Pré-annonce : z/os V1.12 : une nouvelle génération de systèmes d'exploitation intelligents voit le jour.

Transcription

1 ZA , dated February 9, 2010 Pré-annonce : z/os V1.12 : une nouvelle génération de systèmes d'exploitation intelligents voit le jour. Table des matières 1 Introduction 3 Description 2 Environnement technique requis 30 Déclaration d'intention 3 Date de disponibilité prévue En bref IBM présente z/os version Avec sa dernière version de z/os, le système d'exploitation intelligent d'ibm entre dans une nouvelle ère : son environnement dynamique est conçu pour vous aider à améliorer l'efficacité de vos opérations, la disponiblité, la gestion et la sécurité grâce à ses capacités innovantes en termes d'auto-apprentissage, auto-gestion et auto-optimisation. Les améliorations incluent : Prévision des problèmes : la fonction Predictive Failure Analysis (PFA) doit contrôler la vitesse à laquelle les enregistrements SMF sont générés. Lorsque la vitesse est anormalement élevée pour un système donné, le système enverra automatiquement une alerte pour vous avertir d'un problème potentiel, et ainsi vous permettre d'éviter une panne. Prise de décision en temps réel en cas de problème système : une nouvelle fonction de z/os, Run Time Diagnostics, doit vous permettre d'identifier les incidents potentiels en moins d'une minute. Partitionnement automatique : les composants GRS et XCF doivent déclencher automatiquement des actions pour préserver la disponibilité du sysplex et réduire l'impact des incidents liés au sysplex et résultant de la non réponse de certains composants critiques. Eviter la fragmentation des données et les interruptions planifiées pour la réorganisation des données : avec la nouvelle fonction CA (Control Area) Reclaim, les applications qui utilisent les fichiers VSAM KSDS (key-sequenced data sets) peuvent bénéficier d'une plus grande performance, d'un espace d'utilisation réduit et d'une meilleure disponibilité des applications en évitant les interruptions planifiées pour défragmenter et réorganiser les données. Partitionnement par charge de travail : la fonction Capacity Provisioning doit utiliser les données de surveillance de CICS et IMS pour déterminer si des resources supplémentaires sont nécessaires pour satisfaire aux besoins de ces charges de travail en termes de niveau de service. Gestion et évolutivité du stockage : la fonction Extended Address Volumes doit supporter des types de fichiers supplémentaires, y compris les fichiers séquentiels (de toute taille), les fichiers de partition (PDS/PDSE), les catalogues et les fichiers BDAM. D'une manière générale, EAV réduit les contraintes de stockage et simplifie la gestion du stockage en permettant de gérer des volumes moins nombreux mais de plus grande taille. Cryptographie renforcée : z/os doit supporter la fonction ECC (Elliptic Curve Cryptography), considérée par la NSA (agence de sécurité nationale américaine) comme un algorithme plus rapide nécessitant une clé plus petite que la cryptographie RSA. Cette fonction intégrée à z/os ne peut être commercialisée séparément. Introduction IBM est une marque déposée d'international Business Machines Corporation 1

2 Imaginez un système informatique qui connaît vos priorités et fait des suggestions, ou prend même des décisions, au profit de votre entreprise. IBM présente z/ OS version Avec sa dernière version de z/os, le système d'exploitation intelligent d'ibm ouvre une nouvelle ère : son environnement dynamique vous aidera à améliorer l'efficacité des opérations, la disponiblité et la gestion grâce à ses capacités innovantes en termes d'auto-apprentissage, auto-gestion et autooptimisation. z/os a été conçu pour apprendre de manière heuristique de son environnement afin d'anticiper et de relever les anomalies système : prévoir les problèmes avant qu'ils n'aient lieu grâce à une fonction innovante appelée Predictive Failure Analysis (PFA). Par exemple, pendant la phase de test de l'application, PFA peut identifier les problèmes potentiels qui étaient jusque là inconnus avant le lancement en production ; en cours de production, cette fonction permettra d'identifier les anomalies avant qu'elles ne devienennt graves. En cas de problème, z/os vous permet d'être plus réactif grace à une assistance à la prise de décision en temps réel. Une nouvelle fonction de z/os, Run Time Diagnostics, doit vous permettre d'analyser rapidement les indicateurs clé d'un système et identifier les causes à l'origine de la dégradation du système. La fonction Run Time Diagnostics doit pouvoir se déclencher en moins d'une minute et retourner des résultats suffisamment rapidement pour vous permettre de choisir parmi plusieurs mesures correctives différentes et vous aider à maintenir un niveau élevé de disponibilité du système et des applications. Dans certaines situations, il est possible que vos opérations soient tellement critiques que l'analyse et l'intervention humaine ne soient pas assez rapides ; le système devra alors être en mesure d'agir de manière rapide et décisive. Dans Parallel Sysplex, les composants GRS et XCF doivent pouvoir déclencher automatiquement des actions pour préserver la disponibilité du sysplex et réduire l'impact des incidents liés au sysplex et résultant de la non réponse de certains composants critiques. Le système peut bloquer, arrêter ou déclencher automatiquement des membres stratégiques afin d'éviter que des problèmes mineurs ne prennent de l'ampleur. En d'autres occasions, z/os maintient la disponibilité de votre système de manière automatique et transparente. z/os est conçu pour éviter les fragmentations et interruptions planifiées pour la réorganoisation des données. Grâce à la nouvelle fonction CA (Control Area) Reclaim, les applications qui utilisent les fichiers VSAM KSDS (key-sequenced data sets) peuvent bénéficier d'une performance améliorée, d'un espace d'utilisation réduit et d'une meilleure disponibilité des applications en évitant les interruptions planifiées pour défragmenter et réorganiser les données. Avec z/os V1.12, vous gagnez du temps et de l'argent. Cette capacité à détecter, décider et résoudre les incidents automatiquement et en un temps record vous permet à votre entreprise de rester agile et réactive face aux besoins métier changeants. Environnement technique requis z/os V1.12 sera compatible avec les serveurs IBM System z suivants : z10 EC z10 BC z9 EC z9 BC Pour consulter la description complète de l'environnement matériel requis pour z/os V1.12, reportez-vous au manuelz/os V1R12 Planning for Installation (GA ), lorsqu'il sera disponible. IBM est une marque déposée d'international Business Machines Corporation 2

3 Date de disponibilité prévue Septembre 2010 Les pré-annonces ont pour objet d'informer le marché sur les projets et orientations d'ibm. Les informations relatives à la disponibilité du produit, au processus de commande, aux tarifs et aux modalités seront communiqués au moment de l'annonce du produit. Description Simplicité d'utilisation Simplifier un système informatique présente de nombreux avantages. Sur le plan des compétences, il augmente la productivité du personnel existant et réduit le temps nécessaire aux nouveaux employés pour gagner en efficacité sur la plate-forme. Il améliore l'efficacité productive globale en réduisant le nombre de composants et d'étapes nécessaires à chaque tâche et en simplifiant les processus existants. La qualité de service et la disponibilité sont également améliorées en réduisant le temps nécessaire à la résolution des problèmes et en diminuant même les probabilités de voir apparaître de nouvelles erreurs. Enfin, votre système informatique sera plus apte à répondre aux besoins de votre entreprise : les systèmes et processus informatiques ne seront plus un obstacle à votre agilité et liberté d'action. Voici l'objectif à long terme affiché par IBM dans cette simplification du mainframe. Plus qu'un «screen scraper» (logiciel de masquage de l'interface) ou qu'un programme de protection pop-up ou plus encore que de nouvelles couches de processus de gestion, IBM a misé sur le long terme en simplifiant un sytème mainframe de l'intérieur et de bout en bout. Les technologies IBM ont prouvé leur efficacité ; la complexité devient moins onéreuse, le risque a un coût moins élevé, la productivité de l'utilisateur est améliorée ainsi que l'agilité globale du système. L'engagement d'ibm pour la simplification du mainframe a toujours été fort et se retrouve aujourd'hui intégré à la plate-forme. CICS Explorer offre aux architectes CICS, développeurs, programmeurs et administrateurs un environnement d'outils commun intégrant un accès à un grand nombre de données ainsi que de fonctions de contrôle. DB2 Data Studio propose un ensemble d'outils intégrés pour gérer toutes les phases du cycle de vie de la gestion des données. IMS a été créé pour fournir un nouvel environnement de développement intégré ainsi qu'une console opérationnelle permettant d'accélérer le temps de développement des nouvelles applications IMS et de renforcer la collaboration entre les administrateurs de base de données IMS, les programmeurs système et les développeurs d'applications. Rational Developer for System z simplifie la collaboration, le développement et le lancement des applications métier et intègre des applications métier clés existantes à des services Web et SOA. Tivoli Service Management Center offre un ensemble de solutions intégrées et les éléments de base qui permettent à une organisation de mettre en place une gestion des services à l'échelle de l'entreprise et un hub d'automatisation des opérations sur System z. Ces téchnologies permettent de réduire considérablement les temps de développement, de déploiement et de gestion des applications. En termes de simplification, z/os présente également de nombreuses améliorations. Les dernières versions de z/os ont bénéficié d'améliorations en matière de simplification des diagnostics et de résolution des problèmes, de gestion des réseaux et de la sécurité, ainsi que de gestion des opérations z/os, de configuration des E/ S, d'administration de sysplex et de stockage. Ces améliorations visent à simplifier la gestion du système, à doper la productivité des développeurs d'applications, des programmeurs et des opérateurs système, ainsi qu'à réduire les risques d'erreur humaine. IBM est une marque déposée d'international Business Machines Corporation 3

