IBM大型机论坛索引
 
登录
 
IBM大型机论坛索引 大型机:搜索 IBM Mainframe论坛:常见问题解答 寄存器
 

IBM的FTP无法与TLS加密服务器一起使用


IBM大型机论坛 -> TSO / ISPF
发表新话题   回复主题
查看上一个主题 :: 查看下一个主题  
作者 信息
萨沙耶斯

新的用户


已加入:2006年3月2日
帖子:32
地点:钦奈

发布发表:星期二八月21,2018 1:37下午
引用回复

大家好
我们正在尝试将大型机文件发送到新服务器(使用FTP-TLS,被动模式,显式TLS加密)。 FTP失败,显示“身份验证协商失败”。似乎无法识别密码。您能帮我们解决这个问题吗?

IP地址
用户名
密码
CD测试蛋白
PUT“源大型机数据集” target_file.TXT
退出

日志:
EZA1736I FTP
EZY2640I使用dd:SYSFTPD = XXX.FTP.DATA进行本地站点配置
EZA1450I IBM FTP CS V2R1
EZA1456I连接到?
EZA1736I nn.nnn.nnn.nnn
EZA1554I正在连接到:nn.nnn.nnn.nnn端口:21。
220 FTP服务器就绪
EZA2897I身份验证协商失败
EZA1459I名称(nn.nnn.nnn.nnn:我的用户ID):
EZA1701I>>> USER FTP user id
控制通道上需要550 SSL / TLS
EZA1460I命令:
EZA1736I密码
EZA1618I未知命令:“密码”
EZA1619I有关可用命令的列表,请说“帮助”
EZA1460I命令:

我们还将通过SYSFTPD覆盖FTP的以下参数。仍然有问题。请让我们知道是否需要添加任何其他参数。
SECURE_MECHANISM TLS
允许SECURE_FTP
TLSRFCLEVEL CCCNONOTIFY
TLS机制FTP
SECURE_DATACONN私有
回到顶部
查看用户资料 发送私信
瓦桑斯

全球主持人


已加入:2007年8月28日
帖子:1689
地点:印度蒂鲁普布尔

发布发表:星期二八月21,2018 1:52下午
引用回复

您所遇到的错误绝对与密码无关。
您看到它说认证协商失败。这意味着在建立FTPS连接之前。主机和客户端必须就如何通信(协商)达成协议。像加密算法或密码或macs一样。

从您的日志中,您可以看到在将密码传递给服务器之前发生了错误。

查看此链接是否有帮助 www-01.ibm.com/support/docview.wss?uid=swg21055396
回到顶部
查看用户资料 发送私信
瓦桑斯

全球主持人


已加入:2007年8月28日
帖子:1689
地点:印度蒂鲁普布尔

发布发表:星期二八月21,2018 1:54下午
引用回复

我明天看看是否可以找到我的jcl之一
向我们显示您正在使用的FTPS jcl
回到顶部
查看用户资料 发送私信
萨沙耶斯

新的用户


已加入:2006年3月2日
帖子:32
地点:钦奈

发布发表于:周二2018年8月21日3:00 pm
引用回复

感谢Vasanth的帮助。在我们正在使用的jcl下
码:

 //STEP1   EXEC PGM = FTP,REGION = 1024K                 
 // SYSABEND DD SYSOUT = *                               
 // SYSPRINT DD SYSOUT = *                               
 // SYSFTPD DD DSN = AAAA.AAAAA.AAAA.FTP.DATA,DISP = SHR    
 //OUTPUT DD SYSOUT=*                                 
 //INPUT DD *                                         
 NN.NNN.NNN.NNN                                       
 USRE ID                                               
 PASSWORD                                             
 CD testing                                           
 输入'AAAA.AAAA.AAAAAAAA.AAAAAAA.DATA'XXXX.TXT       
 QUIT


请尽快学习使用代码标签。他们很容易-见下文
码:
[code]
您的
东东
这里
[/code]
回到顶部
查看用户资料 发送私信
瓦桑斯

全球主持人


已加入:2007年8月28日
帖子:1689
地点:印度蒂鲁普布尔

发布发表:星期二八月21,2018 11:12下午
引用回复

您在// SYSFTPD上缺少密钥环数据库名称

这是一个示例FTPS SYSFTPD
码:
// SYSFTPD  DD *                 
密钥环FTPD / SECURE.FTP.KEYRING
SECURE_MECHANISM TLS           
SECURE_DATACONN私有         
SECUREIMPLICITZOS FALSE         
EPSV4是                     
绝对正确                 
要求SECURE_FTP             
CLIENTERRCODES扩展         
LOGCLIENTERR TRUE               
CHKCONFIDENCE TRUE             
/*                             


请参阅此链接以了解有关设置FTPS的信息 www.ibm.com/support/knowledgecenter/zh-CN/SSLTBW_2.1.0/com.ibm.zos.v2r1.gim3000/gim3116.htm


