstjenerbaserte modellen............... 12 Forklaring av den kombinerte modellen..... 13 Distribusjonsvurderinger for klienter...... 14 Kapittel 3. Planlegge for Java på klienten.............. 15 Forbedringer i hurtigbufret klient for Java.... 15 Begrensninger for støtte......... 15 Utvidede funksjoner med Java........ 16 Laste ned en klient med Java....... 16 Mac OS X med Java........... 17 Begrensninger for Mac OS X........ 17 Noe lengre oppstartingstid med Java-klienter.. 17 Begrensninger for bestemte Java-plugin-moduler 17 Begrensninger med egendefinerte appletter og Java................ 18 Begrensninger med begrensede brukere og Java 18 Nettlesere og Java-plugin-moduler....... 18 Java-aktiverte nettlesere......... 18 Nettlesere og plugin-moduler som støttes av Host On-Demand-klienter........ 18 Microsoft Internet Explorer med en Java-plugin-modul........... 18 Firefox med en Java-plugin-modul...... 18 Kapittel 4. Planlegge for sikkerhet... 21 TLS (Transport Layer Security)........ 21 Slik fungerer TLS-sikkerhet........ 21 TLS for Host On-Demand........ 23 Web-tjenersikkerhet........... 27 Konfigurasjonssikkerhet......... 27 Omdirigeringsfunksjonen.......... 28 Hvorfor bruke omdirigeringsfunksjonen.... 28 Hvordan omdirigeringsfunksjonen fungerer.. 28 Omdirigeringsfunksjonens belastningskapasitet 29 Operativsystemer som støttes av omdirigeringsfunksjonen......... 30 Bruke Host On-Demand med en brannmur.... 31 Konfigurere brannmurporter........ 32 Koble til et vertssystem gjennom en proxy-tjener 34 Sikkerhet for bruker-ider.......... 36 Web-hurtigpålogging.......... 36 Intern autentisering........... 36 Windows-domenepålogging........ 36 FIPS-miljøer.............. 36 Kapittel 5. Planlegge for språkstøtte.. 39 Støttede språk............. 39 Vertskodesett som støttes.......... 40 3270- og 5250-kodesett.......... 40 VT-kodesett............. 43 CICS-portnerkodesett.......... 43 Støtte for japansk JIS2004 Unicode....... 44 Brukerdefinert tegntilordning........ 44 Unicode-støtte for i/os og OS/400...... 44 Del 2. Installere, oppgradere og avinstallere Host On-Demand... 45 Kapittel 6. Installere Host On-Demand-tjeneren og tilhørende programvare............ 47 Installere Host On-Demand ved hjelp av Installation Manager............... 47 Viktige linker............. 47 Før du installerer HOD.......... 47 Forberede installeringen......... 47 Copyright IBM Corp. 1997, 2016 iii

Oppgradere fra tidligere versjoner av Host On-Demand............. 48 Installere Host On-Demand......... 48 Installation Manager-grensesnittet...... 48 Distribusjonsveiviser........... 50 Oppgradere fra tidligere versjoner av Distribusjonsveiviser.......... 50 Installere distribusjonsveiviseren...... 50 Laste ned installeringsbildet for distribusjonsveiviseren fra en Host On-Demand-tjener........... 51 Host Access Toolkit............ 51 Oppgradere fra tidligere versjoner av Host Access Toolkit............ 52 Installere Host Access Toolkit....... 52 Installere i konsollmodus.......... 53 Om installering i konsollmodus...... 53 Før du installerer HOD på IBM iseries.... 54 Installeringsprosedyre.......... 54 Installere distribusjonsveiviseren i konsollmodus 57 Installere Host Access Toolkit i konsollmodus.. 57 Installere i stillemodus........... 57 Installeringsprosedyre.......... 58 Installere konfigurasjonsservletten....... 59 Distribuere servletten på WebSphere Application Server............... 59 Kapittel 7. Avinstallere Host On-Demand-tjeneren......... 61 Avinstallere Host On-Demand i Installation Manager-konsollmodus.......... 61 Del 3. Konfigurere Host On-Demand 63 Kapittel 8. Konfigurere Host On-Demand-emulatorklienter..... 65 Opprette HTML-filer for Host On-Demand.... 65 Konfigurere Host On-Demand-sesjoner..... 66 Bruke distribusjonsveiviseren........ 67 Distribuere utdataene fra distribusjonsveiviseren til Host On-Demand-tjeneren....... 67 Kapittel 9. Bruke Host On-Demand-administrasjonsklienten og klienten Ny bruker.......... 69 Laste inn administrasjonsklienten og klienten Ny bruker................ 69 Administrasjonsklienter.......... 69 Katalogfunksjon............ 70 Ny bruker-klienter............ 71 Kapittel 10. Bruke Host On-Demand-emulatorklienter..... 73 Laste inn emulatorklienter......... 73 Velge en passende klient.......... 74 Hurtigbufrede klienter........... 75 Installere hurtigbufrede klienter...... 75 Fjerne den hurtigbufrede klienten...... 78 Problemer med støtte for hurtigbufrede klienter ved tilgang til flere Host On-Demand-tjenere.. 80 Støtte for hurtigbufret klient for Windows... 80 Støtte for hurtigbufret klient for Mac OS X (bare Java-klienter)............. 81 Feilsøke hurtigbufrede klienter....... 82 Web Start-klient............. 83 Installere Web Start-klienten........ 83 Konfigurere web-tjeneren for Web Start.... 85 Oppgradere Web Start-klienten....... 85 Tilføye Web Start-komponenter etter den første installeringen............. 86 Web Start og begrensede brukere i Windows.. 86 Legge inn bokmerke for sesjoner med Web Start 86 Bruke Web Start med HTTPS....... 86 Fjerne Web Start-klienten......... 86 Nedlastingsklienter............ 86 Starte nedlastingsklienten......... 87 Starte nedlastingsklienten etter at du har installert den hurtigbufrede klienten eller Web Start-klienten............. 87 Forhåndsdefinerte emulatorklienter...... 87 Redusere nedlastingsstørrelse for klienter.... 88 Distribuere egendefinerte Java-arkiver og Java-klasser.............. 88 Bruke HTML-parameteren AdditionalArchives. 89 Distribuere fra publiseringskatalogen..... 90 Nyttige tips for arkivfiler......... 90 Kapittel 11. Bruke Database On-Demand-klienter......... 91 Databasefunksjoner i skjermemuleringsklienter og makroer............... 92 Starte en Database On-Demand-klient..... 92 Forhåndsdefinerte Database On-Demand-klienter.. 93 Konfigurere Database On-Demand for brukere.. 93 Anskaffe og installere et JDBC-styreprogram... 94 Filformater og databasetilgang........ 94 Bruke flere kodesett sammen med Database On-Demand.............. 94 Database On-Demand-kodesett som støttes... 94 Kapittel 12. Opprette og distribuere tjenermakrobiblioteker........ 97 Distribuere et tjenermakrobibliotek på en web-tjener 97 Distribuere et tjenermakrobibliotek på en delt stasjon............... 98 Kapittel 13. Endre sesjonsegenskaper dynamisk............. 99 Konfigurere den første HTML-filen...... 99 Definere kodebasis............ 99 Tilføye parameteren ConfigBase....... 100 Overstyre HTML-parametere........ 100 Bestemte sesjonsegenskaper som kan overstyres 101 Eksempel 1: Overstyre LU-navnet basert på klientens IP-adresse........... 105 Eksempel 2: Tillate brukeren å oppgi vertsmaskin for tilkobling ved hjelp av et HTML-skjema... 107 iv IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Kapittel 14. Konfigurere Host On-Demand på zseries....... 111 Definere egne private-kataloger og publiseringskataloger for lesing/skriving.... 111 Definere en separat filsystem for Host On-Demand-katalogen private....... 111 Definere en separat brukerpubliseringskatalog 111 Migrering for z/os........... 112 Reservekopiere den private katalogen.... 112 Installere distribusjonsveiviseren på z/os-tjeneren............ 112 Kapittel 15. Konfigurere Host On-Demand på IBM System i..... 115 Konfigurere, starte og stoppe Host On-Demand Tjenestestyrer på IBM System i....... 115 Konfigurer............. 115 Start............... 116 Stopp............... 116 Arbeid med status for HOD-tjener..... 116 Sertifikatadministrasjon......... 117 Start Informasjonssamler........ 118 Opprett HOD-skriverdefinisjonstabell.... 118 Bruke distribusjonsveiviseren sammen med IBM System i............... 118 Konfigurere IBM System i-tjenere for sikker tilkobling............... 118 Installere og konfigurere Host On-Demand med TLS på i/os og OS/400......... 119 Konfigurere en Telnet-tjener for sikker forbindelse............. 119 Konfigurere CustomizedCAs-nøkkelringen for Host On-Demand........... 119 Klientautentisering.......... 120 Konfigurere OS/400-proxy-tjeneren for Host On-Demand for sikre forbindelser..... 121 Sikre web-tjenester.......... 121 Unicode-støtte for i/os og OS/400...... 122 Generell informasjon.......... 122 Informasjon om vertsprogrammering.... 122 Kapittel 16. Distribuere Host On-Demand med WebSphere Portal.. 123 Hvordan Host On-Demand virker sammen med Portal Server............. 123 Bruke Host On-Demand-klienter med Portal Server 124 Begrensninger ved tilgang til Host On-Demand gjennom en portlett........... 124 Spesielle hensyn ved bruk av en Host On-Demand-portlett........... 125 Utvide Host On-Demand-portlettene..... 127 Kapittel 17. Støtte for Eclipse-Plugin 129 Opprette Host On-Demand-plugin-moduler... 129 Definere sesjonsegenskaper dynamisk..... 131 Bruke en egen brukerdefinert publiseringskatalog 132 Visnings-IDer som brukes i Host On-Demand-plugin-modulen........ 132 Begrensninger ved bruk av Host On-Demand i et Eclipse-Plugin-miljø........... 132 Kapittel 18. Konfigurere Host On-Demand-tjeneren for LDAP.... 135 Konfigurere støtte for LDAP........ 135 Installere skjemautvidelsene........ 136 Konfigurere Host On-Demand-tjeneren til å bruke LDAP som et datalager.......... 137 Tillegg A. Bruke lokalt installerte klienter.............. 139 Operativsystemer som støtter den lokalt installerte klienten............... 139 Installere den lokale klienten........ 139 Starte den lokale klienten......... 139 Fjerne den lokale klienten......... 139 Tillegg B. Bruke IKEYCMDkommandolinjegrensesnittet..... 141 Miljøkonfigurasjon for IKEYCMDkommandolinjegrensesnitt......... 141 IKEYCMD-kommandolinjesyntaks...... 142 IKEYCMD-liste over oppgaver for Host On-Demand.............. 142 Opprette en ny database.......... 143 Definere databasepassordet........ 143 Endre databasepassordet........ 144 Vise en liste over CAer.......... 144 Opprette et nytt nøkkelpar og sertifikatforespørsel 145 Lagre tjenersertifikatet.......... 145 Motta et CA-signert sertifikat....... 145 Lagre et CA-sertifikat.......... 146 Opprette et egensignert sertifikat....... 147 Gjøre tjenersertifikater tilgjengelige for klienter.. 147 Tilføye rotsertifikatet fra en ukjent CA til CustomizedCAs.p12.......... 148 Eksportere nøkler............ 149 Importere nøkler............ 149 Vise standardnøkkelen i en nøkkeldatabase... 149 Lagre den krypterte databasen i en lagringsfil.. 149 Kommandolinjeparametere for IKEYCMD - objekter og handlinger.......... 150 Kommandolinjeparametere for IKEYCMD - alternativer.............. 151 Kommandolinjeanrop.......... 152 Fil med brukeregenskaper......... 153 Tillegg C. P12-nøkkelringprogram... 155 Bruk................ 155 Alternativer.............. 155 Eksempler.............. 156 Innhold v