4 z/os Management Facility (z/osmf, 5655-S28) est le nouveau visage de z/os et permet la gestion de z/os au moyen d'une console Web moderne. Des tâches automatisées et des assistants guident l'utilisateur et permettent de simplifier les opérations. Sous z/osmf V1.11, une tâche qui prenait jusqu'à 20 minutes, par exemple collecter et conditionner des données de 'dump', ne prend plus que 30 secondes. Pour sa prochaine version, z/osmf V1.12 doit être amélioré grâce à l'ajout de la fonctionnalité z/os Workload Manager Policy Editor, une amélioration des fonctions de journalisation des incidents (Incident Log) et de l'assistant de configuration (Configuration Assistant) déjà très performantes pour z/os Communications Server et la possibilité d'ajouter des points de lancement et liens vers des applications non z/osmf. IBM Health Checker pour z/os a toujours eu pour objectif de simplifier et d'automatiser l'identification des éventuels problèmes de configuration avant qu'ils n'affectent la disponibilité du système en comparant les valeurs et paramètres actifs à ceux suggérés par IBM ou définis lors de votre installation. La fonctionnalité z/os Health Checker est très utile non seulement pour déterminer des exceptions aux configurations z/os mais également pour identifier des actions de migration et contrôler que ces actions de migration sont exécutées avec précision. De plus, les rapports de z/os Health Checker peuvent être utilisés pour favoriser la conformité de votre entreprise. Par exemple, les rapports z/os Health Checker peuvent vous permettre d'identifier les ressources non sécurisées censées être protégées par le programme RACF, de valider la redondance dans une configuration de Parallel Sysplex et peuvent servir dans le cadre des exercices d'évaluation des risques. z/os V1.12 prévoit que les améliorations de z/os Health Checker incluent la fonctionnalité de rédaction de commandes de vérification sur Metal C, et l'ajout de contrôles pour Parallel Sysplex (tels que les meilleures pratiques de calibrage de structure d'unité de couplage, les limites de spécification de Couple Data Set, les règles Sysplex Failure Manager et l'allocation d'unité de couplage), le serveur SMB, DFSMS, I/O Supervisor, TCP/IP IPv4 et IPv6, migration HFS vers zfs, et d'autres encore. D'autres améliorations simples à utiliser sont prévues pour prévenir les erreurs JCL à partir d'un nom de fichier temporaire dupliqué, pour simplifier Language Environment et les migrations vers zfs, simplifier les processus RMF, améliorer les performances et créer une vue personnalisée pour Library Server. Détail des améliorations prévues pour z/os V1.12 en termes de simplicité d'utilisation et de simplification de la plate-forme : Les fonctionnalités suivantes sont prévues pour la prochaine version 1.12 de z/ OSMF : L'assistant de configuration z/osmf pour z/os Communications Server a été prévu pour : -- supporter la configuration de IKE version 2 ; -- mettre les règles de filtrage IPSec en conformité avec la norme RFC4301 ; -- supporter la configuration des chaînes de confiance des certificats et listes de révocation des certificats ; -- supporter la configuration des nouveaux algorithmes cryptographiques pour IPSec et IKE ; -- supporter la configuration du mode de cryptographie FIPS 140 pour IPSec et IKE ; intégrer la fonctionnalité WLM Policy Editor au sein de z/osmf V1.12 pour faciliter la création et l'édition de définitions de service WLM, l'installation de définitions de service WLM et l'activation de règles de service WLM ainsi que le contrôle du statut d'un sysplex et des systèmes d'un sysplex. Les améliorations portant sur la fonction Incident Log incluent le support d'un chiffrement de tous les fichiers d'incidents, y compris les dumps, à envoyer à IBM, la division des dumps en fichiers multiples pouvant être envoyés parallèlement via FTP pour réduire les temps de transmission, la définition de fichiers supplémentaires pour un incident et l'ajout de commentaires en format IBM est une marque déposée d'international Business Machines Corporation 4

5 libre dans les nouveaux champs de description de problèmes et destinations FTP. Il est également prévu que la fonction Incident Log supporte la création d'instantanés de journaux de diagnostic basés sur les fichiers SYSLOG et LOGREC ainsi que les flux de journalisation sysplex OPERLOG et LOGREC. Ces améliorations ont pour objectif de vous aider à gérer les problèmes de données plus facilement. Une interface permettant d'ajouter des points de lancement et liens vers des applications non z/osmf dans l'arborescence de navigation. z/osmf doit supporter Microsoft Internet Explorer 7 et 8, Mozilla Firefox 3.0 et Firefox 3.5. L'environnement de Health Checker est renforcé afin que les vérifications de l'état de santé soient enregistrées sans table de messages et que ces vérifications puissent envoyer des messages directement sans avoir besoin d'utiliser de table des messages. Ceci facilite la rédaction des commandes de vérification de l'état de santé. L'environnement de Health Checker doit fournir des entêtes permettant de rédiger des contrôles d'état à l'aide de Metal C, tout en supportant le langage High- Level Assembler and REXX existant. Le support de langage de niveau élevé facilite la rédaction de vérifications de l'état de santé complexes. Des modèles de vérifications rédigés en METAL C sont également prévus. De nouveaux contôles sont disponibles pour les composants de Parallel Sysplex, XCF et XES. Ils sont destinés à vous prévenir lorsque la taille maximum de l'unité de couplage (CF), telle que définie par la règle du CFRM, dépasse le double de sa taille initiale, lorsque la limite système maximale d'un fichier CDS (Couple Data Set) est inférieure à la limite système du fichier CDS du sysplex principal, lorsqu'un processeur central (CP) partagé est utilisé pour des partitions d'unité de couplage, lorsqu'un protocole de gestion d'événements basé sur les messages du CFRM (Coupling Facility Resource Manager) peut être utilisé pour la gestion d'un événement CFRM mais que le protocole basé sur des règles est utilisé à la place, lorsque votre règle SFM (Sysplex Failure Management) ne spécifie pas que des mesures doivent être prises pour soulager des blocages causés par l'absence de réponse d'un ou de plusieurs utilisateurs de structures CF et lorsqu'une unité de couplage ne dispose pas de l'espace minimum requis pour permettre une nouvelle allocation de structure CF, une extension de structure ou une reprise de CF après basculement. Ces contrôles peuvent vous permettre de corriger et de prévenir les problèmes courants de gestion du sysplex. Le serveur SMB doit apporter deux nouveaux contôles de l'état de santé. Le premier est destiné à détecter l'exécution du serveur SMB dans un environnement de système de fichiers partagés et à vous alerter que le SMB ne peut exporter de système de fichiers zfs «sysplex-aware» en lecture-écriture dans cet environnement ; le second à déterminer si le SMB est configuré pour supporter le protocole RPC (DCE/DFS) et à afficher un message selon lequel IBM prévoit de retirer le support de ce protocole dans une prochaine version. DFSMS se verra ajouter de nouveaux contrôles de l'état de santé pour les communications et fichiers actifs de configuration (COMMDS et ACDS). Un des nouveaux contrôles est destiné à vous avertir que COMMDS et ACDS sont sur le même volume. L'autre est conçu pour identifier les fichiers COMMDS et ACDS définis sans l'attribut REUSE, ce qui est recommandé. Ces nouveaux contrôles vont faciliter la gestion de votre environnement SMS. De nouveaux contrôles ont été créés pour I/O Supervisor (IOS). IBM recommande l'utilisation des nouvelles fonctionnalités MIDAWs et Captured UCB Protection introduites dans les dernières versions et de placer des blocs de contrôle eligibles associés aux E/S au-dessus de la limite de 16 Mo. Ces contrôles de l'état de santé sont destinés à vous informer lorsque ces fonctionnalités ne sont pas utilisées et à vous aider à mieux gérer votre performance système et à optimiser le stockage virtuel. La tâche lancée par la fonction Health Checker doit fonctionner avec un identifiant associé permettant l'accès au profil BPX.SUPERUSER de la FACILITY CLASS. Ceci dispense l'espace d'adresse de Health Checker de disposer d'un UID(0). z/os Communications Server doit renforcer z/os Health Checker for z/os en ajoutant deux nouveaux contrôles : le premier pour le routage IPv4 et le second pour le routage IPv6. Les contrôles déterminent si le nombre total de chemins indirects dans la table de routage de la pile TCP/IP dépasse un seuil maximum IBM est une marque déposée d'international Business Machines Corporation 5

6 (2000 par défaut). Lorsque ce seuil est dépassé, OMPROUTE et la pile TCP/IP peuvent connaître une hausse importante de la consommation de l'uc suite aux changements de routage. Le seuil maximum peut être défini selon deux nouveaux paramètres permettant d'écraser les valeurs par défaut du nombre total de chemins indirects IPv4 et IPv6 dans une table de routage de pile TCP/IP avant que des messages d'alerte ne soient envoyés. IBM recommande l'utilisation des systèmes de fichiers zfs pour z/os UNIX System Services. z/os V1.12 inclut un contrôle de l'état de santé de la migration permettant d'identifier les systèmes de fichiers HFS que vous prévoyez de migrer vers les systèmes de fichiers zfs. Ce contrôle facilite l'obtention et le suivi de la liste des systèmes de fichiers à convertir. Lorsque deux ou plusieurs tâches du même nom sont lancées à la même seconde de l'horloge système et définissent les mêmes noms de fichiers temporaires, la deuxième tâche, ainsi que les suivantes, échoueront en provoquant des erreurs JCL si elles tentent d'attribuer des noms de fichiers en doublon. Avec z/os V1.12, vous pourrez utiliser un nouveau paramètre parmlib pour indiquer que le système utilisera la convention de nommage des fichiers pour les fichiers temporaires sans nom ; la probabilité de générer l'erreur JCL sera alors réduite sans avoir à modifier le langage JCL. Dans la version 1.7 de z/os, la fonction Language Environment permettait de définir des options d'exécution modifiables dans un nouveau membre CEEPRMxx de parmlib. Cette fonction a été étendue dans la version V1.12 pour supporter les options non modifiables (NONOVR). Cette nouvelle fonctionnalité permet de définir les options de Language Environment sans modifications par l'utilisateur, éliminant ainsi la tâche répétitive de la migration. La fonction DFSMSrmm doit être améliorée dans la version 1.12 de z/os. La raison pour laquelle la limite d'archivage d'un DFSMSrmm a été atteinte doit être ajoutée au fichier ACTIVITY. Cette fonction est disponible également sur z/os V1.10 et V1.11 avec le PTF for APAR OA De nouveaux rapports créés à partir des fichiers ACTIVITY et fichiers d'extraction permettront de comprendre pourquoi les limites d'archivage ont été déclenchées. D'autre part, la fonction OPENRULE ignore processing sera disponible pour les copies de bande. Une fonctionnalité permet également de déterminer un attribut de maintien de volume pour éviter l'expiration du délai et pour effectuer des recherches et analyses sur les volumes dotés de cet attribut. Il est prévu que les résultats de la recherche de la boîte de dialogue ISPF de DFSMSrmm soient ignorés lorsque l'option CLIST est utilisée. DFSMS fournit une option système permettant de contrôler la façon dont le système gère les anomalies des étiquettes de bandes multi-volumes. Ce qui signifie que vous pouvez désormais empêcher des applications de traiter des volumes de bande hors séquence sans coder d'exit d'installation. Le programme Interactive Storage Management Facility (ISMF), conçu pour gérer votre configuration SMS, permet de copier des définitions de groupes de stockage d'un fichier de contrôle (CDS) à un autre. z/os V1.12 a étendu les fonctionnalités ISMF pour vous permettre de spécifier que tous les volumes de la liste pour les groupes de stockage de type pool doivent être copiés en même temps. Il est donc désormais possible de copier des groupes de stockage entiers d'une configuration à une autre sans avoir besoin ensuite d'ajouter leurs volumes au CDS de destination. Le composant JESXCF a été modifié pour vous permettre d'ouvrir des sessions multiples au sein d'un sysplex en utilisant le même identifiant utilisateur TSO/E. Avec DFSMSdfp, vous pourrez recataloguer un fichier zfs avec un volume VOLSER indirect ou un symbole système. Les systèmes de fichiers zfs utilisés pour les fichiers logiciels du système z/os (appelés systèmes de fichiers racine) peuvent alors être catalogués en utilisant une séquence de volume indirect ou un symbole système exactement comme le font les fichiers non VSAM pour faciliter le clonage et la migration. Dans les versions précédentes, les opérations de déblocage partiel pour les fichiers VSAM ne permettaient de libérer de l'espace que sur le dernier volume contenant des données pour chaque fichier. Avec z/os V1.12, le déblocage partiel doit également être étendu pour supporter les volumes non utilisés tout IBM est une marque déposée d'international Business Machines Corporation 6

