ファイアウォール・ポートの構成

構成サーバー・ベース・モデルまたは結合モデルを使用している場合、Z and I Emulator for Web クライアントは構成サーバーと通信する必要があります。ファイアウォールを介してこれを行えるようにするためには、Z and I Emulator for Web のサービス・マネージャー・ポートを開くか、あるいは Z and I Emulator for Web 構成サーブレットを使用する必要があります。サービス・マネージャーは、デフォルトではポート 8999 で listen します。このデフォルトを変更して、使用可能な別のポート番号を使用することもできます。詳しくは、オンライン・ヘルプの 『サービス・マネージャー・ポートの変更』を参照してください。Z and I Emulator for Web 構成サーブレットは、Z and I Emulator for Web クライアントが HTTP または HTTPS を介して構成サーバーと通信できるようにします。したがって、サービス・マネージャー・ポートを ファイアウォールで開く必要はありません。(図 2を参照。) 構成サーブレットの詳しい使用法については、構成サーブレットのインストール およびオンライン・ヘルプの『構成サーブレットの構成 』を参照してください。

HTML ベース・モデルを使用している場合には、Z and I Emulator for Web クライアントが構成サーバーにアクセスするために特に要件が必要となることはなく、また、サービス・マネージャー・ポートをファイアウォールで開く必要もありません。この場合にも、クライアントは、ライセンスをカウントするために構成サーバーに接続しようと試みますが、 サービス・マネージャー・ポートが開いていない場合には、 何も行わずに失敗します。

変更の始まりファイアウォール管理者は、サービス・マネージャー・ポートに加え、 クライアントが使用する機能によって使用されるポートを開くようにしてください。例えば、ポート 5000 上のリダイレクターとの TLS セッションを行う場合は、ポート 5000 を開いて Telnet トラフィックを確保する必要があります。以下の表に、Z and I Emulator for Web で使用可能なポートをまとめます。変更の終わり

表 1. Z and I Emulator for Web の機能と、それによって使用されるポート
Z and I Emulator for Web 機能 使用されるポート
ディスプレイ・エミュレーション (3270 および VT) および 3270 プリンター・エミュレーション 変更の始まり23 (Telnet)、80 (HTTP)、または 443 (TLS) および 8999 (構成サーバー)3変更の終わり
5250 ディスプレイおよびプリンター・エミュレーション 変更の始まり23 (Telnet) または 9921 (TLS) または 80 (HTTP) または 443 (TLS) および 8999 (構成サーバー)3変更の終わり
3270 ファイル転送 変更の始まり23 (Telnet)、80 (HTTP)、または 443 (TLS) および 8999 (構成サーバー)3変更の終わり
5250 ファイル転送 - savfile 80 (HTTP)、8999 (構成サーバー)3、21 (FTP)4、>1024 (FTP)4、446 (drda)4、449 (as-svrmap)4、8470 (as-central)1 2 4、8473 (as-file)1 4、8475 (as-rmtcmd)1 4、および 8476 (as-signon)1 4
5250 ファイル転送 - データベース 80 (HTTP)、8999 (構成サーバー)3、446 (drda)4、449 (as-svrmap)4、8470 (as-central)1 2 4、8473 (as-file)1 4、8475 (as-rmtcmd)1 4、および 8476 (as-signon)1 4
5250 ファイル転送 - ストリーム・ファイル 80 (HTTP)、8999 (構成サーバー)1 2 4、449 (as-svrmap)4、8470 (as-central)1 2 4、8473 (as-file)1 4、および 8476 (as-signon)1 4
FTP 21 (FTP)、80 (HTTP)、8999 (構成サーバー)1 2 4、および 1024 (FTP)5
CICS 2006
Database On-Demand 80 (HTTP)、8999 (構成サーバー)3、449 (as-svrmap)4、8470 (as-central)1 2 4、8471 (as-database)1 4、および 8476 (as-signon)1 4
Z and I Emulator for Web クライアント 23 (Telnet)、80 (HTTP)、および 8999 (構成サーバー)3
管理クライアント 80 (HTTP) および 8999 (構成サーバー) 3
SSH (Secure Shell) 22
表 2. 注記
注:  
1 ポート番号は、コマンド WRKSRVTBLE で変更できます。リストされたポート番号は、デフォルト値です。
2 as-central 用のポートは、 コード・ページ変換テーブルを (EBCDIC と Unicode 間で) 動的に作成する必要がある場合にのみ使用します。これは、JVM およびクライアントのロケールに依存します。
3 構成サーバー・ポートは変更可能です。ポート 8999 がデフォルトです。
4 IBM System i プロキシー・サーバー・サポートを使用している場合、 ファイアウォール上でこれらのポートを開く必要はありません。デフォルトのプロキシー・サーバー・ポート 3470 を開く必要があります。このポートは変更可能です。
5 受動 (PASV) モードの場合には、FTP クライアントがサーバーへの両方の接続を 開始し、サーバーからクライアントへの着信データ・ポート接続がファイアウォール によってフィルター操作されるという問題を解決します。FTP 接続を開くときに、クライアントはローカルで 2 つのランダムな 非特権ポート (N1024 および N+1) を開きます。最初のポートはポート 21 のサーバーと接続しますが、 そのときに PORT コマンドを出してサーバーがそのデータ・ポートに接続できるように するのではなく、PASV コマンドを発行します。その結果、サーバーはランダムな非特権ポート (P1024) を 開き、PORT P コマンドをクライアントに送ります。クライアントは、データを転送するために、ポート N+1 から サーバー上のポート P への接続を開始します。
サーバー側ファイアウォールの立場からは、受動モードの FTP をサポートするためには、以下の通信ポートを開かなければなりません。
  • 任意の場所から FTP サーバーのポート 21 へ (クライアントが接続を開始)
  • FTP のポート 21 からリモート・ポート >1024 へ (サーバーがクライアントの制御ポートに応答)
  • 任意の場所から FTP サーバーのポート >1024 へ (クライアントがサーバーで指定されたランダム・ポートへのデータ接続を開始)
  • FTP サーバーのポート >1024 からリモート・ポート >1024 へ (サーバーが ACK (およびデータ) をクライアントのデータ・ポートに送信)
ファイアウォールでポート 8999 を開きたくない場合は、まだユーザーに Z and I Emulator for Web をアクセスさせることができます。次の 2 つのオプションがあります。
  • すべての構成情報を含む HTML ファイルを作成するには、デプロイメント・ウィザードを使用してください。そうすることにより構成サーバーにアクセスする必要がなくなります。HTML ファイルを作成するときは、デプロイメント・ウィザードの「構成モデル」ページから「HTML ベースのモデル」を選択します。
  • 構成サーバーを使用したい場合は、 構成サーブレットを使用するためにクライアントを構成することができます。Z and I Emulator for Web のオンライン・ヘルプの 『構成サーブレットの構成』を参照してください。このオプションは、Web アプリケーション・サーバーがサーブレットをサポートしている場合にのみ使用できます。

    ファイアウォールによってユーザーの Web ブラウザーから分離された構成サーバーを使用する場合は、ファイアウォールの構成サーバー・ポートを開くか、または Z and I Emulator for Web 構成サーブレットを実行する必要があります。構成サーブレットは HTTP または HTTPS などの標準 Web プロトコルを使用してブラウザーが構成サーバーと通信できるようにします。(図 2を参照してください。)