Tillegg D. Kommandolinjeparametere for plattformoppstartere....... 157 Tillegg E. Merknader........ 159 Tillegg F. Varemerker........ 161 vi IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Om denne boken Boken Planlegge, installere og konfigurere Host On-Demand hjelper deg med å planlegge for, installere og konfigurere programmet Host On-Demand. Denne boken er skrevet for administratorer. Den inneholder tre hoveddeler. Del 1, Planlegging for Host On-Demand, på side 1 gir deg informasjon om Host On-Demand som du bør vurdere før du installerer og distribuerer programmet. Hvilken tjenerplattform vil du bruke? Hvilken distribusjonsmodell vil du bruke? Hvordan vil du håndtere sikkerheten? Del 2, Installere, oppgradere og avinstallere Host On-Demand, på side 45 beskriver trinnvise fremgangsmåter for de enkelte operativsystemene. Del 3, Konfigurere Host On-Demand, på side 63 beskriver forskjellige modeller for hvordan konfigurasjonsopplysninger for sesjoner defineres og behandles, hvordan konfigurasjonsopplysninger kan endres dynamisk, hvordan du tilpasser nye klienter og hvordan du distribuerer Host On-Demand til brukerne. Når du har installert og konfigurert Host On-Demand, kan du lese i hjelpen om hvordan du definerer sesjoner og utfører andre administrasjonsoppgaver. Planlegge, installere og konfigurere Host On-Demand er også tilgjengelig på DVD-ROM og i Host On-Demand Knowledge Center. Annen Host On-Demand-dokumentasjon I tillegg til boken Planlegge, installere og konfigurere Host On-Demand finnes det også andre informasjonskilder som kan være til hjelp når du skal bruke Host On-Demand. Du har tilgang til dokumentasjonen som er beskrevet her, i Host On-Demand Knowledge Center. Det meste av denne dokumentasjonen finnes også på Host On-Demand-DVDen eller Toolkit-DVDen. Med MySupport-funksjonen kan du tilpasse visningen av siden og registrere deg for å motta ukentlige e-postmeldinger om nye rettelsespakker, nedlastinger og viktig teknisk informasjon for IBM-produkter. Hvis du vil registrere deg for MySupport, følger du instruksjonene i denne Technote-meldingen. v Hjelpen. Hjelpen er den viktigste informasjonskilden for administratorer og brukere når Host On-Demand er installert. Den beskriver detaljert hvordan du utfører ulike oppgaver i Host On-Demand. Ved hjelp av innholdsfortegnelsen og stikkordregisteret er det lett å finne oppgaveorientert hjelp og begrepsorientert hjelp. Når du bruker det grafiske Host On-Demand-brukergrensesnittet (GUI), kan du klikke på hjelpeknapper som viser hjelpetekst for vinduet. v Programkatalogen (Program Directory). Programkatalogen beskriver hvordan du installerer Host On-Demand på z/os-plattformen. v Readme-filen. Denne filen, readme.html, inneholder produktinformasjon som ble kjent så sent at den ikke kunne komme med i produktdokumentasjonen. v Web Express Logon Reference. Denne boken gir en trinnvis beskrivelse som hjelper deg å forstå, implementere og løse problemer med web-hurtigpålogging. Den gir en oversikt over web-hurtigpålogging, flere trinnvise eksempler som er til hjelp Copyright IBM Corp. 1997, 2016 vii

når du skal planlegge for og distribuere web-hurtigpålogging i ditt miljø, og dessuten en rekke APIer for skriving av tilpassede makroer og -moduler. v Macro Programming Guide. Denne boken beskriver hvordan du oppretter Host On-Demand-makroer for automatisering av brukerinteraksjoner med vertsapplikasjoner eller for overføring av data mellom en vertsapplikasjon og en lokal applikasjon. Boken gir detaljerte opplysninger om alle aspekter av arbeidet med å utvikle makroer, og inneholder oppdatert informasjon om makrospråket, som tidligere er publisert i Host Access Beans for Java Reference. v Host Printing Reference. Når du har konfigurert vertssesjoner, kan brukerne lese i Host Printing Reference om hvordan de skriver ut vertssesjonsinformasjon på en lokal eller lokalnettilknyttet skriver eller til en fil. v Session Manager API Reference. Denne boken inneholder JavaScript-APIer for styring av vertssesjoner og tekstbasert interaksjon med vertssesjoner. v Programmable Host On-Demand. Denne boken inneholder et sett med Java-APIer som gjør det mulig for utviklerne å integrere ulike deler av Host On-Demand-klientkoden, som terminaler, menyer og verktøylinjer, i sine egne tilpassede Java-applikasjoner og -appletter. v Toolkit Getting Started. Denne boken beskriver hvordan du installerer og konfigurerer Host On-Demand Toolkit, som leveres sammen med Host Access Client-pakken, men som du installerer fra en annen DVD-ROM enn Host On-Demand-basisproduktet. Host On-Demand Toolkit kompletterer Host On-Demand-basisproduktet med Java-bønner og andre komponenter som gjør at du får maksimalt ut av Host On-Demand i ditt systemmiljø. v Host Access Beans for Java Reference. Denne boken er en del av Host On-Demand Toolkit. Den er en referanse for programmerere som vil tilpasse Host On-Demand-miljøet ved hjelp av Java-bønner, og opprette makroer som automatiserer trinn i emulatorsesjonene. v Programmer's Guide for the AS/400 Toolbox for Java. Boken Programmer's Guide for the AS/400 Toolbox for Java finnes på Toolkit-DVDen i katalogen as400. Boken er tilgjengelig i zip-filer, og i tillegg til den engelske versjonen finnes det også en japansk, koreansk, spansk og russisk versjon. v Host Access Class Library Reference. Denne boken er en del av Host On-Demand Toolkit. Den er en referanse for programmerere som vil skrive Java-appletter og -applikasjoner som kan få tilgang til vertsinformasjon på datastrømnivå. v J2EE Connector Reference. Denne boken er en del av Host On-Demand Toolkit. Den er en referanse for programmerere som vil skrive appletter og servletter som kan få tilgang til applikasjoner som er kompatible med Java Enterprise Edition (J2EE). Standarder som er brukt i denne boken Tabell 1. Standarder som er brukt i denne boken Disse typografiske standardene er brukt i Planlegge, installere og konfigurere Host On-Demand: Standard Fast tegnavstand Kursiv Returtast Betydning Angir tekst du skal oppgi ved en ledetekst og verdier du må bruke slik de er oppgitt, som kommandoer, funksjoner og ressursdefinisjonsattributter og deres verdier. Fast tegnavstand angir dessuten skjermtekst og kodeeksempler. Angir variabelverdier du må oppgi (du oppgir for eksempel navnet på en fil for filnavn). Kursiv angir dessuten viktighet og tittelen på bøker. Viser til tasten som er merket med ordet Return, ordet Enter eller en venstrepil. viii IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Tabell 1. Standarder som er brukt i denne boken (fortsettelse) Standard Betydning > Når dette tegnet brukes sammen med en meny, betyr det en rekke med menyvalg. For eksempel betyr Klikk på Fil > Ny Velg menyen Fil og klikk på menypunktet Ny. Når dette tegnet brukes sammen med en treoversikt, viser det en rekke med mappe- eller objektutvidelser. For eksempel betyr Utvid HODConfig Servlet > Sysplexes > Plex1 > J2EE Servers > BBOARS2 følgende: 1. Utvid mappen HODConfig Servlet 2. Utvid mappen Sysplexes 3. Utvid mappen Plex1 4. Utvid mappen J2EE Servers 5. Utvid mappen BBOARS2 Dette grafiske bildet blir brukt til å markere merknader til leseren. Dette grafiske bildet blir brukt til å markere tips til leseren. Terminologi Her finner du en forklaring på termer som brukes i denne boken. applett Et program skrevet i Java som det henvises til i en HTML-fil. En applett startes av en Java Virtual Machine (JVM) som kjøres i en nettleser. applikasjon Et program eller en programpakke som utfører en oppgava eller en bestemt funksjon. hurtigbufret klient En hurtigbufret Host On-Demand-klient er en Host On-Demand-klient der komponentene er hurtigbufret (lagret lokalt for rask tilgang) på platelageret på arbeidsstasjonen til en bruker. standard publiseringskatalog Standard publiseringskatalog er delkatalogen HOD i Host On-Demand-tjenerens installeringskatalog, for eksempel c:\program Files\IBM\HostOnDemand\HOD\ på Windows-plattformer, /opt/ibm/hostondemand/hod på AIX-, Linux- og Solaris-plattformer, /QIBM/Programs/IBM/HostOnDemand/HOD på i (as/400), og /usr/lpp/hod/hostondemand/hod på z/os-plattformer. nedlastingsklient Nedlastingsklienter laster ned de nødvendige applettfilene hver gang brukere får tilgang til HTML-filene. Nedlastingsklienter blir som regel brukt i LAN-tilkoblede miljøer fordi nettverksforbindelser med høy hastighet reduserer tiden det tar å laste dem ned fra web-tjeneren. emulatorklient En emulatorklient er en Host On-Demand-klient som starter en terminalemulatorsesjon. Host On-Demand inneholder disse emulatorklientene: den hurtigbufrede klienten, Web Start-klienten og nedlastingsklienten. Om denne boken ix

separat brukerpubliseringskatalog Et separat sted med skrivetilgang for distribusjon av tilpassede HTML-filer, slik at filene er atskilt fra filene som levers av Host On-Demand. Dette gjør at Host On-Demand-publiseringskatalogen kan være bare for lesing, noe som gjør det enklere å ta i bruk fremtidige Host On-Demandoppgraderinger. Legg merke til at andre brukerendrede filer (for eksempel kundeappletter og HACL-programmer) fremdeles må kjøres fra publiseringskatalogen for Host On-Demand. web-applikasjonstjener Kjøretiden for dynamiske web-applikasjoner. Web-applikasjonstjeneren omfatter støtte for Java-servletter, JavaServer-sider (JSP) og andre Java-APIer (Application Programming Interfaces). En webapplikasjonstjener leverer funksjoner for kommunikasjon, ressursadministrasjon, sikkerhet, transaksjonsadministrasjon og persistens for web-applikasjoner. Den omfatter dessuten vanligvis et administrasjonsgrensesnitt for administrasjon av tjeneren og de distribuerte applikasjonene. web-tjener En tjener på weben som betjener forespørsler etter HTTP-dokumenter. En web-tjener styrer flyten av transaksjoner til og fra nettleseren. Den beskytter konfidensielle kundetransaksjoner og sørger for at brukernes identitet overføres til tjeneren på en sikker måte. Web Start-klient Web Start-klienten gjør det mulig for brukerne å kjøre Host On-Demand-sesjoner uten en nettleser. Brukerne starter Host On-Demand-sesjonene fra Java Web Start Application Manager. Termer knyttet til Java Vær oppmerksom på disse termene og hvordan de brukes i boken. Java Står for Java Runtime Environment (JRE) på HOD-tjeneren eller HOD-klienten. Java-aktivert nettleser En nettleser som kjører Java-appletter på en Java JVM fra en installert Java-plugin-modul, for eksempel Firefox og Internet Explorer med en Java-plugin-modul. Du finner flere opplysninger i Nettlesere og Java-plugin-moduler på side 18. Java-emulatorklient, hurtigbufret Java-klient, Java-nedlastingsklient En versjon av Host On-Demand-klienten. Java-versjonen består av et fullstendig sett med Host On-Demand-klientkomponenter som er kompilert med en Java-kompilator. x IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Del 1. Planlegging for Host On-Demand Copyright IBM Corp. 1997, 2016 1