7 en libérant de l'espace sur le dernier volume d'un fichier VSAM multivolume contenant des données. La commande IDCAMS DEFINE RECATALOG est également disponible pour les fichiers multivolume et découpés. Cette nouvelle fonctionnalité sera conçue de manière à créer automatiquement des entrées de catalogue classant correctement les listes de volumes tout en éliminant les volumes spécifiés en doublon. Les fichiers VSAM découpés et les fichiers multivolume seront alors plus faciles à recataloguer. Les améliorations de IDCAMS incluent la possibilité de supprimer en une seule fois, grâce à l'utilisation de la commande DELETE (supprimer), tous les membres d'un fichier partitionné en définissant un caractère générique (*) comme nom de membre d'un fichier. Cette nouvelle fonction permet de supprimer tous les membres d'un fichier PDS ou PDSE avec une seule commande. Le Capacity Provisioning Control Center prévoit l'affichage de rapports de provisioning supportés par le Capacity Provisioning Manager. Ceci permet de simplifier l'investigation des rapports de la fonction Capacity Provisioning ainsi que les opérations du serveur Capacity Provisioning. z/os V1.9 permettait l'écriture de données SMF sur des flux de journalisation. Avec z/os V1.12, RMF permet de lire des enregistrements SMF directement à partir d'un flux de journalisation. L'objectif consiste à éliminer toutes les étapes intermédiaires actuellement suivies pour décharger des données SMF d'un flux de journalisation vers un fichier séquentiel pour le post-traitement RMF. Le client Capacity Provisioning Manager doit être mis à jour de manière à supporter Windows Vista. Library Server est conçu pour améliorer les performances lors de la création de nouveaux catalogues et lors du support d'utilisateurs multiples sur les systèmes lourdement chargés. Une nouvelle fonction Personal BookCase intégrée à Library Server vous permettra de créer, d'utiliser et de partager votre propre sousensemble des documents d'un catalogue Library Server. Cette fonction est prévue pour vous permettre de configurer un Personal BookCase incluant rayonnages et documents, infocentres et sujets d'intérêt ; les documents de référence que vous utilisez quotidiennement deviennent rapidement disponibles. De plus, l'indexation permettra de saisir l'intention de l'auteur quant à la définition des nœuds principaux pour une table des matières InfoCenter. D'autres améliorations en matière d'administration prévoient le support de noms de fichiers longs, la vérification automatique de la version de Java requise et la génération d'une nouvelle page Test et diagnostic disponible pour les administrateurs de Library Server et le personnel de maintenance IBM. Les améliorations apportées à Library Server concernent les interfaces utilisateur : une meilleure navigation entre certaines boîtes de dialogue, des icônes modernisées ainsi que des informations contextuelles descriptives pour les documents en rayonnage. SDSF prévoit d'augmenter le panneau CK par l'affichage des contrôles enregistrés sur un nouveau panneau d'historique de contrôles de l'état de santé. Par défaut, les dix premières itérations de chaque contrôle du flux de journalisation pourront s'afficher. Il sera également possible de parcourir et d'imprimer les résultats de contrôle à partir du panneau d'historique comme à partir du panneau principal CK. SDSF est conçu pour supporter l'affichage d'informations relatives aux imprimantes pour JES3 et pour supprimer le prérequis WebSphere MQ lors de l'affichage de données JES2 MAS sur le panneau initiateur pour JES2 dès lors que tous les systèmes de la solution MAS sont passés en z/os V1.12 JES2. L'affichage de données MAS sur le panneau d'impression pour JES2 ne requiert pas l'installation de WebSphere MQ si tous les systèmes de la solution JES2 MAS sont en z/os V1.11 JES2 ou supérieur. z/os V1.12 inclut une nouvelle option DISPLAY XCF,REALLOCATE,TEST permettant de simuler le processus de réallocation et de fournir des informations sur les modifications que pourrait créer la commande REALLOCATE ainsi que les erreurs générées si un processus REALLOCATE était réellement mis en œuvre. Cette fonctionnalité a pour but de fournir des informations permettant de déterminer s'il est nécessaire d'invoquer le processus REALLOCATE réel et si des changements de configuration de l'unité de couplage sont utiles avant de lancer la commande REALLOCATE. Quant à la nouvelle commande DISPLAY XCF,REALLOCATE,REPORT, elle fournit des informations détaillées sur les résultats produits par une IBM est une marque déposée d'international Business Machines Corporation 7

8 commande REALLOCATE executée précédemment. Cette fonctionnalité a été conçue pour que ces informations soient facilement disponibles sans avoir à chercher dans le journal système les processus liés à la commande REALLOCATE et les messages d'exception. Un certain nombre d'améliorations seront mises en œuvre pour les membres PROGxx parmlib ainsi que pour la liste Link List Lookaside (LLA). Ces améliorations incluent : le support de PROGxx pour transmettre un paramètre spécifique vers une sortie dynamique, en associant automatiquement les noms d'alias aux modules à placer en Dynamic LPA et en déterminant les volumes de fichiers sur SYSLIB pour ne pas avoir à les cataloguer dans le catalogue maître ; l'option REPLACE, pour les sorties, permet de s'assurer qu'aucune sortie n'est indisponible pendant un intervalle donné ; un nouveau mot-clé SVCNUMDEC pour déterminer le numéro de SVC à ajouter. De plus, une nouvelle commande DEFAULTS permet de définir des défauts de performance afin d'éviter des erreurs communes. Par exemple, vous pouvez déterminer que la commande LNKLST DEFINE requiert toujours l'utilisation de COPYFROM, qu'elle prend par défaut la valeur COPYFROM(CURRENT) et qu'elle créé automatiquement des alias aux modules ajoutés à Dynamic LPA. La LLA sera conçue pour supporter l'utilisation des sorties LLA dynamiques et pour lancer des commandes MODIFY multiples en parallèle. SUMMARY, le nouveau mot-clé de la commande DISPLAY SYMBOLS, permet d'obtenir une présentation des symboles utilisés par le système, y compris le nombre de symboles en cours d'utilisation. Ceci permet de déterminer le nombre de symboles supplémentaires à définir. Lorsqu'un PDSE corrompu est détecté dans la liste de liens pendant un IPL (réamorçage), le système se met en attente. z/os V1.12 prévoit que le système envoie un message d'identification du PDSE corrompu avant de se mettre en état d'attente. L'utilisateur peut alors tenter de restaurer le PDSE corrompu et de réamorcer le système, évitant ainsi un vidage mémoire pour résoudre le problème. Le System Logger doit être amélioré et l'option VSAM SHAREOPTIONS corrigée pour les nouveaux fichiers de journalisation lorsqu'ils seront détectés comme étant incorrectement paramétrés. Des messages indiquent que le Logger a détecté et corrigé les paramètres SHAREOPTIONS d'un fichier. Cette nouvelle fonction entend empêcher que des problèmes d'accès au fichier se produisent lorsque l'option SHAREOPTIONS(3,3) n'a pas été définie pour le type de données utilisé pour allouer les fichiers de journalisation. La fonction System Logger améliorée pourra supporter des tailles de fichier de journalisation allant jusqu'à 4 Go (la taille maximale précédente étant de 2 Go). Les fichiers de type OFFLOAD et STAGING seront tous deux concernés. Dans le cadre de ce support, System Logger pourra envoyer des messages permettant de visualiser les caractéristiques des données clés au moment de les supprimer ou de les allouer. Cette fonction sera disponible pour z/os V1.9, z/os V1.10 et z/os V1.11 avec PTFs for APAR OA30548 en février Evolutivité et performances En termes d'évolutivité et de performance, la tradition veut que de nouveaux logiciels soient constammant en route ou bien que patience et amélioration aboutissent à du matériel plus rapide. Cette approche basée sur le matériel s'est montrée fructueuse ces dernières années avec l'apparition des grappes de serveurs et solutions de stockage les plus importants jamais commercialisés et la conception de processeurs sans cesse plus rapides et plus denses. L'industrie informatique commence toutefois à atteindre les limites physiques de conception des processeurs. La tendance qui veut qu'à chaque génération, la vitesse des processeurs s'accélère, fait désormais partie du passé. Les constructeurs pourront de moins en moins miser sur les fonctionnalités pures du matériel mais devront baser l'amélioration des capacités sur un alignement technique de plus en plus évolué. System Z montre qu'ibm a compris depuis longtemps l'importance de l'équilibre entre évolutivité, performance et rendement de la plate-forme. Les composants majeurs du système, les processeurs, le stockage, les E/S et les logiciels, participent tous de l'amélioration de la gestion des ressources système. De manière générale, z/os et ses sous-systèmes fournissent une évolutivité basée non seulement sur des débits processeur supérieurs, mais également sur une croissance n-way efficace du IBM est une marque déposée d'international Business Machines Corporation 8