钥匙圈
该语句定义了包含在TLS握手期间使用的证书颁发机构证书的密钥环。您可以对HTTPS和FTPS操作使用相同的密钥环。指定在KEYRING语句上的创建钥匙圈中定义的钥匙圈的名称。但是,IBM的安全FTP服务器使用由其他证书颁发机构签名的服务器证书。因此,必须将GeoTrust Global CA证书添加到密钥环。
从GeoTrust网站下载GeoTrust Global CA根证书(根2-GeoTrust Global CA)到您的工作站。 www.geotrust.com/resources/root-certificates/index.html。
将CA证书上载到您的z / OS系统。有很多方法可以将文件从工作站传输到z / OS系统。例如,您可以使用Personal Communications 3270上载证书文件或使用TCP / IP FTP。要记住的重要事项是,证书文件必须作为changetext的开始上载到z / OS变更数据的结尾,证书文件必须存储在顺序数据集中,并且顺序数据集必须具有RECFM = VB和LRECL>=256.
将证书存储在顺序数据集中后,请使用以下RACF命令将其添加到RACF®数据库中:
RACDCERT CERTAUTH ADD('ca-cert.dataset.name')+
WITHLABEL('GeoTrust Global CA')信托
其中ca-cert.dataset.name是用于存储从GeoTrust网站收到的证书的顺序数据集的名称。
使用以下RACF命令将GeoTrust CA证书连接到密钥环:
RACDCERT ID(用户ID)CONNECT(CERTAUTH RING(密钥名)+
标签('GeoTrust Global CA')使用情况(CERTAUTH))
其中keyringname是您选择用于安全FTP操作的密钥环的名称。这可以与您用于HTTPS操作并在创建密钥环中定义的密钥环相同。
回到顶部
查看用户资料 发送私信
萨沙耶斯

新的用户


已加入:2006年3月2日
帖子:32
地点:钦奈

发布发表于:星期三八月22,2018 1:41下午
引用回复

感谢Vasanth,我尝试了所有可能的方法,并抛出了相同的错误。我提供了用于普通FTP的密钥环值。

防火墙设置似乎有问题。
回到顶部
查看用户资料 发送私信
瓦桑斯

全球主持人


已加入:2007年8月28日
帖子:1689
地点:印度蒂鲁普布尔

发布发表于:星期三八月22,2018 2:15下午
引用回复

您是否按照提到的步骤创建了密钥环?
从日志中可以看出,这绝对不是防火墙问题
220 FTP服务器就绪。
这意味着您可以穿越防火墙,并且可以与服务器进行通讯。
不是防火墙。
回到顶部
查看用户资料 发送私信
瓦桑斯

全球主持人


已加入:2007年8月28日
帖子:1689
地点:印度蒂鲁普布尔

发布发表于:星期三八月22,2018 2:18下午
引用回复

顺便说一句。您是否正在对ibm或其他内部服务器执行ftps。
回到顶部
查看用户资料 发送私信
萨沙耶斯

新的用户


已加入:2006年3月2日
帖子:32
地点:钦奈

发布发表于:星期三八月22,2018 2:36下午
引用回复

瓦桑斯写道:
您是否按照提到的步骤创建了密钥环?
从日志中可以看出,这绝对不是防火墙问题
220 FTP服务器就绪。
这意味着您可以穿越防火墙,并且可以与服务器进行通讯。
不是防火墙。



不,来自应用程序开发团队,创建密钥环值看起来就像大型机管理团队必须要做的那样。我将为此联系管理员。
回到顶部
查看用户资料 发送私信
萨沙耶斯

新的用户


已加入:2006年3月2日
帖子:32
地点:钦奈

发布发表于:星期三八月22,2018 2:37下午
引用回复

瓦桑斯写道:
顺便说一句。您是否正在对ibm或其他内部服务器执行ftps。


我们将IBM内部服务器连接到外部服务器,该外部服务器具有称为SSL / TLS加密的新功能。
回到顶部
查看用户资料 发送私信
尼克·克劳斯顿

全球主持人


加入时间:2007年5月10日
帖子:2455
地点:英国汉普郡

发布发表于:星期三八月22,2018 2:57下午
引用回复

引用:
同样的错误抛出

不会。错误不会在大型机上“抛出”。
回到顶部
查看用户资料 发送私信
查看上一个主题 :: :: 查看下一个主题  
发表新话题   回复主题 查看书签
所有时间均为格林尼治标准时间+ 6小时
论坛索引 -> TSO / ISPF

 


类似主题
话题 论坛 回覆
没有新帖 FSET无法在我的收据上使用 CICS 3
没有新帖 带有href链接的大型机jcl作业不... 所有其他大型机主题 3
没有新帖 加密 DFSORT / ICETOOL 5
没有新帖 在一个团队中为一个新项目工作... 所有其他大型机主题 2
没有新帖 您的工作效率如何? 一般谈话和有趣的东西 0
搜索我们的论坛:


回到顶部