| Oracle Identity Manager CA-Top Secret Advanced Connectorガイド リリース9.0.4 E05494-03 |
|
 戻る |
 次へ |
CA-Top Secret Advanced ConnectorのReconciliation AgentとProvisioning Agentのコンポーネントをメインフレームにインストールする必要があります。次の項で、これらのエージェントのインストールと構成について説明します。
表3-1に、Reconciliation AgentとProvisioning Agentをインストールするためのハードウェア、ソフトウェアおよび認可の前提条件を示します。
表3-1 デプロイ要件の確認
| 項目 | 要件 |
|---|---|
|
次のバージョンのIBM z/OSが必要です。
さらに、すべての現行パッチがインストールされていることを確認してください。 |
|
|
メッセージ・トランスポート・レイヤー |
AES暗号化を使用したTCP/IP |
|
CA-Top Secret IDリポジトリ |
次のバージョンのCA-Top Secretが必要です。
さらに、z/OSの現行パッチがインストールされていることを確認してください。 |
|
Reconciliation AgentおよびProvisioning Agentのターゲット・システムのユーザー・アカウント |
SystemAdministrators権限を持つTop-Secret MSCAまたはSCA ACIDS |
Reconciliation AgentおよびProvisioning Agentの両方について、メインフレーム・システムでCA-Top Secretシステム・コマンドを実行するために必要な権限を含む、起動済のタスクおよびサービス・アカウントが必要です。
また、これらのエージェントには、メインフレーム・システムの権限を持つユーザー・アカウントがアクセスします。このユーザー・アカウントは、エージェントをデプロイする前にシステム・プログラマが作成する必要があります。
|
注意: Reconciliation AgentおよびProvisioning Agentのどちらのユーザー・アカウントも、管理APF認可ライブラリに配置する必要があります。これらのユーザー・アカウントには、少なくともメインフレームのSystemAdministratorsグループの権限が必要です。これらのユーザー・アカウントにはメインフレームの通常の管理者以上の権限があります。権限には、読取り権限、書込み権限、実行権限および変更権限が含まれます。 |
メインフレームで次の要件が満たされていることを確認します。
Provisioning AgentおよびReconciliation Agentは、独自のメモリー・サブプールを使用して最大負荷条件に対処します。これらのサブプールでは、操作用にメインフレームのメモリーが1.5〜2.0 MB必要です。これはProvisioning AgentおよびReconciliation Agentをインストールする際に構成します。
プログラム自体に加え、プログラムの実行元のユーザー・アカウントにも、ホスト・プラットフォームのサブプールにアクセスするための認可が必要です。これはシステム・プログラマが構成する必要があります。
Reconciliation Agentは、メインフレームのオペレーティング・システム外で、ユーザーのexitテクノロジを使用して動作します。つまり、オペレーティング・システムとは異なるLPARで稼働します。
コマンドの実行は、ネイティブのメインフレーム・コマンドが完全に完了する直前に、exitを介して渡されます。exitが失敗すると、コマンドも失敗してエラー・メッセージが戻されます。特定のパスワード書式の保持は、カスタムのexitの使用目的の一例です。Oracle Identity Managerのexitは、既存のexitが通常に機能できるよう、最後にコールされるexitとして開発されています。LPAR内のexitを編集した後で、LPARの初期プログラム・ロード(IPL)が必要になる場合があります。
|
注意: システム・コンポーネントの変更または修正が行われた後で、システム・プログラマがIPLを実行する必要があります。 |
Reconciliation AgentおよびProvisioning Agentをデプロイするには、次のようにします。
任意のコンピュータの一時ディレクトリにインストール・メディアから次のファイルの内容を抽出します。
etc/Provisioning and Reconciliation Connector/Mainframe_TS.zip
jcl.xmiファイルおよびlinklib.xmiファイルをメインフレームに転送するか、FTPを介してアップロードします。各ファイルの仕様は次のとおりです。
RECFM=FB、LRECL=80、BLKSIZE=3120、DSORG=PS
メインフレームのTSO環境にログインします。
ISPFコマンドラインから次のコマンドを実行して、CNTLデータセットを展開し、インストール用の出力データセットを作成します。
TSO RECEIVE INDA('IDF.CNTL.XMIT')
リストア・パラメータを指定するよう要求された場合には、次のように入力します。
DA('IDF.LINKLIB')
|
注意: DAはRestoreコマンドのパラメータです。データセットを意味します。 |
LINKLIBデータセットを展開するには、次のコマンドをTSOオプション#6またはReadyコマンドライン・プロンプトから入力します。
TSO RECEIVE INDA('IDF.LINKLIB.XMIT')
リストア・パラメータを入力するよう要求された場合には、次のように入力します。
DA('IDF.LINKLIB')