2 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Kapittel 1. Innføring i IBM Host On-Demand Hva er Host On-Demand? IBM Host On-Demand gir kostnadseffektiv og sikker nettleserbasert og ikke-nettleserbasert vertstilgang til brukere i intranett- og ekstranettbaserte miljøer. Host On-Demand installeres på en web-tjener, noe som forenkler administrasjon og distribusjon, og Host On-Demand-appletten eller -applikasjonen lastes ned til klientens nettleser eller arbeidsstasjon for å gi brukeren tilkobling til viktige vertsapplikasjoner og -data. Host On-Demand støtter emulering for vanlige terminaltyper, kommunikasjonsprotokoller, kommunikasjonsportnere og skrivere, blant annet følgende: v TN3270- og TN3270E-terminaler v TN5250-terminaler v VT52-, VT100-, VT220-, VT320- og VT420-terminaler v SSH (Secure Shell) v TLS (Transport Layer Security) v FTP (File Transfer Protocol) v Customer Information and Control System (CICS) Transaction Gateway v TN3270E- og TN5250-skrivere Du kan bruke Javas komponentbaserte Host Access Toolkit til oppretting av tilpassede e-business-applikasjoner. Dette verktøysettet inneholder et omfattende sett med Java-biblioteker og APIer: Host Access Class Library (HACL), Host Access Beans for Java og Java Enterprise Edition (J2EE). Host On-Demand omfatter også Database On-Demand, som utgjør et grensesnitt for sending av SQL-spørringer til IBM DB2-databaser på IBM System i7-systemer. Hvordan fungerer Host On-Demand? Figuren og forklaringen nedenfor viser hvordan et Host On-Demand-system virker. Host On-Demand er et klient/tjener-system. Host On-Demand-klienter er Java-appletter som lastes ned fra web-tjeneren til en nettleser på en fjerntilkoblet datamaskin. Copyright IBM Corp. 1997, 2016 3

Figur 1. Hvordan Host On-Demand fungerer Trinn 1. Brukeren åpner en nettleser og klikker på en hyperlenke. Trinn 2. IBM Host On-Demand-appletten lastes ned til klientstasjonen. Trinn 3. Når appletten er lastet ned, kobles IBM Host On-Demand direkte til en hvilken som helst Telnet-tjener for å få tilgang til vertsapplikasjoner. Sesjonsinformasjon konfigureres i HTML-filen eller på Host On-Demandkonfigurasjonstjeneren. Du finner flere opplysninger om konfigurasjonstjeneren under Kapittel 2, Planlegge for distribusjon, på side 11. Host On-Demand-klientappletter kan kjøres som nedlastingsklienter, Web Start-klienter eller hurtigbufrede klienter. Nedlastingsklienter lastes ned fra web-tjeneren hver gang de brukes. Hurtigbufrede klienter og Web Start-klienter lastes ned fra web-tjeneren og lagres på klientmaskinen. Etter den første nedlastingen lastes den hurtigbufrede klienten fra den lokale maskinen. Den hurtigbufrede klienten ser etter nye versjoner av klienten på Host On-Demand-tjeneren, og laster automatisk ned den oppdaterte versjonen. Host On-Demand har følgende administrative komponenter: v Distribusjonsveiviseren, et verktøy for å opprette HTML-filer for emulatorklienter. Ved hjelp av distribusjonsveiviseren kan administratorer raskt og enkelt bygge HTML-filer for Host On-Demand, tilpasset organisasjonens behov. v Administrasjonsklienter, som kan brukes av systemadministratorer til å definere vanlige sesjoner, opprette brukere og grupper samt utføre andre administrative oppgaver på Host On-Demand-tjeneren. I tillegg leveres flere forhåndsdefinerte klienter med Host On-Demand, for å vise Host On-Demands klientfunksjoner for brukere og administratorer (for eksempel emulering, Database On-Demand, fjerning av hurtigbufrede klienter og verktøy for problemløsing). 4 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Hvorfor bruke Host On-Demand? Kostnadseffektiv tilkobling Du kan redusere vedlikeholdskostnadene og øke avkastningen på investeringen ved å installere Host On-Demand på en web-tjener. Dermed behøver du ikke administrere enkeltmaskinene. Siden applettene ligger på en tjener og lastes inn i nettleseren ved behov, behøver du ikke å planlegge tidspunkter for vedlikehold og oppgraderinger. Når du oppgraderer programvaren på tjeneren, får brukerne oppgraderingen neste gang de bruker klientappletten. Sentralisert styring av konfigurasjonsopplysninger Administratorer kan sentralt definere og styre all tilgjengelig informasjon om sesjonskonfigurasjonen for brukerne, blant annet tilkoblingsvalg, sikkerhetsfunksjoner, makrodefinisjoner, tastbordspesifikasjoner og fargedefinisjoner. Administratorer har også full kontroll over hvilke felter brukerne kan og ikke kan endre, og kan velge hvor brukeroppdateringer skal lagres. På Windows-plattformer er standard grafisk Host On-Demand-brukergrensesnitt basert på Nimbus Look and Feel levert av Java 1.6 og nyere. Du kan deaktivere Nimbus Look and Feel for det grafiske administrasjonsgrensesnittet ved å sette verdien for miljøvariabelen SETHODNIMBUSGUI til false. Direkte tilkobling til en Telnet-tjener Med Host On-Demand ligger emuleringsfunksjonaliteten i klientappletten. Når emulatoren ligger på klienten, kan behovet for en mellomliggende tjener, for eksempel en IBM Communications Server eller en tredjeparts SNA-tjener, elimineres. Alle ytelses- og sikkerhetsproblemer knyttet til dette mellomleddet forsvinner også. Når appletten er distribuert til klienten, er det enkelt å koble seg direkte til en standard Telnet-tjener, som gir den beste tilgangen til de aktuelle dataene. Du kan ha forbindelser til mange vertssesjoner samtidig. Ved å fjerne behovet for en mellomliggende tjener reduserer Host On-Demand dessuten kapasitetsbegrensninger. Du kan se hvordan dette fungerer i figur 1 på side 4. Nettleserbasert brukergrensesnitt Med Host On-Demands nettleserbaserte tilgang blir det enkelt med sentral administrasjon av viktige vertsapplikasjoner og vertsdata. Host On-Demand bruker Java-teknologi til å åpne dørene til vertssystemer når du trenger det, fra hvor som helst, direkte i din nettleser. Bare klikk på en hyperlenke, så starter Host On-Demands Java-applett. Denne tilkoblingsformen gir deg sikker nettlesertilgang til de fleste vertsapplikasjoner og systemdata ved Java-basert emulering, så du kan legge eksisterende vertsapplikasjoner ut på nettet uten programmering. Fordi Host On-Demand er Java-basert, har grensesnittet samme utseende og logikk uavhengig av operativmiljøet. På Windows-plattformer er standard grafisk Host On-Demand-klientgrensesnitt basert på Nimbus Look and Feel levert av Java 1.6 og nyere. Du kan deaktivere Nimbus Look and Feel ved hjelp av HTML-parameteren sethodnimbusgui eller miljøvariabelen SETHODNIMBUSGUI. Merk: Host On-Demand-portletter arver utseendet til portaltjeneren. Kapittel 1. Innføring i IBM Host On-Demand 5