9 processeur en image unique, une mise en cluster du sysplex hautement évolutive pour la croissance horizontale et une gestion des données et du stockage évolutive. Les versions précédentes de z/os ont toutes connu de nombreuses améliorations en termes d'évolutivité et de performance. Par exemple, z/os V1.9 HiperDispatch a engendré des gains de performance importants pour les partitions logiques LPAR grâce à une répartition plus intelligente de la charge de travail sur des systèmes n- way plus récents ; quant à z/os V1.10 XL C/C++, il a permis une augmentation des gains de performance allant jusqu'à 8 % avec les nouvelles options du compilateur et les fonctionnalités de prélecture de System z10. Parallel Sysplex regroupe de nombreuses solutions de mise en cluster en une seule. Un cluster unique peut être utilisé pour assurer évolutilité, performance, disponiblité, migrations logicielles et reprise après sinistre. Alors que d'autres plates-formes commencent à peine à exploiter le concept de cloud computing, la technologie Parallel Sysplex fournit un environnement de type cloud offrant un accès continu aux ressources et charges de travail pendant plus de dix ans. Parallel Sysplex fournit une image système large et unique, une répartition dynamique de la charge de travail, une tolérance aux pannes et des fonctionnalités de redémarrage automatique. Aucune autre technologie n'est comparable ; d'autres fonctionnalités de couplage sont mises en œuvre dans des logiciels ou vaguement liées à des outils non intégrés. Avec z/os V1.12, la technologie Parallel Sysplex doit être mise à jour et supporter des structures d'unité de couplage plus importantes. L'évolution et l'efficacité de System z ne se limitent pas au serveur. La quantité de données stockées par les entreprises croît de manière exponentielle. Ceci tient principalement à la grande variété de formats de données et de flux disponibles même si, pour une grande part, l'explosion de la quantité de données résulte probablement de la gestion (ou mauvaise gestion) d'un nombre incalculable de données. Plus la quantité de données stockées est élevée, plus les besoins sont grands en disponibilité, evolutivité, sécurité et gestion de réseau et plus les risques de panne sont élevés. Les données stockées sur z/os peuvent réduire ces problèmes. Data Facility Storage Management Subsystem (DFSMS) est une suite logicielle de gestion automatique des données, de la création à l'expiration, offrant une approche de gestion du stockage, au niveau de la hiérarchie de stockage, cohérente et basée sur des règles. DFSMS fournit un contrôle d'allocation des ressources pour une meilleure disponibilité et performance, des services de sauvegarde/récupération et de reprise après sinistre, de gestion de l'espace, gestion de bandes, des rapports et une fonction de simulation de performance et de personnalisation des paramètres de configuration. DFSMS vous aide à gérer l'utilisation de l'espace de stockage et à améliorer votre efficacité jusqu'à plus de 90 %. Avec z/os V1.12, DFSMS supporte davantage de types de fichiers dans Extended Address Volumes (EAV). Les volumes EAV permettent de réduire les contraintes de stockage et simplifient la gestion du stockage en facilitant la gestion de volumes moins nombreux mais plus importants, plutôt qu'un grand nombre de petits volumes. Parmi les mises à jour de z/os V1.12, une réduction des contraintes est prévue pour les volumes importants de DASD, l'enregistrement et l'ouverture simultanés de fichiers de bande et une nouvelle architecture de Program Management Binder, TSO/E, RACF, OAM, DFSMS, XCF et InfoPrint Server for z/os. En outre, de nombreuses améliorations en matière de dump mémoire sont prévues pour répondre à la croissance continue des données de diagnostic provenant de systèmes et de programmes de plus en plus vastes et utilisant une mémoire de plus en plus grande. Ces améliorations permettent de contrôler les temps de dump et de transmission. Détail des améliorations en matière d'évolutivité et de performance prévues pour z/ OS V1.12 : DFSMS est conçu pour supporter des types de fichiers supplémentaires, y compris les fichiers séquentiels (de toute taille), les fichiers de partition (PDS/PDSE), les catalogues et fichiers BDAM au sein de l'eas (Extended Addressing Space) sur un EAV (Extended Address Volume). Le support des fichiers GDG (Generation Data Groups) et VSAM VVDS (VSAM volume data sets) est également prévu. De manière générale, EAV réduit les contraintes liées au stockage et simplifie la IBM est une marque déposée d'international Business Machines Corporation 9

10 gestion du stockage puisque de gros volumes, moins nombreux, sont gérés, à la place d'un grand nombre de petits volumes. Il est prévu de rendre tous les fichiers utilisés par DFSMSrmm potentiellement eligibles à l'espace d'adressage étendu d'un EAV. Les fichiers journaux DFSMSrmm et les fichiers temporaires alloués dynamiquement en font partie. z/os 1.12 prévoit le support du protocole IPv6 par DFSMSrmm. Language Environment supporte C/C++ afin de permettre l'accès aux indexes alternés (AIX) pour les fichiers de format étendu VSAM KSDS (key-sequenced data sets) résidant dans l'eas sur un EAV. JES2 sera conçu pour permettre aux fichiers spool et fichiers de vérification de résider dans l'eas sur un EAV ; il sera ainsi possible de placer des fichiers spool et fichiers de vérification n'importe où sur un EAV et de définir des fichiers spool ayant une taille maximale de d'enregistrements (environ 56 Go). JES3 sera conçu pour permettre l'installation de fichiers spool, de fichiers de vérification et de fichiers JCT (Job Control Table) n'importe où sur un EAV. Certaines charges de travail requièrent un nombre croissant de fichiers ouverts. Avec z/os V1.12, les applications BSAM, QSAM et BPAM (méthodes séquentielles de base et de file d'attente et méthodes de base d'accès partitionné) et EXCP (programme de distribution) seront destinées à supporter l'utilisation d'une table XTIOT (Extended Task I/O Table) ayant des blocs UCB non capturés et à supporter des blocs DSAB (Data Set Association Blocks) au-dessus de la limite de 16 Mo. Ceci devrait permettre à un espace d'adresse d'allouer davantage de fichiers et permettre de réduire les contraintes de stockage virtuel pour DASD et les jeux de données sur bande. Les services SNAP/SNAPX, les opérations de vidage de mémoire (y compris pour les vidages de SVC, SYSABEND, SYSMDUMP et SYSUDUMP) et le programme AMASPZAP doivent tous supporter la table XTIOT. La fonction Program Management Binder est conçue pour supporter des fichiers avec des entrées XTIOT. TSO/E est destiné aux tables XTIOT, aux UCB (Unit Control Blocks) non capturés et aux DSAB supérieurs à 16 Mo pour les données affectées par les programmes. RACF est conçu pour supporter les tables XTIOT, les UCB (Unit Control Blocks) non capturés et les DSAB supérieurs à 16 Mo pour les données affectées par les programmes. Les modifications apportées aux composants DADSM et CVAF incluent le support des tables XTIOT, des UCB non capturés et des DSAB supérieurs à 16 Mo. L'objectif est d'utiliser aux mieux ces fonctions pour permettre l'ouverture simultanée d'un plus grand nombre de fichiers et réduire les contraintes de stockage virtuel. OAM doit fournir un support API pour exécuter la fonction de stockage et de récupération d'objet OSR (Object Storage and Retrieval) dans un environnement «threadsafe» CICS. Le but est de permettre à l'utilisateur de bénéficier des améliorations en termes de capacité multitâche et de débit fournies par une programmation threadsafe. De plus, l'utilitaire Volume Recovery est conçu pour améliorer les performances dans certaines situations lors de la récupération des données objet sur un support bande ou optique. Les améliorations seront les plus spectaculaires lors de la récupération d'un volume de sauvegarde contenant des objets ayant des copies primaires dans un grand nombre de collections différentes et sur un grand nombre de volumes différents. Les grandes pages (1 Mo) ont été introduites dans z/os V1.10. Dans la version z/ OS V1.12, le domaine des données de noyau doit être amélioré grâce à des pages de 1 Mo. Il est ainsi possible de réduire les coûts liés à la gestion de mémoire pour les pages du noyau et de libérer les entrées du TLB (Translation Lookaside Buffer) de manière à ce qu'elles soient réutilisées dans d'autres zones de stockage. Le nombre de traductions d'adresses devant être réalisées par le système devrait alors se réduire et la performance globale du système devrait s'améliorer. Avec z/os V1.7, DFSMSdfp supportait les fichiers séquentiels grand format (DSNTYPE=LARGE). Dans z/os V1.8, Language Environment avait introduit le support de ces fichiers avec l'utilisation de noseek (QSAM). La fonction de recherche (BSAM) se limitait aux fichiers ne dépassant pas 64K d'enregistrements par volume en mode lecture. Dans z/os V1.12, la fonction de recherche (BSAM) sera étendue aux fichiers ayant la taille maximale lors de l'utilisation des enregistrements d'e/s. Les E/S binaires et textuelles avec fonction de recherche IBM est une marque déposée d'international Business Machines Corporation 10