インストールを完了するには、Reconciliation AgentのIDF.CNTLメンバー#INSTVOY、およびProvisioning Agentのメンバー#INSTPIOの手順に従います。
exitモジュールはz/OSのロード・ライブラリにあるため、インストールを完了するためにIPLが必要な場合と必要ではない場合があります。これは、z/OSのロード・ライブラリがLinkListに追加されているかどうかによって決まります。LinkListは、IPLの実行時に定義されるz/OSの記憶領域です。LDAP Gatewayでイベントをすべて取得するためには、認証リポジトリを共有する各LPARに、Reconciliation Agentおよびexitがインストールされている必要があります。
Reconciliation Agentのexitに関するガイドラインを次に示します。
Reconciliation Agentを実行するために、z/OSのロード・ライブラリにインストールします。
exit(TSSINSTX)は、IPLの起動後にオペレーティング・システムからアクセスできる必要があります。
Linklistに追加するか、STC(Reconciliation Agent)からSTEPLIB経由でアクセス可能にすることもできます。
Reconciliation Agentのexitをアクティブにし、TSSイベントを含むサブプールもアクティブにする必要があります。exitがアクティブではない場合や、サブプールが(Startupの実行により)アクティブ化されていない場合は、Top SecretのイベントのキャプチャとLDAP Gatewayへの送信が実行されません。
単一のLPAR環境では、リコンシリエーション・イベントのリアルタイム・キャプチャを実行するためにReconciliation Agentが必須であり、プロビジョニングを実行するためにProvisioning Agentが必須です。
Top Secretデータベースが共有されている複数のLPAR環境では、マスターLPARによってReconciliation AgentとProvisioning Agentが実行されます。また、TSSINSTXをインストールし、サブプールをアクティブにする必要もあります。
他のLPARから得られたすべてのTop Secretイベントは、CPF経由でマスターに送信されます。
CPFがインストールされていない場合は、イベントはキャプチャされず、各LPARでReconciliation AgentとProvisioning Agentが必須になります。
ここでは次の項目についても説明します。
|
注意: Top Secretに他のexitがインストールされていない場合は、次の項で説明する手順を実行します。 |
Reconciliation Agentのexitをインストールするには、次のようにします。
exitをIDF.LINKLIBからLPARにあるユーザー定義のCA loadlibにコピーします。
ユーザー定義のCA LPA LoadlibをSYS1.PARMLIBメンバーLPALST00に追加します。
z/OSでIPLを実行します。
z/OSオペレータ・コンソールから次のコマンドを実行して、exitコードをアクティブ化します。
'F TSS,EXIT(ON')
|
注意: CA-Top Secret環境のexitは1つのみです。通常、本番デプロイでは独自のカスタム変更がexitにすでに書き込まれています。コネクタで提供されるexitは、外部プログラムへのコールが3つ追加されているという点で、CA-Top Secretで提供されるexitとは異なります。 |
exitのアクティブ化を解除するには、次のコマンドを実行します。
'F TSS,EXIT(OFF)'
|
注意: Top Secretに他のexitがインストールされている場合は、次の項で説明する手順を実行します。 |
Top Secret(SSINSTX)のexitとともに1つ以上のサード・パーティ製モジュールがインストールされている場合は、統合が必須です。この統合を実行するには、Reconciliation Agentのexitまたはサード・パーティ製exitのコードを変更します。
ここでは次の項目について説明します。
Reconciliation Agentのexitを多数の方法で変更し、Top Secretの既存のexitと統合できます。この変更を加えるために、exitのソースがmaclib.xmiファイルの中で提供されています。
|
注意: この手順を実施するのは、経験のあるメインフレーム・プログラマのみに限定する必要があります。exitはz/OSのスーパーバイザー・モードで動作するので、exitを変更する前に適切な注意を払う必要があります。 |
exitのソースを操作するには、次のようにします。
TSOのOption #6を使用してmaclib.xmiファイルをバイナリ・フォーマットでアップロードします。
アップロードが完了した後、次のTSOコマンドを実行します。
RECEIVE da('filename upload')
要求されたときに、データセット名IDF.MACLIB.CNTLを指定します。
maclib.xmiファイルには、標準的なexitに対応するソースおよびマクロであるTSSINSTXが収録されています。これらは、インストール可能なバイナリのアセンブリとリンク編集に使用されます。TSSINSTX DD SYSLIBを次のようにカスタマイズする必要があります。
// SYSLIB DD DISP=SHR,DSN=SYS1.MACLIB // DD DISP=SHR,DSN=SYS1.MODGEN // DD DISP=SHR,DSN=SYS1.AMODGEN // DD DISP=SHR,DSN=CAI.TSSOPMAT // DD DISP=SHR,DSN=IDF.MACLIB.CNTL