Støtter mange ulike plattformer og nettverksmiljøer Host On-Demand-tjenere og -klienter støttes på en rekke plattformer, og kan brukes på alle TCP/IP-nettverk. Dette gir deg stor fleksibilitet ved oppsettet av systemet, og gjør at Host On-Demand kan distribueres til maskinene uten at du trenger å kjøpe ny maskinvare. Støtte for Java Host On-Demand er kompatibelt med nettlesere som støtter Java-standardene. I tillegg utnytter enkelte nye funksjoner i Host On-Demand de nye mulighetene som bare finnes i Java. Støtte for Internet Protocol versjon 6 Støtte for Internet Protocol versjon 6 krever Java 1.4 eller høyere. Host On-Demand Versjon 12 støtter Java 1.6 eller høyere. Internet Protocol (IP) er en protokoll som brukes til å rute data fra kilden til målet gjennom et Internett-miljø. IP-protokollen er et mellomledd mellom høyere protokollag og det fysiske nettverket. Internet Protocol versjon 6 erstatter Internet Protocol versjon 4. Internet Protocol versjon 6 utvider antallet tilgjengelige IP-adresser og inneholder dessuten forbedringer innenfor ruting og nettverkskonfigurering. Både Internet Protocol versjon 6 og Internet Protocol versjon 4 er utviklet av Internet Engineering Task Force (IETF). Det meste av Internett bruker Internet Protocol versjon 4. Internet Protocol versjon 6 er forventet å erstatte Internet Protocol versjon 4 i løpet av noen år. Host On-Demand-tjeneren støtter også Internet Protocol versjon 6 for omdirigeringsfunksjonen. Du finner flere opplysninger i IPv6-støtte i omdirigeringsfunksjonen på side 30. Støtter mange språk Host On-Demand er tilgjengelig på mange språk, inkludert språk med dobbeltbytetegnsett (DBCS). Det har også støtte for valutasymbolet for euro og kodesettstøtte for mange andre språk, som arabisk, hebraisk og thai. Alle språkversjoner er tilgjengelige på samme medium, og flere språkversjoner kan brukes samtidig. Sikre tilkoblinger Med Transport Layer Security (TLS) versjon 1.0 utvider Host On-Demand mulighetene for sikker datatilgang på intranett, ekstranett og Internett. Mobile medarbeidere kobler seg opp mot et sikkert nettsted, blir autentisert og oppretter forbindelse med en sikker bedriftstjener. Med sertifikatstøtte for klient og tjener kan Host On-Demand presentere et digitalt sertifikat (X.509, versjon 3) for Telnet-tjeneren - for eksempel IBM Communications Server for z/os - for autentisering. Host On-Demand kan også konfigureres for bruk i miljøer med brannmurer. Brannmurporter må åpnes for funksjonene som er definert i Host On-Demands sesjonsdefinisjoner. Du finner flere opplysninger i Bruke Host On-Demand med en brannmur på side 31. 6 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Tilpassede HTML-filer Host On-Demand inneholder en distribusjonsveiviser som du kan bruke til å opprette tilpassede HTML-filer. Ved hjelp av disse filene kan du tilpasse klientens innhold og funksjonalitet for å dekke behovene til bestemte brukergrupper. Du finner flere opplysninger om distribusjonsveiviseren i Kapittel 8, Konfigurere Host On-Demand-emulatorklienter, på side 65. Verktøysett for å opprette nye e-business-applikasjoner Host On-Demand har Javas komponentbaserte Host Access Toolkit for oppretting av tilpassede e-business-applikasjoner. Dette verktøysettet inneholder et omfattende sett med Java-biblioteker og APIer, blant annet Host Access Class Library (HACL), Host Access Beans for Java og Java Enterprise Edition (J2EE). HACL tilbyr en ikke-visuell API eller interaksjon med bakgrunnsvertsmaskiner som kjører applikasjoner som opprinnelig er utviklet for menneskelig interaksjon. Vertsapplikasjoner gjør bruk av lesbar tegnrepresentasjon, formaterte felt, fargekoding og tastbordreaksjoner. HACL har spesialiserte klasser for funksjonaliteten som er nødvendig for å etterlikne tradisjonell interaksjon med en serie vertsskjermpresentasjoner (grønne skjermbilder). HACL inneholder ingen GUI-klasser (synlige komponenter). Et Java-program kan for eksempel kjøres på en stormaskin som en sekundær applikasjon. Det sekundære applikasjonsprogrammet virker først sammen med en annen stormaskin som kjører en CICSdataapplikasjon, og deretter med en klientnettleser gjennom dynamisk genererte HTML-sider. Den sekundære applikasjonen tolker inndataene fra klienten til simulerte terminalhandlinger som sendes til CICS-maskinen ved hjelp av HACL-APIen. Svarskjermbildene fra CICS-maskinen avleses ved hjelp av HACL-APIer, konverteres til dynamiske HTML-sider og sendes tilbake til klienten. Host On-Demand J2EE Connector tilbyr et sett med ressurskort som kommuniserer med 3270-, 5250-, CICS- og VT-vertsmaskiner. Disse ressurskortene distribueres til en kompatibel applikasjonstjener, for eksempel IBM Application Server. Brukerne kan skrive web-applikasjoner ved hjelp av APIene i Host On-Demand J2EE Connector via WebSphere Studio Application Developer Integration Edition. Programmerbar Host On-Demand Programmerbar Host On-Demand er et sett med Java-APIer som gjør det mulig for utviklerne å integrere ulike deler av Host On-Demand-klientkoden, som terminaler, menyer og verktøylinjer, i sine egne tilpassede Java-applikasjoner og -appletter. APIene gir utviklerne full kontroll over Host On-Demand-arbeidsområdet (det brukerne ser) uten at de trenger å starte med Host Access Java Beans som finnes i Host Access Toolkit. Den underliggende Host On-Demand-koden håndterer all "wiring" av de forskjellige komponentene, også lagring av brukerinnstillinger, som makroer, tastborddefinisjoner og fargedefinisjoner, i det lokale filsystemet for fremtidig bruk. Utvikleren trenger bare å bestemme utformingen av Host On-Demand-arbeidsområdet. Du finner flere opplysninger i Programmable Host On-Demand Reference. APIer for Host On-Demand-sesjonsstyrer I tillegge til programmeringsgrensesnittene (APIene) som leveres i Host Access Toolkit, inneholder Host On-Demand spesialiserte allmenne APIer som gir støtte for å bygge inn vertssesjoner i nettsider ved hjelp av JavaScript. Disse JavaScript-baserte APIene hjelper applikasjonsutviklere med å styre vertssesjoner Kapittel 1. Innføring i IBM Host On-Demand 7

og tekstbasert interaksjon med vertssesjoner, og er tilgjengelige via Host On-Demand-sesjonsstyreren. Se Session Manager API Reference hvis du ønsker mer informasjon. Støtte for WebSphere Portal Host On-Demand kan kjøre som portlett på Portal Server, en komponent i WebSphere Portal. Portal Server har avanserte administrasjons- og sikkerhetsfunksjoner som gir administratorer bedre kontroll over brukerrettigheter og utseendet og organiseringen av portalsiden. Administratorer kan raskt og enkelt opprette tilpassede Host On-Demandportletter med distribusjonsveiviseren og deretter laste dem direkte inn i Portal Server. Merk: Portal Server er et eget produkt som må installeres separat. Tilkobling til DB2-databaser på IBM System i-tjenere Database On-Demand følger med Host On-Demand og gir tilgang til DB2-informasjon lagret på IBM System i5-tjenere ved hjelp av et JDBC-styreprogram (Java Database Connectivity). Database On-Demand er en Java-applett som kan sende SQL-spørringer til IBM System i5-databaser via et JDBC-styreprogram. Database On-Demand er en egen applett atskilt fra Host On-Demand-appletten, som startes av en egen HTML-fil. Du kan også bruke støtten for dataoverføring fra en emulatorsesjon til SQL-forespørsler hvis du trenger både terminalemulering og støtte for SQL-spørringer. Nyheter Siste informasjon om Host On-Demand Du finner siste informasjon om Host On-Demand Versjon 12 i readme-filen. Du finner oppdatert produktinformasjon på nettstedet for Host On-Demand. Du finner de nyeste tekniske tipsene for Host On-Demand på nettstedet Host On-Demand Hints and Tips. Du finner generell informasjon om programvarestøtte i Software Support Handbook. Nye funksjoner i Host On-Demand Versjon 12 Følgende funksjoner og forbedringer er nye i Host On-Demand versjon 12: v HOD-administratorer kan velge Java Secure Socket Extension (JSSE) for sikre tilkoblinger ved bruk av omdirigeringsfunksjonen. v Nøkkelbruk og utvidet nøkkelbruk gjør det mulig for HOD-klienten å sende et personlig sertifikat basert på nøkkelbruk. v Standardtemaet i HOD V12.0 for Windows-klienter er basert på Nimbus Look and Feel levert av Java. v HOD-brukerne kan utføre et uregelmessig valg av tekst i terminalskjermbildet på samme måte som i en tekstredigeringsapplikasjon, for eksempel Notisblokk i Windows. v Brukerne kan lukke innfelte HOD-sesjoner med lukkeknappen på sesjonsflippen. 8 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

v HOD V12.0 omfatter en funksjon for tasttrykkbufring, som gjør det mulig for brukerne å fortsette å skrive selv om inntasting ikke er tillatt. v HOD V12.0 inneholder et grafisk grensesnitt for det eksisterende kommandolinjeverktøyet DirUtil for Windows og Linux. v Kopier som bilde gjør det mulig for sluttbrukerne å kopiere grønne skjermer (visningsområdet) eller en del av skjermene som et bilde. v Funksjonen Skriv ut grafikk basert på Skriv ut grafikk i PCOMM. Den skriver ut et merket område på skjermen som et bilde. v HOD-administratoren kan finne HOD-tjenerens versjon ved å utføre et skript eller en satsfil som er tilgjengelig for alle støttede operativsystemer. v Støtte i HOD V12.0 for nettlesere uten Java-plugin. v HOD V12.0 bruker IBM Installation Manager på alle støttede plattformer. v HOD V12.0 inneholder en frittstående klientpakke som fungerer uten å være avhengig av HOD-tjeneren. v HOD v12.0 kan installeres som en 64-bits applikasjon på et 64-bits operativsystem. HOD Tjenestestyrer kjører som en 64-bits prosess. v HOD V12.0 støtter Windows 10. Kapittel 1. Innføring i IBM Host On-Demand 9

10 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Kapittel 2. Planlegge for distribusjon Host On-Demand gir tilgang til vertsapplikasjoner fra en nettleser. Nettleseren laster ned Host On-Demands Java-applett fra web-tjeneren og oppretter deretter forbindelse til en hvilken som helst Telnet-tjener for å få tilgang til vertsapplikasjoner. Host On-Demand-appletten trenger konfigurasjonsopplysninger for å bestemme hvilken vertsmaskin den skal koble seg til, og andre egenskaper for vertssesjon. Disse konfigurasjonsopplysningene kan fremskaffes for Host On-Demand-appletten fra en HTML-fil som blir brukt til å starte Host On-Demand, eller fra Host On-Demand-konfigurasjonstjeneren. Konfigurasjonstjeneren er en del av Host On-Demand som er et sentralt lager for sesjonskonfigurasjonsopplysninger og brukerinnstillinger etter bruker- og gruppe-ider. Brukere kan få tilgang til sesjonsopplysninger og brukerinnstillinger ved å kontakte konfigurasjonstjeneren. Konfigurasjonstjeneren styres ved hjelp av administrasjonsklienten. Du finner opplysninger om hvordan du konfigurerer Host On-Demand-konfigurasjonstjeneren, i hjelpen. Du kan opprette tilpassede klient-html-filer ved hjelp av distribusjonsveiviseren. Når du oppretter disse HTML-filene, kan du velge mellom tre forskjellige konfigurasjonsmodeller for å oppgi hvordan sesjonskonfigurasjonsopplysninger og brukerinnstillinger skal defineres og administreres. Det er den HTML-baserte modellen, den konfigurasjonstjenerbaserte modellen og den kombinerte modellen. Disse modellene er beskrevet nedenfor. Du finner detaljerte opplysninger om hver modell og fordeler og begrensninger når du bruker modellene, i hjelpen. Forklaring av den HTML-baserte modellen Hvis du velger den HTML-baserte modellen, finnes alle konfigurasjonsopplysningene for vertssesjonen i HTML-filen, og du trenger ikke mer for å definere vertssesjoner. Du trenger derfor ikke å bruke konfigurasjonstjeneren når du skal definere sesjoner, og det betyr at du ikke trenger å åpne en port i brannmuren. Hvis du lar brukerne lagre endringer i konfigurasjonsopplysningene for vertssesjonen, blir endringene lagret på det lokale filsystemet der nettleseren kjører. Du anbefales å ikke bruke port 8999, fordi du ikke trenger å starte HOD-tjeneren ved å bruke den HTML-baserte modellen. I dette tilfellet lagres tjenerressursen. Denne muligheten til å definere konfigurasjonsopplysninger i HTML-filene er bare tilgjengelig på klienter som er opprettet ved hjelp av distribusjonsveiviseren. Copyright IBM Corp. 1997, 2016 11