11 sont toujours supportées pour les fichiers allant jusqu'à 64K d'enregistrements par volume en mode lecture. Le support du sous-système DFSMS pour les catalogues avec adressabilité étendue (EA) est prévu. Cette fonctionnalité permettra de définir et d'utiliser les structures catalogue de base (BCS) de l'environnement ICF (Integrated Catalog Facility) avec l'attribut EA, autorisant ainsi des catalogues de plus de 4 Go. Le traitement AT-TLS du z/os Communications Server sera conçu pour permettre une utilisation réduite du processeur pour l'encryptage et le décryptage de données d'application tout en améliorant le débit pour certains types de charges de travail. Cette fonction devrait être activée automatiquement. VSAM RLS (Record Level Sharing) devrait supporter les fichiers de données découpés. Cette fonctionnalité offrira les avantages du découpage (striping) VSAM. Elle permettra, par exemple, de satisfaire des requêtes d'application uniques pour des dossiers présents dans plusieurs pistes ou intervalles de contrôle (CI) par des requêtes d'e/s simultanées vers plusieurs volumes. L'utilisation de fichiers de données découpés peut entraîner une amélioration de la performance en transférant les données à des débits supérieurs à ceux possibles avec des canaux d'e/s uniques. DFSMSdss sera conçu pour utiliser des blocs plus grands si possible pour les opérations DUMP, COPYDUMP et RESTORE, et pour supporter des fichiers dump séquentiels au format étendu sur DASD pour les opérations DUMP, RESTORE et COPYDUMP. L'utilisation de tailles de bloc plus grandes est destinée à améliorer les performances de ces opérations. L'utilisation de fichiers dump au format étendu est destinée, pour sa part, à supporter le découpage et la compression. DFSMShsm supportera le traitement parallèle pour la récupération de volumes de bande lorsque les vidages de mémoire résident sur plusieurs volumes de bande et que plusieurs unités de bande sont disponibles. Cette nouvelle fonction va vous permettre de spécifier l'utilisation de 64 tâches simultanées pour réduire le temps de traitement de récupération. Autre particularité : elle permet de restaurer des pools de copie de récupération rapide à partir d'une bande en utilisant DFSMShsm. Le traitement PDSE doit être modifié pour réduire les délais pouvant intervenir lorsque deux systèmes accèdent en même temps à un PDSE pendant qu'il est en cours de mise à jour. L'application PDSE sera conçue pour améliorer ses fonctionnalités de partage intersystèmes, notamment le partage au niveau membre, dans un GRS complexe mais hors d'un Parallel Sysplex. Ces changements sont destinés à rendre les PDSE plus exploitables en dehors des environnements de système unique et Parallel Sysplex. Des améliorations de performances de DFSMShsm Space Management sont prévues. Une nouvelle option sera développée pour vous permettre de spécifier l'exécution en parallèle de Primary Space Management, Interval Migration et Command Volume Migration. L'interface CAS (Catalog Address Space) permettra de contrôler périodiquement les conflits de mise en file d'attente SYSZTIOT. Sur la base d'un intervalle que vous spécifiez et sur la raison du conflit d'accès, l'interface CAS écrira un rapport logrec et un message de notification lorsque lorsque le temps d'attente des tâches a dépassé l'intervalle spécifié et que le contrôle de conflit d'accès est activé. Une nouvelle commande MODIFY CATALOG,CONTENTION devrait vous permettre de spécifier un intervalle différent du délai par défaut de 10 minutes ou de désactiver la fonction de détection de conflits d'accès CAS. Cette nouvelle fonction est destinée à vous informer des tâches exécutées dans des délais très longs, voire jamais exécutées, et qui affectent les performances du catalogue. Language Environment améliorera les performances dans les applications intensives de manipulation des chaînes, telles que certaines applications écrites en langage Perl. InfoPrint Server for z/os devrait améliorer le traitement en mode étendu et supporter plus de données SYSOUT avec des attributs similaires, le nombre maximum de tâches actives autorisées par le JES (Job Entry Subsystem) (JES2 ou JES3), et le support LPD (Line Printer Daemon) pour des tailles de fichiers pouvant atteindre 4 Go. Le support de fichiers de taille importante est disponible sur z/os V1.9 et plus élevé avec le PTF for APAR OA En outre, InfoPrint Server sera conçu pour affecter une priorité plus élevée au spooling et à l'impression pour les tâches existantes qu'à la réception de nouvelles tâches. Ces changements sont IBM est une marque déposée d'international Business Machines Corporation 11

12 destinés à réduire les contraintes et l'occupation du spool pour les tâches InfoPrint Server. Deux nouveaux services basés sur des services de signalisation XCF existants devraient être introduits pour supporter l'utilisation de tampons de messages de stockage virtuel adressable 64 bits et les paramètres d'entrée/sortie associés. Ces deux nouveaux services, IXCMSGOX et IXCMSGIX, devraient être les contreparties 64 bits des services IXCMSGO et IXCMSGI existants. Grâce à ces nouveaux services, il sera plus facile pour les utilisateurs de réduire les contraintes de stockage virtuel car ces services éliminent le besoin de copier des tampons de messages et les structures de stockage associées du stockage virtuel adressable 64 bits vers un stockage 31 bits et vice versa. Des améliorations de la fonction DFSMShsm DUMP, utilisée pour copier des volumes de disque source vers un volume de bande cible, sont prévues. La fonction d'empilage de dumps permettra de vider jusqu'à 255 volumes sources vers un seul volume de bande, dépassant ainsi largement la limite précédente qui était fixée à 99. Objectif : vous aider à tirer un meilleur profit des cartouches de bande à haute capacité. Le serveur Telnet z/os Communications Server TN3270E permettra le partage de bloc de contrôle de méthode d'accès (ACB) pour les unités logiques (LU), aidant ainsi à limiter l'utilisation d'ecsa. Avant le lancement de z/os V1.12 Communications Server, chaque nom LU Telnet ouvrait son propre ACB sur VTAM. Vous pouvez coder une nouvelle déclaration SHAREACB pour permettre à plusieurs LU Telnet de partager un même ACB, ce qui réduit la quantité totale de stockage ECSA (et Telnet privé) allouée au support de sessions Telnet. La fonction de vidage de mémoire automatique «Standalone Dump» permet de supporter des fichiers dumps au format étendu dans l'espace d'adressage étendu (EAS) sur les EAV (Extended Address Volumes). Superzap (AMASPZAP) supportera les données de vidage et d'altération pour les fichiers séquentiels, partitionnés et directs placés dans EAS sur les EAV. Intégration des applications Les atouts classiques de la plate-forme : disponibilité, sécurité, fiabilité, évolutivité et administration ont fait du mainframe le standard de facto dans le secteur des serveurs de données et de l'oltp. Il était donc logique d'étendre z/os aux solutions de Business Intelligence et d'entreposage de données, au sein desquelles d'importants volumes de rapports peuvent être générés rapidement depuis des données source -- le tout à l'aide d'un processus de réconciliation et de retraitement simplifié. Mais il est aussi logique de déployer de nouvelles applications ou d'étendre des applications existantes qui exploitent des données sur z/os. Ce qui distingue ce système des autres est sa capacité à exécuter à la fois les applications émergentes et existantes au sein d'un même système sans nuire aux données stratégiques résidant sur z/os. De nouvelles applications basées sur Java, WebSphere Application Server, Perl, PHP, XML, C/C++, Unicode, HTML, HTTP, SOAP, z/os UNIX System Services, et autres services Web peuvent fonctionner en toute compatibilité et s'intégrer aux applications classiques basées sur CICS, IMS, DB2, Enterprise COBOL, Enterprise PL/I, REXX, System REXX, JCL, TSO/E, ISPF, Assembler, et Metal C. Ces applications peuvent coexister avec des bases de données relationnelles (DB2) et non relationnelles (IMS) ainsi que des données d'enregistrements. Avec une telle proximité avec les données, les applications sur z/os ont un besoin limité en termes d'infrastructure coûteuse de communication et de réseau et offrent moins de risques de failles de sécurité en raison de l'étroite intégration à la sécurité, l'audit et l'accès aux ressources z/os traditionnels. Les entreprises avec des applications sur z/os sont conscientes de la valeur de ces applications et savent que remplacer ces systèmes par des applications standard ou des solutions personnalisées n'est pas une nécessité et peut être même risqué. La modernisation des applications z/os peut réduire les coûts et favoriser une flexibilité métier avec des niveaux de simplicité d'utilisation et d'intégration très élevés. z/os V1.12 devrait inclure les nouveautés suivantes : améliorations apportées au C/C++ pour le support de la devise Euro, nouveaux services pour le réglage de l'heure sur une référence standard, et Unicode ; et améliorations apportées aux IBM est une marque déposée d'international Business Machines Corporation 12

13 services z/os XML System pour le support des fonctions d'extraction de schémas et d'analyse syntaxique de fragments. Voici des détails sur les améliorations en termes d'intégration d'applications prévues pour z/os V1.12 : SDSF rendra les classes Java disponibles, offrant ainsi un nouveau moyen d'accès à SDSF. Des classes seront fournies pour chacun des panneaux SDSF pouvant être utilisés par des applications pour demander des fonctions SDSF. Cette nouvelle fonctionnalité est destinée à faciliter l'accès SDSF aux applications Java. SDSF devrait introduire une nouvelle commande ISFLOG pour SDSF REXX. Elle permet de lire le journal du système et d'envoyer ses enregistrements dans des variables, et de supporter des options pour limiter le nombre d'enregistrements envoyés et spécifier des heures de début et de fin. Cette nouvelle fonction va simplifier l'accès au journal du système pour SDSF REXX. Language Environment doit supporter la devise Euro pour la Slovaquie dans la bibliothèque d'exécution C/C++ Run-Time Library. Un support Euro et pré-euro sera fourni et la monnaie locale par défaut pour la Slovaquie sera changée pour passer à l'euro. Des heures calendaires, représentées par time_t, dépasseront en janvier Dans z/os V1.12, la bibliothèque d'exécution C/C++ de Language Environment doit inclure de nouveaux services - notamment time64_t - qui supporteront des heures calendaires allant jusqu'à 23:59:59 UTC le 31 décembre Dans z/os V1.12, Program Management Binder devrait compléter les fonctions Binder C/C++ API DLL existantes (iewbndd.so, iewbndd.x) avec une version XPLINK (iewbnddx.so, iewbnddx.x). Ceci est destiné à offrir de meilleures performances des applications XPLINK en éliminant les transitions coûteuses XPLINK vers non-xplink lorsque les fonctions du binder sont appelées. Par ailleurs, un en-tête C/C++ est prévu pour mapper la structure IEWBMMP ( iew_modmap.h). Pour les utilisateurs C et C++, cela va simplifier la tâche de traitement du mapping des modules, créé par le binder dans des programmes lorsque l'option MODMAP est utilisée. Plusieurs petites améliorations du Binder sont également prévues : Exemples de programmes illustrant l'utilisation des API du binder standard et Fastdata dans les applications High-Level Assembler et C Traductions de caractères dans la sortie AMBLIST LISTLOAD pour les modules de chargement Informations d'en-tête AMBLIST améliorées pour les fichiers UNIX z/os Support des noms longs pour AMBLIST LISTOBJ pour les modules d'objets dans les fichiers UNIX z/os Le Program Management Binder permettra de spécifier si un mode de résidence spécifique (RMODE) doit être appliqué à des classes de chargement initiales d'un objet programme, plutôt que les classes prévues dans le premier segment contenant le point d'entrée. Cette nouvelle fonction est destinée à offrir aux programmeurs d'applications plus d'options flexibles pour la résidence de stockage de programmes. Le Program Management Binder doit rendre disponibles les données d'attributs d'objet de programme (données PMAR) pour les programmes utilisant l'interface de données rapides, et supporter les programmes chargés à l'aide du service z/ OS UNIX System Services (loadhfs). z/os XML System Services sera mis à jour pour améliorer le support de validation de schémas XML en permettant aux applications d'extraire les informations d'emplacements de schémas à partir d'un document d'instance XML sans effectuer préalablement une analyse syntaxique séparée. Ceci est destiné à renforcer la simplicité d'utilisation de l'interface d'analyse syntaxique de validation et à réduire le coût de traitement nécessaire à l'obtention de ces informations. z/os XML System Services doit être mis à jour pour vous permettre de valider une partie d'un document XML lors de l'analyse syntaxique de validation, plutôt que le document complet. Appelée analyse syntaxique de fragments, cette fonctionnalité est destinée à réduire le coût de traitement résultant de la validation en vous permettant de valider uniquement une partie d'un document plutôt que le document complet. Par exemple, ceci peut être utile lorsqu'un seul sous-ensemble d'un grand document contenant plusieurs fragments est modifié. IBM est une marque déposée d'international Business Machines Corporation 13

14 z/os XML System Services sera mis à jour pour offrir une nouvelle fonctionnalité d'analyse syntaxique de validation permettant aux applications de limiter l'ensemble de noms d'éléments afin d'être acceptés comme des éléments racines valides vers un sous-élément de ces valeurs autorisées dans un schéma XML. Ceci est destiné à fournir un niveau supplémentaire de fonctionnalité de validation audelà du niveau fourni par le langage de schéma W3C. Auparavant, la commande shell tsocmd était disponible uniquement dans la rubrique «Tools and Toys» du site Web z/os UNIX System Services. Dans z/os V1.12, le support z/os de cette fonction est prévu. Contrairement à la commande tso existante, la commande tsocmd peut être utilisée pour émettre des commandes TSO/E autorisées. z/os UNIX System Services supportera le format de fichier d'enregistrement dans les commandes shell cp, mv, ls, pax et extattr ainsi que dans la commande ISHELL. Outre les formats binaire et texte, les fichiers peuvent être manipulés au format de fichier d'enregistrement. Les applications z/os accédant à ces fichiers à l'aide de QSAM, BSAM, VSAM ou BPAM et du codage FILEDATA=RECORD pourront tirer profit du format de fichier d'enregistrement pour lire et écrire des données en tant qu'enregistrements. z/os UNIX System Services supporte la fonction de mappage de mémoire (mmap) pour les fichiers présents dans les systèmes de fichiers zfs et HFS. Dans z/ OS V1.12, il sera possible d'autoriser les applications à utiliser le mappage de mémoire pour les fichiers NFS Client. Ceci va permettre l'utilisation des systèmes de fichiers NFS par les applications utilisant la fonction de mappage de mémoire. Une nouvelle option est prévue pour le service ISGENQ. Elle peut être utilisée pour sérialiser les ressources. Cette nouvelle fonctionnalité va permettre à un programme non autorisé d'interrompre le processus de sérialisation et d'arrêter d'essayer d'obtenir le contrôle d'une ressource lorsque celle-ci n'est pas disponible ou de réaliser une autre tâche de manière asynchrone pendant qu'elle attend d'obtenir une ressource ENQ. Par exemple, un programmeur peut régler une limite de temps pour obtenir le contrôle d'une ressource. Cette fonctionnalité devrait aider les programmeurs à mieux gérer les retards dus à un conflit d'accès et à supprimer les demandes en file d'attente lors de la récupération. JES2 et JES3 intégreront une fonction vous permettant de spécifier, en utilisant l'interface de programmation d'application SYSOUT (SAPI), qu'un programme reçoive des notifications ENF 58 lorsque les fichiers de données SYSOUT sont supprimés. Cette nouvelle fonction est destinée à aider les applications à contrôler la progression des fichiers de données d'impression à travers le système. Le composant SDM (System Data Mover) offrira une interface REXX pour de nombreuses fonctions de l'interface de programmation SDM (ANTRQST). Cette nouvelle fonction offrira des interfaces vers FlashCopy, Global Mirror (XRC) et des services SDM Metro Mirror (PPRC). Le serveur CIM Server sera mis à niveau avec une version plus récente de OpenPegasus CIM Server. En outre, le référentiel CIM Servers Schema sera mis à jour vers CIM Schema version Ceci est destiné à maintenir la conformité de z/os CIM Server and Schema avec la norme CIM de OpenGroup et DMTF, et à permettre aux applications de gérer z/os dans un environnement d'entreprise. Il inclura des fournisseurs CIM pour les profils HDR (Host Discovered Resources) et HBA (Host Bus Adapter) à partir de la norme SMI-S. Dans z/os V1.9, la famille de fonctions C/C++ Run-time Library iconv() a commencé à utiliser Unicode Services pour effectuer la plupart des conversions de caractères. Dans z/os V1.12, la source ucmap ou la source genxlt pour les conversions de caractères sera supprimée de la bibliothèque d'exécution C/C++ Run-time Library. Vous pouvez créer des tables de conversion personnalisées en utilisant Unicode Services pour remplacer ces fonctions. Le service WLM de requête de données connexes LPAR (REQLPDAT) sera amélioré pour inclure des données basées sur des caractères correspondant au modèle de machine, un identifiant de capacité permanente de modèle, un identifiant de capacité temporaire de modèle, la capacité nominale de modèle, la capacité permanente nominale de modèle et la capacité temporaire nominale de modèle. Ces nouvelles informations sont destinées au reporting. Sécurité IBM est une marque déposée d'international Business Machines Corporation 14

15 La sécurité est bien souvent une cible mobile. Les nouvelles fonctionnalités liées à la sécurité sont souvent suivies de tentatives toujours plus sophistiquées et créatives de les contourner. Aussi capitale qu'est la sécurité, il est parfois difficile d'obtenir un financement pour les fonctions de sécurité de dernière génération car il est difficile de montrer un retour sur investissement (ROI) sur les solutions de sécurité. z/os dispose d'une multitude de fonctionnalités de sécurité intégrées dans la base du système d'exploitation sans coût supplémentaire. De nombreuses fonctions de sécurité du z/os, telles que l'encryptage de données, la gestion des clés d'encryptage, les certificats numériques, la synchronisation de mot de passe, ainsi que l'authentification et le contrôle centralisés, peuvent être déployées comme solutions de sécurité à l'échelle de toute l'entreprise et peuvent aider à réduire le risque et les coûts de mise en conformité, tout en réduisant les temps et les coûts de mise en œuvre. L'encryptage protège les informations en les rendant illisibles pour les personnes non autorisées. Il peut être utilisé pour préserver la confidentialité, l'intégrité et la disponibilité à la fois des données stockées et des données en cours de transmission. Il demeure en général l'un des aspects de la sécurité informatique les plus performants. z/os est le choix logique pour la cryptographie et le stockage et la gestion des clés cryptographiques en raison de la nature du traitement des clés par l'utilitaire ICSF (Integrated Cryptographic Service Facility) de z/os. L'utilitaire ICSF est unique et peut être considéré comme étant plus sûr que les autres solutions de cryptage car il est conçu pour gérer l'encryptage et le décryptage de données sensibles sans exposer les clés. z/os V1.12 doit être mis à jour avec de nombreuses fonctionnalités cryptographiques, telles que le support de nouveaux formats de cartes à puce, de nouvelles normes et nouveaux algorithmes de cryptage (tels que DSA, DH, EC, AES GCM, BLOWFISH, RC4, Galois/Counter Mode encryption for AES (GCM), ECC (Elliptic Curve Cryptography), dérivation de clé Elliptic Curve Diffie-Hellman (ECDH), ECDSA (Elliptic Curve Digital Signature Algorithm) et HMAC (Hashed Message Authentication Mode)), ainsi que le support de z/os Communications Server pour IKEv2 et de Federal Information Processing Standard (FIPS) Les certificats numériques sont utilisés dans la gestion et l'utilisation de l'encryptage privé/public et sont souvent requis dans le cadre des directives de sécurité et conformité. Ils peuvent être utilisés par les applications pour établir des sessions de communication sécurisées ou pour configurer des sessions VPN (Virtual Private Network) et pour authentifier des utilisateurs et des objets. z/os PKI Services est une autorité de certification numérique complète incluse dans la base de z/os sans coût supplémentaire. Relativement peu de ressources de z/os peuvent être utilisées pour générer des milliers, voire des centaines de milliers de certificats numériques. Réduisez le risque et les coûts en générant et gérant vos propres certificats numériques à partir de z/os. Pour z/os V1.12, z/os PKI Services doit être amélioré avec plusieurs fonctionnalités renforçant la simplicité d'utilisation et la convivialité et qui devraient réduire le temps et le nombre de tâches manuelles associées à la recherche des numéros de série de certificats et à la création d' s de renouvellement et de révocation. Grâce aux nouvelles normes, telles que la CMP (Certificate Management Protocol), les dispositifs peuvent à présent demander, révoquer, suspendre et reprendre des certificats à partir de z/os PKI Services directement et automatiquement. Les certificats générés par z/os PKI Services peuvent être également personnalisés pour être utilisés avec Microsoft Exchange et les lecteurs de cartes à puce. L'authentification, le contrôle et la conformité sont des questions de plus en plus importantes. De nombreuses lois et normes ont été récemment affinées, appliquées ou créées, pour régir la protection et l'accès aux données. z/os a déjà fait ses preuves en matière de fonctionnalités performantes d'accès aux ressources et de génération de rapports intégrées dans la plate-forme et utiles pour administrer la sécurité de z/os, surveiller les menaces et contrôler l'utilisation et la conformité aux règles et politiques en vigueur. z/os V1.12 devrait bénéficier d'importantes mises à jour pour Tivoli Directory Server (LDAP) en réponse aux nouvelles règles de mots de passe, une journalisation améliorée et de nouvelles extensions pour les listes de contrôle d'accès. IBM est une marque déposée d'international Business Machines Corporation 15