HTML-basert modell Brannmur Nettleser Web-tjener Lokale innstillinger Telnet-tjener Figur 2. HTML-basert modell Forklaring av den konfigurasjonstjenerbaserte modellen I den konfigurasjonstjenerbaserte modellen blir vertssesjonsopplysninger vedlikeholdt på konfigurasjonstjeneren ved hjelp av administrasjonsklienten, og opplysningene blir definert ved hjelp av en bruker- og gruppestruktur. Konfigurasjonstjeneren lagrer som standard dataene direkte på Host On-Demand-tjenermaskinen, selv om den kan konfigureres til å bruke LDAP i stedet. Brukere får tilgang til konfigurasjonene sine ved hjelp av tilpassede HTML-filer opprettet i distribusjonsveiviseren, eller ved å bruke en av flere HTML-filer som følger med som en del av Host On-Demand. Bruker-IDer blir definert på konfigurasjonstjeneren, og i de fleste tilfeller må brukeren logge seg på Host On-Demand-tjeneren før han kan vise sesjonene sine. Hvis administratorer lar brukerne lagre endringer, blir brukerinnstillingene lagret på konfigurasjonstjeneren etter bruker-id. Fordi tilpasninger blir lagret på konfigurasjonstjeneren, kan denne modellen være å foretrekke hvis brukerne trenger å få tilgang til sesjonene sine fra flere maskiner. Som standard kommuniserer nettlesere direkte med konfigurasjonstjeneren. Hvis du kommuniserer gjennom en brannmur, må du åpne konfigurasjonstjenerens port i brannmuren. Alternativt kan du bruke konfigurasjonsservletten for å fjerne behovet for å åpne konfigurasjonstjenerens port i brannmuren. Nettleseren kobles til konfigurasjonsservletten over en HTTP- eller HTTPS-tilkobling, og konfigurasjonsservletten samvirker deretter med konfigurasjonstjeneren. Se Konfigurere konfigurasjonsservletten hvis du vil ha mer informasjon om hvordan du bruker konfigurasjonsservletten. 12 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Konfigurasjonstjenerbasert modell og kombinert modell Brannmur Web-tjener Nettleser Lokale innstillinger Host On-Demand Tjenestestyrer/ konfigurasjonstjener Lokalt filsystem eller LDAP Bare kombinert modell Telnet-tjener Figur 3. Konfigurasjonstjenerbasert modell og kombinert modell Konfigurasjonstjenerbasert modell og kombinert modell som bruker konfigurasjonsservletten Nettleser Brannmur Web-tjener Konfigurasjonsservlett Lokale innstillinger Host On-Demand Tjenestestyrer/ konfigurasjonstjener Lokalt filsystem eller LDAP Bare kombinert modell Telnet-tjener Figur 4. Konfigurasjonstjenerbasert modell og kombinert modell som bruker konfigurasjonsservletten Forklaring av den kombinerte modellen Host On-Demand støtter en kombinert modell der vertssesjonsinformasjon blir definert på konfigurasjonstjeneren (som for den konfigurasjonstjenerbaserte modellen), og brukeroppdateringer blir lagret på brukerens maskin (som for den HTML-baserte modellen). I likhet med den HTML-baserte modellen trenger heller ikke brukerne av den kombinerte modellen å logge seg på Host On-Demand-tjeneren for å vise sine sesjoner. Kapittel 2. Planlegge for distribusjon 13

Distribusjonsvurderinger for klienter Ved distribusjonsvurderinger for klienter må du dessuten velge om du skal bruke hurtigbufrede klienter, nedlastingsklienter eller Web Start-klienter (se Kapittel 10, Bruke Host On-Demand-emulatorklienter, på side 73), og hvilken versjon av Java du skal bruke (se Kapittel 3, Planlegge for Java på klienten, på side 15). 14 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Kapittel 3. Planlegge for Java på klienten Dette kapittelet gir detaljert informasjon knyttet til kjøring av Host On-Demand-klienten på en Java aktivert nettleser. v Forbedringer i hurtigbufret klient for Java beskriver funksjoner i den hurtigbufrede Host On-Demand Java-klienten. v Utvidede funksjoner med Java på side 16 beskriver avanserte funksjoner i Host On-Demand-klienten som bare er tilgjengelige med en Java-aktivert nettleser. v Mac OS X med Java på side 17 omhandler spørsmål i forbindelse med bruk av Apple Mac OS X som en Host On-Demand-klient sammen med Java. v Nettlesere og Java-plugin-moduler på side 18 omhandler spørsmål i forbindelse med bruk av Java-aktiverte nettlesere og Java-plugin-moduler. Forbedringer i hurtigbufret klient for Java Disse forbedringene i den hurtigbufrede Java-klienten gjør den like brukervennlig og fleksibel som den hurtigbufrede Java 1-klienten. Med den hurtigbufrede Java-klienten kan du gjøre dette: v Installere den hurtigbufrede Java-klienten fra en LAN-stasjon eller DVD-stasjon. Du finner flere opplysninger i Installere den hurtigbufrede klienten fra et lokalnett eller en DVD på side 76. v Dele den hurtigbufrede Java-klienten mellom flere brukere på Windows. Du finner flere opplysninger i Støtte for hurtigbufret klient for Windows på side 80. v Fjerne den hurtigbufrede Java-klienten i en enkelt operasjon uten å behøve å tømme Java-plugin-modulens hurtigbuffer. Du finner flere opplysninger i Fjerne den hurtigbufrede klienten på side 78. v Oppgradere den hurtigbufrede Java-klienten i bakgrunnen. Merk: Denne begrensningen gjelder: v Brukere som oppgraderer den hurtigbufrede klienten fra Host On-Demand v7 til Host On-Demand v11, kan ikke velge å oppgradere klienten i bakgrunnen. v Enkelte typer av hurtigbufrede Java-klienter kan ikke oppgraderes i bakgrunnen. Se Begrensninger for støtte hvis du ønsker flere opplysninger. Så godt som alle hurtigbufrede Host On-Demand Java-klienter støtter disse forbedringene. Java Web Start-klienten støtter også disse forbedringene. Begrensninger for støtte Disse typene av hurtigbufrede Java-klienter støtter ikke forbedringene i den hurtigbufrede Java-klienten: v Web Start-klient v Vinduet Behandle samling for Innsamling av skjermbildeutskrifter v Støtte for SSH (secure Shell) for VT-skjermsesjoner og sikre File Transfer Protocol-sesjoner (sftp-sesjoner) v Automatisk IME/konvertering på stedet (On-the-spot Conversion) Copyright IBM Corp. 1997, 2016 15

v Utvidelsene i skjermbildeutskrift v Internet Protocol versjon 6 (IPv6) v Tilgjengelighetsfunksjoner v Støtte for doble taster v Tastgruppevindu som kan tilpasses av brukeren v Støtte for musehjul v For toveisspråk er det nå støtte for IDer for kodet tegnsett (CCSIDer) i OS/400 for visning av Unicode-tegn. Utvidede funksjoner med Java Når du bruker en Java aktivert nettleser med en Java-plugin-modul, kan du benytte følgende avanserte funksjoner i Host On-Demand-klienten. Du finner flere opplysninger om Java-aktiverte nettlesere i Nettlesere og Java-plugin-moduler på side 18. v Web Start-klient v Vinduet Behandle samling for Innsamling av skjermbildeutskrifter v Støtte for SSH (Secure Shell) for VT-skjermsesjoner og sikre File Transfer Protocol-sesjoner (sftp-sesjoner) v Automatisk IME/konvertering på stedet (On-the-spot Conversion) v Utvidelsene i skjermbildeutskrift v Internet Protocol versjon 6 (IPv6) v Tilgjengelighetsfunksjoner v Støtte for doble taster v Tastgruppevindu som kan tilpasses av brukeren v Støtte for musehjul v For toveisspråk er det støtte for IDer for kodet tegnsett (CCSIDer) i OS/400 for visning av Unicode-tegn. Laste ned en klient med Java Det finnes enkelte begrensninger når du laster ned en klient med Java. Kan ikke laste ned en komponent som ikke er med på nedlastingslisten Med Java-nedlastingsklienten kan en bruker ikke laste ned en Host On-Demand-klientkomponent som ikke er med på den opprinnelige nedlastingslisten. Du må derfor oppgi alle komponenter som brukerne kan få behov for, på nedlastingslisten. Denne begrensningen skyldes en konflikt mellom metoden som en nedlastingsklient bruker for å laste ned komponenter som ikke er med på nedlastingslisten, og sikkerhetsbegrensninger i Java-plugin-modulen. HTML-filer inneholder ikke enkelte komponenter Med Java inneholder HTML-filene for standard nedlastingsklienter (HOD_xx.html, der xx er språkkoden på to bokstaver) ikke følgende klientkomponenter: v Dataoverføring v 5250-filoverføring v Støtte for 5250-vertsutskrift v Import/eksport 16 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

v SLP Mac OS X med Java v Thai-sesjoner v FTP-kodesettkonverterer v Bidi-sesjoner v 5250 Hindi-sesjoner v DBCS-sesjoner som bruker UDC-innstillinger v ZipPrint i DBCS-sesjoner IBM har fjernet disse mindre brukte komponentene fra nedlastingslisten for standard HTML-nedlastingsfiler for Java for å redusere nedlastingstiden. Med Java-nedlastingsklienten kan komponenter som ikke er med på nedlastingslisten, imidlertid ikke lastes ned senere. Hvis du vil ha med alle eller enkelte av disse komponentene på nedlastingslisten, kan du gjøre ett av følgende: v Bruk distribusjonsveiviseren og opprett en Java-HTML-fil for nedlastingsklienten eller den hurtigbufrede klienten som inneholder de komponentene du trenger. v Bruk standard HTML-fil for den hurtigbufrede klienten (HODCached_xx.html, der xx er språkkoden på to bokstaver) i stedet for standard HTML-fil for nedlastingsklienten. v Bruk feilsøkingsversjonen av standard nedlastingsklient (HODDebug_xx.html, der xx er språkkoden på to bokstaver, for eksempel no for norsk). Feilsøkingsversjonen inneholder alle komponentene. Feilsøkingsversjonen av standard nedlastingsklient er imidlertid større enn versjonen uten feilsøking. Host On-Demand Mac OS X-emulatorklientene og -databaseklientene støtter Safari, Firefox og Mac-versjonen av Internet Explorer. Host On-Demand støtter ikke administrasjonsklientene på Mac OS X. Host On-Demand versjon 12.0 støtter Java 1.6 eller høyere. Støtten for doble taster krever Java Plug-in 1.4.2 eller nyere på Macintosh-klienter. Host On-Demand versjon 11 støtter Java 1.6 eller høyere. Begrensninger for Mac OS X Mac OS X støtter ikke forbedringene i den hurtigbufrede Java-klienten som er beskrevet i Forbedringer i hurtigbufret klient for Java på side 15. Du finner flere opplysninger i Støtte for hurtigbufret klient for Mac OS X (bare Java-klienter) på side 81. Noe lengre oppstartingstid med Java-klienter Med en Java aktivert nettleser tar det noe lengre tid å starte Host On-Demand-klienten (5 til 15 sekunder, avhengig av type arbeidsstasjon). Forsinkelsen skyldes at systemet laster inn Java-plugin-modulen. Med en Java aktivert nettleser tar det også noe lengre tid å starte en vertssesjon i Host On-Demand-klientarbeidsområdet. Begrensninger for bestemte Java-plugin-moduler Hvis du bruker en Oracle Java-plugin og hindi-tegn ikke vises riktig, må du kontrollere at du bruker nyeste Sun JRE-nivå. Kapittel 3. Planlegge for Java på klienten 17