16 Voici les améliorations de sécurité prévues pour z/os V1.12 : L'utilitaire ICSF supportera la traduction de jetons RSA externes englobés avec les clés d'encryptage dans un des trois formats de carte à puce. Un nouveau service invocable, PKA Key Translate (CSNDPKT), est conçu pour convertir une clé privée RSA existante au format externe CCA dans un format de carte à puce (SC) spécifié pour être compatible VISA, ou au format ME ou CRT courant. Pour utiliser cette nouvelle fonction, vous aurez besoin d'un serveur IBM System z9 ou System z10 doté de la fonctionnalité Crypto Express2 avec un niveau minimum de driver et de microcode. Cette fonction est également disponible sur z/os V1.8 et les versions supérieures z/os V1.8, z/os V1.9 ou z/os V1.10 avec le support cryptographique pour z/os V1R8-V1R10 et z/os.e V1R8 disponibles en téléchargement et PTF UA La fonction CPACF (Central Processor Assist to Cryptographic Function) sur serveurs IBM System z10 avec fonction CEX3C a été améliorée afin de garantir la confidentialité permanente du matériel de chiffrement lorsqu'il est utilisé par CPACF pour effectuer un encryptage de données hautes performances. L'utilisation de z/architecture avec la fonction Protected Key CPACF garantit que le matériel de chiffrement n'est pas visible pour les applications ou les systèmes d'exploitation lorsqu'ils sont utilisés pour des opérations d'encryptage. La fonction Protected Key CPACF permet d'améliorer considérablement le débit des grands volumes de données et le temps de latence des petits blocs de données. Dans z/os V1.12, l'utilitaire ICSF exploitera les améliorations apportées à la fonction CPACF pour le support de clés d'encryptage séparées pour DES/TDES et AES. Ceci est destiné à offrir les mêmes fonctions disponibles en utilisant la carte PCI, mais avec l'avantage de la performance CPACF. Plusieurs améliorations vont être apportées à PKI Services. Dans z/os V1.12, PKI Services permettra de créer et de signer des certificats avec des clés ECC, en plus des clés RSA et DSA. RACF et PKI Services supporteront les noms distincts plus longs dans les certificats numériques. Ceci est destiné à favoriser le support de certificats comprenant des noms très longs. Certains événements, tels que le rétablissement d'un niveau précédent de la base de données de sécurité, ou la suppression et la réinstallation du certificat CA (Certificate Authority - Autorité de certification), peuvent mener le responsable de la sécurité à renvoyer des numéros de série (déjà utilisés auparavant) à utiliser pour de nouveaux certificats. PKI Services détectera cela et trouvera le premier numéro de série non utilisé avant d'émettre un nouveau certificat, pour éviter le risque d'émettre deux certificats avec des numéros de série dupliqués. En outre, un nouvel utilitaire doit vous permettre de poster les certificats existants in LDAP, évitant ainsi le besoin de les poster manuellement. De plus, un autre nouvel utilitaire vous permettra de poster des mises à jours dans les CRL (Certificate Revocation Lists - Liste de révocation de certificats) immédiatement lorsque cela est nécessaire, plutôt que d'attendre l'intervalle de temps que vous avez fixé. Enfin, PKI Services exécute certaines tâches, telles que la suppression de certificats et de requêtes anciens ou expirés, et le traitement des messages de notification d'expiration des certificats, une fois par jour. Ces tâches de maintenance nécessitaient auparavant un temps de traitement considérable lorsque vous disposiez d'un nombre élevé de certificats. PKI Services a été repensé pour améliorer sensiblement la performance et réduire le temps de traitement de ces tâches et vous permettre, par ailleurs, de spécifier l'heure et les jours de la semaine auxquels la tâche doit être exécutée. PKI Services supportera la fonction de communication du motif de rejet de la demande de certificat de l'administrateur vers le demandeur, dans l' de rejet. En outre, PKI Services supportera les extensions vers les certificats X.509 version 3. Par exemple, la création d'un certificat de contrôleur de domaine avec une extension appelée «Certificate Template Name», avec un OID, et avec les données BMP «DomainController» pour une utilisation avec Microsoft Exchange ou Smart Card Login. Enfin, PKI Services vous permettra de créer un certificat avec un «Subject Alternate Name» contenant de multiples instances de chacune des formes «General Name». Par exemple, plusieurs adresses IP peuvent être à présent spécifiées alors qu'une seule était autorisée auparavant. IBM est une marque déposée d'international Business Machines Corporation 16

17 Le CMP (Certificate Management Protocol) est un protocole Internet utilisé pour gérer des certificats numériques X.509 décrits par RFC Il utilise le format de message de demande de certificat (CRMF) décrit par RFC Dans z/os V1.12, PKI Services supportera des parties de la norme CMP, permettant ainsi aux clients CMP de communiquer avec PKI Services pour demander, révoquer, suspendre et reprendre des certificats. Il vous permet ainsi d'utiliser le CMP dans un modèle de génération de certification centralisé. ECC (Elliptical Curve Cryptography) : Voir ci-dessous pour en savoir plus. Les améliorations apportées à RACDERT sont les suivantes : La commande RACF RACDCERT sera améliorée pour supporter la création de certificats avec des dates d'expiration dans un futur lointain pour permettre une plus grande flexibilité en termes de période de validité des certificats pour les clients. RACF et PKI Services supporteront les noms distincts plus longs dans les certificats numériques. Ceci est destiné à favoriser le support de certificats comprenant des noms très longs. ECC (Elliptical Curve Cryptography) : Voir ci-dessous pour en savoir plus. En 2009, l'organisme américain National Institute of Standards and Technology (NIST) a publié un profil IPv6 exigeant le support de certaines suites cryptographiques définies dans RFC 4869, Suite B «Cryptography Suites for IPsec». Une des technologies référencées était l'ecc (Elliptic Curve Cryptography), considérée comme une technologie offrant une cryptographie plus performante avec des tailles de clés plus petites que la cryptographie RSA. Ce type de cryptographie devrait convenir parfaitement pour une utilisation sur les dispositifs de taille réduite comme les appareils portables et les cartes à puce, qui ont une puissance de calcul limitée. Dans z/os V1.12, PKI Services permettra de créer et de signer des certificats avec des clés ECC, en plus des clés RSA. Dans z/os V1.12, System SSL supportera des structures de données ECC, en signant des données et en vérifiant les données signées en utilisant l'algorithme de signature ECDSA (Elliptic Curve Digital Signature Algorithm). Cette fonctionnalité va permettre aux utilisateurs de z/os System SSL d'importer des certificats de type ECC et des clés privées dans des fichiers de base de données de clés ou des jetons PKCS#11 et d'utiliser des certificats ECDSA dans les opérations de signature et de vérification. Dans z/os V1.12, la commande RACF RACDCERT permettra de créer et de signer des certificats avec des clés ECC, en plus des clés RSA et DSA. Un profil de ressource général discret avec des caractères génériques (*,%,&) dans son nom, défini dans une classe activée pour les caractères génériques (GENCMD ou GENERIC), est souvent appelé un profil «fantôme». De tels profils ne sont pas référencés par RACF pour le contrôle d'autorisation. Cependant, lorsqu'ils sont définis, ils peuvent gêner les administrateurs RACF et les programmeurs de système. Dans z/os V1.12, le RACF fournira un nouveau motclé NOGENERIC pour la commande RDELETE afin de vous permettre de supprimer ces profils. Par ailleurs, une option GENERIC=N est prévue pour R_admin DELETE. cms. La CPF (Command Prefix Facility), que vous pouvez utiliser pour acheminer des commandes d'un système vers un autre au sein d'un sysplex, devrait supporter une fonction de contrôle de sécurité similaire à celle fournie pour la commande opérateur ROUTE. La définition d'un nouveau profil MVS.CPF.ROUTE.CHECK dans la classe RACF OPERCMDS spécifiera au système d'utiliser le profil MVS.ROUTE.CMD dans la classe RACF OPERCMDS pour déterminer si l'opérateur est autorisé à envoyer une commande vers le système spécifié. Ceci est destiné à ajouter le même niveau de contrôle à la CPF qui existe pour la commande MVS ROUTE. Network Authentication Service for z/os utilisera la fonction RACF pour améliorer la disponibilité des applications qui utilisent les services Kerberos ou GSSAPI dans le cas d'un déploiement dans un environnement DVIPA. Cette nouvelle fonctionnalité vous permet de supprimer la dépendance sur laquelle est orientée l'image de la requête d'application Sysplex a Kerberos ou GSSAPI. Cela permet d'améliorer la disponibilité de l'application en permettant un basculement transparent synonyme de renforcement de la disponibilité et d'amélioration de l'équilibrage de la charge de travail entre les images dans un Sysplex. IBM est une marque déposée d'international Business Machines Corporation 17