Begrensninger med egendefinerte appletter og Java Hvis en bruker kjører en egendefinert applett (en applett som er skrevet av kunden selv eller en tredjepart) sammen med en sesjon (for eksempel en 3270-skjermsesjon) som er startet fra en Java Host On-Demand-klient, og hvis denne appletten krever Java-tillatelser, må ett av følgende være tilfelle for å oppfylle sikkerhetskravene i Java: v Appletten må være arkivert i en signert Java.JAR-fil. v Tillatelsene må tidligere være gitt på arbeidsstasjonen med Java Policy Tool, som leveres med Java-plugin-modulen. Hvis du ikke oppfyller sikkerhetskravene i Java, mislykkes appletten uten at du får noen feilmelding. Begrensninger med begrensede brukere og Java Begrensede brukere har ikke autorisasjon til å installere Java-plugin-modulen. En bruker med autorisasjon som administrator må laste inn Java-plugin-modulen. Nettlesere og Java-plugin-moduler Her omhandles spørsmål i forbindelse med bruk av Java aktiverte nettlesere og Java 2 plugin-moduler. Java-aktiverte nettlesere En Java aktivert nettleser har ingen JVM inkludert. Den kan vise HTML-filer uten en JVM, men den må ha en Java-plugin-modul installert hvis den skal starte en Java-applett, som Host On-Demand-klienten. Eksempler på Java aktiverte nettlesere er Firefox og Microsoft Internet Explorer med Java-plugin-modulen installert. Nettlesere og plugin-moduler som støttes av Host On-Demand-klienter Brukere med klientstasjoner som kjører Windows, kan laste ned IBM Java-plugin-modulen fra en Host On-Demand-tjener. Etter hvert som leverandører av Java-plugin-moduler, som Oracle og IBM, publiserer nye versjoner av sine Java-plugin-moduler og IBM utvider Host On-Demand til å støtte disse nye versjonene, vil IBM annonsere støtte for de nye versjonene på Host On-Demand-nettstedet. Microsoft Internet Explorer med en Java-plugin-modul Når en Java-plugin-modul er riktig installert og konfigurert på en Windows-klientstasjon, fungerer Microsoft Internet Explorer som en Java-aktivert nettleser, avhengig av hvordan Host On-Demand velger å starte klienten. Firefox med en Java-plugin-modul Når du skal kjøre en Java-applett på Firefox, må du installere en Java 2-plugin-modul. Som en konsekvens av dette forventer Host On-Demand at du konfigurerer Java-plugin-modulen slik at den er standard Java Runtime for Firefox. Du finner en beskrivelse av hvordan du kontrollerer og endrer denne innstillingen, i Definere standard Java Runtime for en Java-aktivert nettleser i hjelpen. 18 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Merk: Begrensede brukere, for eksempel begrensede brukere som deler en hurtigbufret klient på Windows, eller begrensede brukere på en Linux- eller AIX-arbeidsstasjon, kan ikke installere Java-plugin-modulen. Kapittel 3. Planlegge for Java på klienten 19

20 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Kapittel 4. Planlegge for sikkerhet Enten du implementerer Host On-Demand på et bedriftsnettverk eller bruker programmet til å gi tilgang til dine vertssystemer over Internett, må du tenkte på sikkerheten. Dette kapittelet inneholder en oversikt over Host On-Demand-sikkerhet. v TLS (Transport Layer Security). Sørger for kryptering, sertifikatbasert autentisering og sikkerhetsforhandlinger over en etablert Telnet- eller FTP-tilkobling. Se TLS for Host On-Demand på side 23 hvis du ønsker flere opplysninger. v Omdirigeringsfunksjonen. Støtter TLS mellom Host On-Demand-klienter og Host On-Demand-tjeneren. Se Omdirigeringsfunksjonen på side 28 hvis du ønsker flere opplysninger. v Brannmurer. Du kan konfigurere Host On-Demand til å gå gjennom en brannmur. Se Bruke Host On-Demand med en brannmur på side 31 hvis du ønsker flere opplysninger. v Sikkerhet for bruker-ider. Omfatter web-hurtigpålogging, intern autentisering og Windows-domenepålogging. Se Sikkerhet for bruker-ider på side 36 hvis du ønsker flere opplysninger. v FIPS-miljøer (Federal Information Processing Standards). Se FIPS-miljøer på side 36 hvis systemmiljøet krever at sikkerhetskomponentene bruker FIPS-sertifiserte komponenter/moduler. TLS (Transport Layer Security) Slik fungerer TLS-sikkerhet TLS er basert på SSL-protokollen. TLS bruker håndtrykkprotokollen for opprettelse av klient/tjener-autentisering og -kryptering. Hvis du ønsker detaljerte opplysninger om TLS, kan du se beskrivelsen av TLS-protokollen versjon 1.0. TLS-protokollen bruker kryptografiteknologi som benytter fellesnøkler og symmetriske nøkler. Kryptografi med fellesnøkkel bruker et par av nøkler, en fellesnøkkel og en privat nøkkel. Informasjon som krypteres med en nøkkel, kan bare dekrypteres med den andre nøkkelen. For eksempel kan informasjon som er kryptert med fellesnøkkelen, bare dekrypteres med den private nøkkelen. Fellesnøkkelen for hver tjener blir publisert, og den private nøkkelen blir hemmeligholdt. For å sende en sikker melding til tjeneren, krypterer klienten meldingen ved hjelp av tjenerens fellesnøkkel. Når tjeneren mottar meldingen, dekrypterer den meldingen med sin private nøkkel. Kryptografi med symmetrisk nøkkel bruker den samme nøkkelen til å kryptere og dekryptere meldinger. Klienten genererer tilfeldig en symmetrisk nøkkel som skal brukes til å kryptere alle sesjonsdata. Nøkkelen blir så kryptert med tjenerens fellesnøkkel og sendt til tjeneren. TLS gir tre grunnleggende sikkerhetstjenester: Hemmeligholdelse av meldinger Blir oppnådd ved hjelp av en kombinasjon av kryptering med fellesnøkkel og symmetrisk nøkkel. All trafikk mellom en klient og en tjener blir Copyright IBM Corp. 1997, 2016 21

kryptert ved hjelp av en nøkkel og en krypteringsalgoritme som blir forhandlet frem under konfigurering av sesjonen. Meldingsintegritet Sørger for at sesjonstrafikk ikke endres når den er underveis til det endelige bestemmelsesstedet. TLS bruker en kombinasjon av felles-/privatnøkler og funksjoner for nøkkeltransformering til å sørge for meldingsintegritet. Gjensidig autentisering Utveksling av identifikasjon gjennom fellesnøkkelsertifikater. Klientens og tjenerens identitet blir kodet i fellesnøkkelsertifikater, som inneholder følgende komponenter: Tabell 2. Tips v Entydig navn på innehaver v Entydig navn på utsteder v Innehavers fellesnøkkel v Utsteders underskrift v Gyldighetsperiode v Serienummer Du kan også bruke sikker HTTP (HTTPS) hvis du vil sikre at en klients sikkerhetsopplysninger ikke blir utsatt for fare når de lastes ned fra en tjener. Sertifikater Sikkerheten blir kontrollert av digitale sertifikater som fungerer som elektroniske ID-kort. Formålet med et sertifikat er å overbevise et program eller en bruker om at det er sikkert å tillate den foreslåtte tilkoblingen, og, hvis kryptering er involvert, å overlevere de nødvendige nøklene for kryptering/dekryptering. Disse blir vanligvis utstedt av sertifikatutstedere (CAer), som er organisasjoner som er klarert av hele bransjen og som er profesjonelle utstedere av Internett-sertifikater. Et sertifikat fra en CA, også kalt rotsertifikat, inneholder (blant annet) CAens signatur og en gyldighetsperiode. Kryptering og autentisering blir utført ved hjelp av et par av nøkler, en felles og en privat. Fellesnøkkelen blir lagt inn i et sertifikat, som også kalles et steds- eller tjenersertifikat. Sertifikatet inneholder flere felt med informasjon, blant annet navnet på sertifikatutstederen (CA) som utstedte sertifikatet, navnet og fellesnøkkelen til tjeneren eller klienten, CAens signatur og dato og serienummer for sertifikatet. Den private nøkkelen blir opprettet når du oppretter et egensignert sertifikat eller en CA-sertifikatforespørsel, og den brukes til å dekryptere meldinger fra klienter. En TLS-sesjon blir opprettet på denne måten: 1. Klienten og tjeneren utveksler hallo-meldinger for å forhandle om krypteringsalgoritmen og funksjonen for nøkkeltransformering (for meldingsintegritet) som skal brukes for sesjonen. 2. Klienten ber om et X.509-sertifikat fra tjeneren for å bevise tjenerens identitet. Eventuelt kan tjeneren be om et sertifikat fra klienten. Sertifikater blir kontrollert ved at sertifikatformatet og gyldighetsdatoene sjekkes, og det blir bekreftet at sertifikatet inneholder signaturen til en klarert sertifikatutsteder (eller er egensignert). 22 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

3. Klienten genererer tilfeldig et sett av nøkler som brukes for kryptering. Nøklene blir kryptert med tjenerens fellesnøkkel og blir kommunisert på en sikker måte til tjeneren. TLS for Host On-Demand Det finnes tre områder der du kan konfigurere sikkerhet for Host On-Demand: sesjonssikkerhet, web-tjenersikkerhet og konfigurasjonssikkerhet. Sesjonssikkerhet Host On-Demand versjon 12.0 bruker TLS-protokollen til å sørge for sikkerhet for emulator- og FTP-sesjoner. TLS-protokollen gir kommunikasjonssikkerhet over et TCP/IP-nettverk. TLS er utformet for å forhindre lytting, endring eller forfalskning av meldinger. TLS har også en struktur som gjør det enkelt å ta med nye kryptografiske algoritmer. Host On-Demand støtter kryptering av emulerings- og FTP-sesjoner og tjener-/klientautentisering i henhold til TLS Protocol versjon 1.0. Det gis støtte for følgende: v RSA type-4 datakryptering på tilkoblinger mellom Host On-Demand-klienter og Telnet- eller FTP-tjenere som støtter TLS versjon 1.0, 1.1 og 1.2 v X.509-sertifikater. v Bulkkrypteringsalgoritmer med nøkler på opptil 168 biter. v Autentiseringsalgoritmer med nøkler på opptil 2048 biter. v Tjener- og klientautentisering. v Støtte for lagring og bruk av klientsertifikater på klientsystemet. v Valgfri forespørsel om klientsertifikat til bruker når tjeneren ber om det. v Indikatorer for sikre sesjoner. Det blir vist et låseikon på sesjonens statuslinje for å angi for brukeren at sesjonen er sikker. Krypteringsstyrken, for eksempel 64, 128 eller 256, blir også vist ved siden av låseikonet og når brukeren peker på låseikonet. For Host On-Demand kan du bruke en CAs sertifikat, men du kan også opprette ditt eget egensignerte sertifikat, slik det er beskrevet i emnet Bruke et egensignert sertifikat i hjelpen på systemet. Det følger med et grafisk verktøy for sertifikatadministrasjon (tilgjengelig på Windows- og AIX-plattformer) som v oppretter sertifikatforespørsler v mottar og lagrer sertifikater v oppretter egensignerte sertifikater IKEYCMD er et verktøy, i tillegg til programmet Sertifikatadministrasjon, som kan brukes til å administrere nøkler, sertifikater og sertifikatforespørsler. IKEYCMD har de samme funksjonene som Sertifikatadministrasjon og skal kjøres fra kommandolinjen uten et grafisk grensesnitt. Du finner flere opplysninger i Tillegg B, Bruke IKEYCMD-kommandolinjegrensesnittet, på side 141. For å støtte TLS-tjenester bruker Host On-Demand seks databaser: HODServerKeyDb.kdb Du oppretter HODServerKeyDb.kdb første gang du konfigurerer TLS for Host On-Demand-omdirigeringsfunksjonen. Denne databasen inneholder tjenerens private nøkkel og sertifikat og dessuten en liste over Kapittel 4. Planlegge for sikkerhet 23

CA-sertifikater (eller signatarsertifikater). Disse CAene betraktes som kjente og er klarert av Host On-Demand-tjeneren. Du kan tilføye sertifikater fra andre CAer (ukjente CAer) og sertifikater som du oppretter og signerer selv (egensignerte) til denne databasen. Se Omdirigeringsfunksjonen på side 28 hvis du ønsker flere opplysninger. HODServerKeyStore.jks Omdirigeringsfunksjonen kan konfigureres for å bruke Java Secure Socket Extenstion (JSSE) i stedet for GSKit. Når omdirigeringsfunksjonen er konfigurert med JSSE, leser omdirigeringsfunksjonen den private nøkkelen og sertifikatene fra HODServerKeyStore.jks. Se beskrivelsen av omdirigeringsfunksjonen hvis du ønsker mer informasjon. CustomizedCAs.p12 CustomizedCAs.p12 er en fil i PKCS#12-format, som inneholder rotsertifikatene fra ukjente CAer og egensignerte sertifikater som ikke står på WellKnownTrusted-listen. Hvis du bruker et egensignert sertifikat eller et sertifikat fra en ukjent utsteder (CA), må du opprette eller oppdatere CustomizedCAs.p12. Host On-Demand installerer ikke filen CustomizedCAs.p12 som standard. Filen CustomizedCAs.p12 file er en nyere versjon av filen CustomizedCAs.class, som du kan ha opprettet i en tidligere versjon av Host On-Demand. Filen CustomizedCAs.class støtter Host On-Demand versjon 7-klienter og tidligere klienter, og den ligger som standard i publiseringskatalogen. Når du oppgraderer til versjon 12, på Windows eller AIX, finner Host On-Demand-installeringsprogrammet filen CustomizedCAs.class, oppretter den nye filen CustomizedCAs.p12 og legger den i publiseringskatalogen. Begge filene beholdes i publiseringskatalogen og er tilgjengelige for klienter med forskjellige versjoner. Hvis du bruker en separat brukerpubliseringskatalog og ikke standard publiseringskatalog, oppdager ikke Host On-Demandinstalleringsprogrammet CustomizedCAs.class, og du må kjøre migreringsverktøyet manuelt fra kommandolinjen. Hvis du oppretter filen CustomizedCAs.p12 for første gang med sertifikatadministrasjonsfunksjonen i Host On-Demand (IKEYMAN), trenger du også den eldre filen CustomizedCAs.class i publiseringskatalogen slik at eldre klienter fortsatt kan fungere sammen med den nye tjeneren. Hvis du senere oppdaterer CustomizedCAs.p12, må du dessuten sørge for at endringene blir utført i CustomizedCAs.class også. På Windows-plattformer er det slik at hvis disse filene ligger i standard publiseringskatalog, c:\programfiler\ibm\hostondemand\ HOD, blir filen CustomizedCAs.class automatisk oppdatert sammen med filen CustomizedCAs.p12 hver gang du åpner IKEYMAN for å oppdatere CustomizedCAs.p12 og deretter lukker IKEYMAN. Hvis filene ikke ligger i standard publiseringskatalog, må du kjøre verktøyet for omvendt migrering manuelt fra din publiseringskatalog med kommandoen nedenfor. Kommandoen blir vist på tre linjer, men du skriver den på en linje...\hod_jre\jre\bin\java -cp..\lib\sm.zip; com.ibm.enetwork.hod.convert.cvt2sslight CustomizedCAs.p12 hod CustomizedCAs.class På AIX bruker du følgende kommando for å kjøre verktøyet for omvendt migrering manuelt fra publiseringskatalogen og oppdatere CustomizedCAs.class med endringene du har gjort i CustomizedCAs.p12. Kommandoen blir vist på tre linjer, men du skriver den på en linje. 24 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

../hod_jre/jre/bin/java -cp../lib/sm.zip com.ibm.enetwork.hod.convert.cvt2sslight CustomizedCAs.p12 hod CustomizedCAs.class CustomizedCAs.class CustomizedCAs.class er en Java-klassefil som inneholder sertifikatene fra ukjente CAer og egensignerte sertifikater som ikke står på WellKnownTrusted-listen. Hvis du bruker et egensignert sertifikat eller et sertifikat fra en ukjent utsteder (CA), må du oppdatere CustomizedCAs.class. Vær oppmerksom på at du ikke lenger kan opprette eller oppdatere filen CustomizedCAs.class ved hjelp av Sertifikatadministrasjon på Windows- og AIX-plattformer. I Host On-Demand versjon 9 og nyere kan du bare opprette en nyere versjon av filen kalt CustomizedCAs.p12. Alle klientene støtter imidlertid det gamle formatet. Du finner flere opplysninger i beskrivelsen av CustomizedCAs.p12 ovenfor. WellKnownTrustedCAs.class, WellKnownTrustedCAs.p12 og WellKnownTrustedCAs.jks WellKnownTrustedCAs.class, WellKnownTrustedCAs.p12 og WellKnownTrustedCAs.jks er filer levert av Host On-Demand som inneholder fellessertifikatene fra alle CAene som er klarert av Host On-Demand. Du må ikke endre disse filene. WellKnownTrustedCAs.class/WellKnownTrustedCAs.p12 og WellKnownTrustedCAs.jks, CustomizedCAs.p12 og/eller CustomizedCAs.class og CustomizedCAs.jks må ligge i Host On-Demand-publiseringskatalogen. Host On-Demand-klienten bruker disse filene til å klarere tjenerens sertifikat under TLS-håndtrykket. CustomizedCAs.jks Filen CustomizedCAs.jks er forskjellig fra filen CustomizedCAs.p12 som brukes for SSLite når Bruk JSSE er satt til No. Du kan opprette en CustomizedCAs.jks-fil ved å konvertere den eksisterende CustomizedCAs.p12-filen til JKS-format, eller ved å opprette en ny fil med dette formatet. Du kan bruke funksjonen Sertifikatadministrasjon som installeres sammen med Host On-Demand, eller kommandolinjeverktøyet keytool.exe, som er et Java-verktøy for administrasjon av nøkler og sertifikater, og som er tilgjengelig i JRE for dette formålet. Grunnleggende TLS-aktivering for Host On-Demand-klienter Når du velger TLS-protokollen for Host On-Demand-klienten, blir det opprettet en grunnleggende TLS-sesjon. Under TLS-forhandlingsprosessen presenterer tjeneren sitt sertifikat for klienten. Med grunnleggende TLS-aktivering må sertifikatet være signert av en utsteder som klienten har klarert. Klienten kontrollerer først WellKnownTrustedCAs.class/WellKnownTrustedCAs.p12 og deretter CustomizedCAs.p12 eller CustomizedCAs.class. Hvis Host On-Demand er konfigurert for å bruke JSSE for TLS-aktivering, blir WellKnownTrustedCAs.jks- og CusomizedCAs.jks-filer brukt. Klienten avviser sesjonen hvis den ikke finner signataren i disse filene. Hvis klienten finner signataren i disse filene, blir sesjonen opprettet. Dette er grunnleggende tjenerautentisering. Host On-Demand gir deg mulighet til å konfigurere en mer utvidet form for tjenerautentisering i klientkonfigurasjonen. Du finner flere opplysninger i neste avsnitt. Tjenerautentisering Kryptering av datautvekslingen mellom klienten og tjeneren er ingen garanti for at klienten kommuniserer med riktig tjener. Du kan unngå denne faren ved å aktivere tjenerautentisering, slik at klienten etter å ha Kapittel 4. Planlegge for sikkerhet 25

kontrollert at tjenerens sertifikat er klarert, kontrollerer om Internett-navnet i sertifikatet stemmer overens med Internatt-navnet på tjeneren. Hvis de er like, vil TLS-forhandlingen fortsette. Hvis ikke, avsluttes forbindelsen umiddelbart. Du finner flere opplysninger i emnet tjenerautentisering i hjelpen. Klientautentisering Klientautentisering likner på tjenerautentisering bortsett fra at Telnet-tjeneren ber om et sertifikat fra klienten for å bekrefte at klienten er den den gir seg ut for å være. Ikke alle tjenere støtter klientautentisering, deriblant Host On-Demand-omdirigeringsfunksjonen. Når du skal konfigurere klientautentisering, må du v skaffe sertifikater for klientene v sende sertifikatene til klientene v konfigurere klientene for å bruke klientautentisering Du finner flere opplysninger i emnet konfigurere klienter for klientautentisering i hjelpen. Hurtigpålogging Det finnes to typer hurtigpålogging: v Web-hurtigpålogging: Med web-hurtigpålogging kan brukerne logge seg på vertssystemer og vertsapplikasjoner uten å måtte oppgi bruker-id og passord. Denne funksjonen fungerer sammen med applikasjonen for nettverkssikkerhet ved å hente brukerens nettverkslegitimasjon og tilordne den til vertsmaskinlegitimasjon, noe som fjerner behovet for flere pålogginger. Avhengig av hvilken vertsmaskin du bruker, kan den automatiske påloggingen være makrobasert eller tilkoblingsbasert. Du finner flere opplysninger i Web Express Logon Reference. v Sertifikathurtigpålogging: Med sertifikathurtigpålogging, som er makrobasert, kan brukerne også logge seg på uten å måtte oppgi bruker-id og passord. Den fungerer på liknende måte som web-hurtigpålogging, men sesjonen må være konfigurert for TLS og klientautentisering, og Communications Server må støtte og være konfigurert for hurtigpålogging. Du finner flere opplysninger i Hurtigpålogging i hjelpen. Tabell 3. Tips Fra og med Host On-Demand V9 tilbyr Web-hurtigpålogging en type påloggingsautomatisering som bruker klientsidesertifikater. Denne modellen kalles sertifikatbasert Web-hurtigpålogging og skiller seg på flere måter fra Sertifikathurtigpålogging. Med Sertifikathurtigpålogging blir klientsertifikater brukt til å autentisere brukere for en TN3270-tjener som er aktivert for Hurtigpålogging og er konfigurert for automatisering av påloggingsprosessen. Med sertifikatbasert Web-hurtigpålogging blir derimot klientsertifikater brukt til å autentisere brukere for en web-tjener eller en applikasjon for nettverkssikkerhet, og påloggingsprosessen er automatisert av en -modul og en makro. Du finner flere opplysninger i Web Express Logon Reference. TLS-basert Telnet-sikkerhet Med Telnet-forhandlet sikkerhet er det mulig å forhandle om sikkerheten mellom klienten og Telnet-tjeneren på den etablerte Telnet-forbindelsen. Du kan konfigurere Telnet-forhandlet sikkerhet for Host On-Demand 3270-skjerm- og -skriversesjoner. Telnet-tjeneren må støtte TLS-basert Telnet-sikkerhet (slik det er beskrevet i IETF Internet-Draft TLS-based Telnet Security) for at Host 26 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