18 IBM Tivoli Directory Server for z/os supportera les règles de mots de passe configurables pouvant être appliquées aux mots de passe utilisateur dans le répertoire. Le support est prévu pour la révocation automatique de mot de passe, l'expiration de mot de passe, les contrôles de formatage, l'historique et un système de changement de mot de passe pouvant être appliqué à un individu, un groupe ou un répertoire. Cette nouvelle fonction va vous permettre de vous assurer que : Les utilisateurs changent régulièrement leurs mots de passe Les nouveaux mots de passe respectent vos exigences Les mots de passe récemment utilisés ne sont pas réutilisés Les comptes des utilisateurs peuvent être verrouillés après un nombre défini de tentatives infructueuses En outre, lorsqu'un contrôle de règle des mots de passe est reçu, une authentification native ou SDBM va faire correspondre les codes de réponse RACF aux codes de réponse de règle des mots de passe si possible, et le contrôle de règle des mots de passe sera renvoyé. IBM Tivoli Directory Server for z/os supportera une journalisation d'activité continue. Cette nouvelle fonction permettra de fermer le fichier journal en cours ou le fichier de données de génération et d'en ouvrir un nouveau basé sur l'heure ou la taille d'un fichier journal d'activité que vous spécifiez. La commande de console permettra le lancement d'un changement de fichier journal d'activité. Cette nouvelle fonctionnalité prévoit également la possibilité de spécifier le filtrage des entrées du journal par adresse IP. IBM Tivoli Directory Server for z/os fournira une extension aux listes de contrôle d'accès (ACL) afin de permettre la transformation dynamique des ACL de base en utilisant les ACL de filtrage que vous avez spécifiées, pour ajouter ou supprimer des autorisations sur la base des éléments suivants : Nom spécifique de liaison (DN) DN alternatifs Pseudo DN Groupes auxquels appartient un lien ou un DN alternatif Adresse IP de la connexion client Heure d'accès à la donnée du répertoire Jour de la semaine d'accès à la donnée du répertoire Le mécanisme de liaison utilisé Un encryptage de liaison a-t-il été utilisé Cette fonction est destinée à offrir une flexibilité supplémentaire dans les contrôles d'accès pour les connexions LDAP. IBM Tivoli Directory Server for z/os supportera l'encryptage Salted SHA-1. Destinées à rendre plus difficiles les attaques de dictionnaire contre les données à encryptage SHA-1, les valeurs de mot de passe Salted SHA-1 dans LDAP incluront une chaîne de 20 octets aléatoire de sorte que l'encryptage d'un même mot de passe plusieurs fois entraînera en général des valeurs encryptées qui diffèrent. Ceci est destiné à rendre plus difficile la détermination de la valeur de mot de passe encryptée. Cette nouvelle fonctionnalité sera fonctionnellement équivalente à celle actuellement fournie par IBM Tivoli Directory Server et peut faciliter la migration des charges de travail du serveur LDAP vers z/os. IBM Tivoli Directory Server for z/os supportera les syntaxes et règles de correspondance actuellement supportées par IBM Tivoli Directory Server. Ce support va permettre la migration et la duplication des entrées de schéma et de répertoire utilisant ces syntaxes et règles de correspondance à partir de IBM Tivoli Directory Server sur d'autres plates-formes. TSO/E sera conçu pour accepter des mots de passe comportant un ou plusieurs caractères spéciaux. Le but est de laisser le contrôle des caractères de mots de passe autorisés à un responsable de sécurité externe tel que RACF. IBM est une marque déposée d'international Business Machines Corporation 18

19 z/os Communications Server introduira des connexions TCP de confiance, pour permettre à des programmes sockets de récupérer les informations de routage de connexion spécifiques au sysplex et les identifiants pour les sockets connectés. L'identifiant de sécurité de partenaire peut être récupéré si les deux extrémités d'une connexion TCP résident dans la même image z/os, sysplex z/os ou subplex z/os, et que les extrémités sont dans le même domaine de sécurité. Dans une telle topologie, les programmes de partenaires peuvent utiliser des connexions de confiance pour s'authentifier les uns les autres comme une alternative à l'utilisation d'une connexion SSL/TLS avec certificats numériques pour une authentification du client et du serveur. Internet Key Exchange version 2 (IKEv2) est la dernière version du protocole Internet Key Exchange (IKE) spécifié par RFC IKE est utilisée par des nœuds homologues pour effectuer une authentification mutuelle et pour établir et maintenir des associations de sécurité (SA). Dans z/os V1.12, Communications Server IKE daemon (IKED) est amélioré pour supporter IKEv2, en plus de son support IKEv1 existant. Le support de z/os Communications Server pour IKEv2 inclura : Le support de IPv4 et IPv6 Un nouveau type d'identité appelé KeyId Une authentification utilisant des clés pré-partagées ou des certificats numériques ; les certificats peuvent utiliser des clés RSA ECDSA (Elliptic Curve) La resaisie et la ré-authentification des SA IKE ou Child SA La spécification de hachage et URL de certificats et groupes de certificats Une nouvelle commande certbundle pouvant créer des groupes de certificats tel qu'indiqué par RFC 4306 z/os Communications Server introduira ces améliorations aux services de certificats IPSec NSSD (Network Security Services Daemon) : Le support de IKEv2 : création et validation de signature basée sur certificat X.509 pour IKEv2 Le support de l'algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) : les certificats X.509 contenant des clés ECDSA peuvent être utilisés pour la création et la vérification de signature numérique IKEv2 Le support de chaîne de confiance de certificat X.509 : la chaîne de confiance X.509 complète sera prise en compte lors de la création et de la vérification de signature numérique IKEv1 ou IKEv2 Le support de liste de révocation de certificat (CRL) : les listes CRL peuvent être récupérées HTTP et consultées durant la vérification de signature numérique IKEv1 ou IKEv2 Le support de format de hachage et URL : les certificats et les groupes de certificats spécifiés en utilisant le format de hachage et le format URL spécifiés dans RFC 4306 peuvent être utilisés durant la création et la vérification de signature numérique IKEv2 z/os Internet Key Exchange daemon (IKED) sera amélioré pour utiliser ces nouvelles fonctions NSSD lorsqu'une pile est configurée en tant que client de sécurité de réseau. z/os Communications Server introduira ces améliorations à IPSec et le support d'ike pour la devise cryptographique : Support de l'algorithme AES (Advanced Encryption Standard) dans CBC (Cipher Block Chaining) en utilisant des clés 256 bits, un ajout au support de clés 128 bits existant. Vous pouvez utiliser la longueur de clé la plus longue pour des données plus sensibles. Support de l'algorithme AES (Advanced Encryption Standard) aux modes Galois Counter Mode (GCM) et Galois Message Authentication Code (GMAC). L'encryptage AES dans GCM entend fournir confidentialité et authentification de l'origine des données. AES-GCM est un algoritme très efficace pour les réseaux de paquets à haut débit. L'encryptage AES au mode GMAC fournit l'authentification de l'origine des données mais n'assure pas la confidentialité. AES-GMAC, tout comme AES-GCM, est un algorithme très performant pour les IBM est une marque déposée d'international Business Machines Corporation 19

20 réseaux de paquets à haut débit. z/os V1.12 Communications Server supporte des algorithmes allant jusqu'à 128 bits et 256 bits de longueur. Support de l'utilisation du mode HMAC (Hashed Message Authentication Mode) en conjonction avec les algoritmes SHA-256, SHA-384 et SHA-512. Ces algorithmes sont conçus pour être utilisés comme base pour authentifier l'origine des données et vérifier leur intégrité. Les nouveaux algoritmes HMAC-SHA , HMAC-SHA et HMAC-SHA sont destinés à assurer que ces données sont authentiques et qu'elles n'ont subi aucune modification pendant le transfert. Des versions non tronquées de ces algorithmes sont disponibles sous forme de fonctions PRF (Pseudo-Random Functions). Ces algorithmes se nomment PRF-HMAC-SHA-256, PRF-HMAC- SHA-384 et PRF-HMAC-SHA-512. Support de l'algoritme d'authentification, AES128-XCBC-96, permettant d'assurer que ces données sont authentiques et qu'elles n'ont subi aucune modification pendant le transfert. Support de l'authentification de l'algorithme ECDSA (Elliptic Curve Digital Signature Algorithm). Support de la clé Elliptic Curve Diffie-Hellman (ECDH) Le support de IPSec et IKE par z/os Communications Server doit exploiter les modules de cryptage de z/os destinés à répondre aux exigences de sécurité FIPS (Federal Information Processing Standard) pour les modules de cryptage. FIPS 140 définit un ensemble d'exigences de sécurité pour les modules de cryptage afin d'obtenir un degré de certitude plus élevé concernant l'intégrité de ces modules. FIPS apporte quatre niveaux croissants et qualitatifs de sécurité censés couvrir une gamme potentiellement plus large d'environnments et d'applications. Le support de z/os V1.12 Communications Server doit être suffisamment paramétrable pour n'avoir à utiliser que les modules de sécurité sous-jacents (System SSL et fonctionnalités PKCS 11 de ICSF) fonctionnant en mode FIPS 140. System SSL et les fonctionnalités PKCS 11 de ICSF sont destinés à répondre aux exigences de niveau 1 de FIPS La mise en conformité de RFC 4301 aux règles de filtre IPSec est devenue obligatoire. La norme RFC 4301 «Architecture sécurisée pour le protocole Internet» spécifie l'architecture de base des systèmes conformes IPSec, y compris les restrictions concernant le routage des paquets fragmentés. Il est probable que cette mise en conformité implique des changements mineurs aux filtres IP pour le transfert IP en routage sur z/os. L'assistant de configuration sera destiné à identifier les filtres IP non conformes et l'agent de règles (Policy Agent) ne pourra installer une règle IPSec contenant des filtres IP non conformes. Dans les versions précédents, System SSL supportait les certificats X.509 à utiliser dans les tokens PKCS 11 et dont la taille de clé RSA pouvait atteindre 2048 bits. Dans la version 1.12, il est prévu que le System SSL gskkyman supporte la création et la gestion des certificats X.509 et des clés au sein d'un token PKCS 11 avec une clé RSA dont la taille atteind 4096 bits, des clés DSA et Diffie-Hellman. Ces certificats X.509 et clés devront être exploitables sur toutes les API de System SSL. Disponibilité Une résilience qui réduit les risques de panne Le terme «disponibilité» ne se réfère pas uniquement au fonctionnement continu du serveur mais également à la disponibilité des applications et données. Pour la plate-forme System z, ceci implique disponibilité du matériel, des connexions E/S, du système d'exploitation, du sous-système, de la base de données et bien sûr de l'application. Le matériel System z a été conçu pour réduire le nombre d'interruptions de service planifiées et de pannes par le biais de fonctionnalités d'auto-dépannage, de composants redondants et échangeables à chaud, ainsi que de mises à niveau et modifications du microcode transparentes et simultanées. La diponiblité et l'intégrité des données sont soutenues par des fonctionnalités telles que l'isolation de l'espace d'adresse, les clés de protection de stockage, la redondance des canaux d'e/s et la vérification des erreurs d'e/s. Au delà du système unique se trouve le Parallel Sysplex de z/os (voir également la section Scalability and performance). La mise en cluster Parallel Sysplex confère aux IBM est une marque déposée d'international Business Machines Corporation 20