On-Demand-klientene skal kunne bruke Telnet-forhandlet sikkerhet. Communications Server for z/os støtter TLS-basert Telnet-sikkerhet. Du finner flere opplysninger om Telnet-forhandlet sikkerhet i emnet Telnet-forhandlet sikkerhet i hjelpen. Slå opp i dokumentasjonen til Telnet-tjeneren hvis du vil vite mer om hvordan du konfigurerer TLS på Telnet-tjeneren, og les om sikkerhet i hjelpen for å finne ut hvordan du konfigurerer en klient for tilkobling til en sikker Telnet-tjener. TLS-basert FTP-sikkerhet Host On-Demand sørger for TLS-basert sikker filoverføring for FTP-sesjoner. FTP-sesjonen støtter ikke implisitte/ubetingede TLS-forhandlinger for port 990/989. Du bør derfor ikke bruke port 990 til sikre FTP-sesjoner. FTP-sesjonen støtter bare eksplisitte/betingede (AUTH-kommandoen) TLS-forhandlinger for andre porter. FTP-sesjonens sikkerhetsegenskaper er uavhengige av emulatorsesjonens sikkerhetsegenskaper. For en integrert FTP-sesjon må du konfigurere FTP-sikkerhetsinformasjonen ved hjelp av den nye flippen Sikkerhet i FTP-sesjonsegenskapene. Hvis du konfigurerer en emulatorsesjon som sikker og filoverføringstypen er satt til FTP, blir ikke FTP-sesjonen automatisk sikker. I denne situasjonen vises denne meldingen når du klikker på knappen OK: Hvis du ønsker en sikker filoverføringssesjon, må du konfigurere sikkerhetsinformasjonen i Standardverdier for filoverføring. Den TLS-baserte sikre FTP-funksjonen støttes av z/os V1R2 eller senere. Eksempler på når du bør bruke sesjonssikkerhet Dette er eksempler på situasjoner der du bør vurdere å bruke sesjonssikkerhet: v Du vil la kundene bestille produkter via Internett. I denne situasjonen vil du sikre at opplysningene de gir deg, for eksempel kredittkortnummer, blir kryptert slik at de ikke kan stjeles. Du vil også sikre at opplysningene du gir til kundene, er beskyttet. v Du vil gi leverandører og forretningspartnere tilgang til informasjon på vertsmaskinene. Du vil ikke la andre få tilgang til disse dataene. v Du vil at medarbeiderne skal få tilgang til opplysningene på vertsmaskinen din fra fjerntliggende steder eller når de er ute og reiser. v Du vil gi leger tilgang til pasientjournaler fra der de befinner seg, og samtidig sørge for at uautoriserte personer ikke får tilgang til journalene. Web-tjenersikkerhet Du kan konfigurere web-tjeneren til å bruke TLS, slik at datastrømmen fra web-tjeneren til nettleseren blir kryptert. Slå opp i dokumentasjonen til web-tjeneren hvis du vil vite mer om hvordan du konfigurerer web-tjeneren for TLS. Når klienten er lastet inn i en nettleser, kommuniserer den imidlertid direkte med vertsmaskinen. Du kan konfigurere Host On-Demand for TLS-sikkerhet for vertssesjonene. Du finner mer informasjon i emnet Konfigurere TLS i hjelpen. Konfigurasjonssikkerhet Hvis du bruker HTML-modellen, blir sesjonskonfigurasjonsopplysningene kryptert hvis du bruker HTTPS. For alle andre modeller må du konfigurere Host On-Demand til å bruke konfigurasjonsservletten over HTTPS (etter at du har konfigurert web-applikasjonstjeneren) for å kryptere sesjonskonfigurasjonen i stedet for å kommunisere direkte med konfigurasjonstjeneren. Les Installere konfigurasjonsservletten på side 59 i denne boken hvis du lurer på hvordan du installerer konfigurasjonsservletten, og slå opp på konfigurere Kapittel 4. Planlegge for sikkerhet 27

Omdirigeringsfunksjonen konfigurasjonsservletten i hjelpen hvis du vil vite mer om hvordan du konfigurerer klienter for bruk av konfigurasjonsservletten. Omdirigeringsfunksjonen er en tjeneste som kjøres på Host On-Demand-tjeneren, som gjør det mulig for en Host On-Demand-klient å kommunisere med en Telnet-tjener ved å kobles til en omdirigeringsport på Host On-Demand-tjeneren. Vanligvis gjør en Host On-Demand-klient følgende: v Kobles direkte til Host On-Demand-tjeneren for å laste ned klientkoden og få tilgang til felles HTML-filer. v Kobles også direkte til en Telnet-tjener som kjøres på eller er koblet til en 3270-, 5250-, VT- eller CICS-vertsmaskin. Når du bruker omdirigeringsfunksjonen, fungerer imidlertid omdirigeringsfunksjonen som et mellomledd mellom klienten og Telnet-tjeneren. I stedet for å koble seg direkte til Telnet-tjeneren, kobler klienten seg til en omdirigeringsport på Host On-Demand-tjeneren. Omdirigeringsfunksjonen sender deretter dataene som mottas fra klienten, til Telnet-tjeneren. Når Telnet-tjeneren svarer, sender omdirigeringsfunksjonen dataene som mottas fra Telnet-tjeneren, til klienten. Denne prosessen fortsetter til sesjonen avsluttes. Hvorfor bruke omdirigeringsfunksjonen Hvis Telnet-tjeneren ikke støtter TLS og du kjører Host On-Demand på et av operativsystemene som omdirigeringsfunksjonen støtter sikre sesjoner på (se Operativsystemer som støttes av omdirigeringsfunksjonen på side 30), kan du konfigurere Host On-Demand-omdirigeringsfunksjonen for å gi støtte for TLS. Tabell 4. Tips Mange Telnet-tjenere støtter TLS (for eksempel IBM Communications Server på zseries, IBM System i, AIX og NT). Hvis Telnet-tjeneren støtter TLS, anbefaler vi sterkt at du bruker Telnet-tjeneren. Hvis Telnet-tjeneren ikke støtter TLS, tilbyr Communications Server for AIX-omdirigeringsfunksjonen et mer skalerbart alternativ til Host On-Demand-omdirigeringsfunksjonen. Omdirigeringsfunksjonen fungerer som en transparent Telnet-proxy som bruker port-omdefinering til å koble Host On-Demand-tjeneren til andre Telnet-tjenere. Hver definerte tjener kan konfigurere et sett lokale portnumre. I stedet for å koble seg direkte til Telnet-tjeneren som er målet, kobler en klient seg til Host On-Demand-tjeneren og portnummeret. Omdirigeringsfunksjonen tilordner det lokale portnummeret til vertsportnummeret på målet og oppretter en forbindelse. Tabell 5. Anbefaling Den anbefalte løsningen for en Telnet-proxy er å bruke Load Balancer, en funksjon i WebSphere Application Server's Edge Components, eller et liknende produkt som har adressekonvertering som en del av den totale brannmurløsningen, i stedet for Host On-Demand-omdirigeringsfunksjonen. Hvordan omdirigeringsfunksjonen fungerer I figur 5 på side 29 ser du hvordan omdirigeringsfunksjonen sender klientdata til Telnet-tjeneren og sender svardata fra Telnet-tjeneren til klienten. 28 IBM Host On-Demand versjon 12.0: Planlegge, installere og konfigurere Host On-Demand

Figur 5. Slik fungerer omdirigeringsfunksjonen Du kan konfigurere omdirigeringsfunksjonen for en av disse fire modusene: v Overgang Omdirigeringsfunksjonen kommuniserer med Telnet-tjeneren og klienten uten å endre innholdet i dataene. v Klientsiden Klienten og omdirigeringsfunksjonen kommuniserer i en sikker sesjon som bruker TLS (innholdet krypteres/dekrypteres). Omdirigeringsfunksjonen og Telnet-tjeneren kommuniserer i en sesjon som ikke er sikker. v Vertsmaskinsiden Klienten og omdirigeringsfunksjonen kommuniserer i en sesjon som ikke er sikker. Omdirigeringsfunksjonen og Telnet-tjeneren kommuniserer i en sikker sesjon som bruker TLS (innholdet krypteres/dekrypteres). v Begge Klienten og omdirigeringsfunksjonen kommuniserer i en sikker sesjon som bruker TLS (innholdet krypteres/dekrypteres). Omdirigeringsfunksjonen og Telnet-tjeneren kommuniserer i en sikker sesjon som bruker TLS (innholdet krypteres/dekrypteres). Før du bruker modusen Klientsiden, Vertsmaskinsiden eller Begge, må du opprette HODServerKeyDb.kdb eller HODServerKeyStore.jks (hvis konfigurert for å bruke JSSE) for omdirigeringsfunksjonen. Du kan bruke modusen Overgang når det ikke er nødvendig med kryptering for omdirigeringsfunksjonen, enten fordi det ikke er nødvendig å kryptere datastrømmen, eller fordi datastrømmen allerede er kryptert mellom klienten og Telnet-tjeneren. Du må bruke modusen Overgang hvis Host On-Demand-klienten via omdirigeringsfunksjonen kobler seg til et vertssystem som krever klientautentisering eller Hurtigpålogging. Du finner flere opplysninger under Tilføye en vertsmaskin i omdirigeringsfunksjonen i hjelpen. Omdirigeringsfunksjonens belastningskapasitet Du finner anbefalinger for belastningskapasitet for omdirigeringsfunksjonen i Readme-filen. Kapittel 4. Planlegge for sikkerhet 29