SYS1ライブラリはz/OSライブラリであり、CAIはexitマクロを収録したTop SecretのMaclibです。IDF.MACLIB.CNTLは、RECEIVEコマンドで作成するもので、アセンブリに必要なコピーブックを含みます。
アセンブルとリンク編集に関する次のパラメータを変更します。
//AL PROC LMOD='IDF.LINKLIB',
このパラメータは事前定義されたz/OSプロシージャの中にあり、LMODパラメータを使用しますが、LMODはexitモジュールの宛先となるLoadlibの名前を表します。インストール時に、アセンブリおよびこのライブラリに対するリンク編集を実行し、その後(オプションで)APFによってライブラリが許可されます。通常、ライブラリはLinklistの中にとどまります。オペレーティング環境にこのことが該当する場合は、APFによる許可は必須ではありません。
|
注意: Reconciliation Agentのexitに対して実行するのと同様の変更を、サード・パーティ製exitに実行することもできます。ただし、正確な手順は、サード・パーティ製exitの内容によって異なります。 |
ただ1つのモジュールがTop Secretのexit(TSSINSTX)として呼び出されます。他のすべてのexitは、単一の統合型TSSINSTXに統合するか、モジュールが競合しないように名前を変更する必要があります。
Reconciliation Agentのexitの統合は、次の方法のいずれかで実施できます。
Reconciliation Agentのexitを他のexitによる最後の実行対象として使用
|
注意: Reconciliation Agentのexitを最初に呼び出すか、唯一のexitとして使用することをお薦めします。他のexitはデータを変更する可能性があるからです。Reconciliation Agentのexitを呼び出した後でこの動作が発生した場合は、Oracle Identity Managerのデータ・リポジトリとTop Secretのリポジトリは完全な同期ではなくなります。 |
|
注意: Reconciliation Agentのexitのコードに対する変更はexitセクション内で行うので、Reconciliation Agentのexitのコードを実行した後で、他のexitのコードが呼び出されることになります。 |
Reconciliation Agentのexitを他のexitによる最初の実行対象として使用するには、次のようにします。
次のコマンドを実行し、現在インストール済のTSSINSTXのアクティブ化を解除します。
F TSS,EXIT(OFF)
適切なロード・ライブラリの中で、インストール済のTSSINSTXをTSSEXITという名前に変更します。
Reconciliation Agentのexitを次のように変更します。
exitラベルの直後に次の命令を挿入します。
EXIT DS 0H LA R1,R9 Copy parmlist ptr to Reg1(R1) LR R11,R13 Save TSS's savearea PTR LA R13,WORKAREA L R15,=V(TSSEXIT) Load Reg15 with address of TSSEXIT BALR R14,R15 LTR R15,R15 LM R0,R14,0(R13) BR R14 End
変更済のexitをインストールのTSS製品ライブラリの中に保存します。
IDF.JCLLIBのASMINSTXメンバーの中で提供されているJCLをカスタマイズし、実行します。
この結果、カスタマイズ済のTSSINSTXのexitがアセンブルおよびリンク編集されます。
MVS条件コードがすべて0000であるかを調べ、TSSINSTXがアセンブルされたことを確認します。
TSS製品ライブラリがLinklistの中にある場合は、次のコマンドを実行して更新します。
F LLA,REFRESH
更新が完了した後、次のコマンドを実行して新しいexitをアクティブ化します。
F TSS,EXIT(ON)
|
注意: Reconciliation Agentのexitのコードに対する変更はPREINITセクション内で行うので、Reconciliation Agentのexitのコードを実行する前に、他のexitのコードが呼び出されることになります。 |
Reconciliation Agentのexitを他のexitによる最後の実行対象として使用するには、次のようにします。
次のコマンドを実行し、現在インストール済のTSSINSTXのアクティブ化を解除します。
F TSS,EXIT(OFF)
適切なロード・ライブラリの中で、インストール済のTSSINSTXをTSSEXITという名前に変更します。
Reconciliation Agentのexitを次のように変更します。
PREINITのうち##MATRIXバイトを、#####YESという値に変更します。
PREINITラベルの直後に次の命令を挿入します。
LA R1,R9 Copy parmlist ptr to Reg1(R1) LR R11,R13 Save TSS's savearea PTR LA R13,WORKAREA L R15,=V(TSSEXIT) Load Reg15 with address of TSSEXIT BALR R14,R15 B PASSPASS Branch to continue
変更済のexitをインストールのTSS製品ライブラリの中に保存します。
IDF.JCLLIBのASMINSTXメンバーの中で提供されているJCLをカスタマイズし、実行します。
この結果、カスタマイズ済のTSSINSTXのexitがアセンブルおよびリンク編集されます。
MVS条件コードがすべて0000であるかを調べ、TSSINSTXがアセンブルされたことを確認します。
TSS製品ライブラリがLinklistの中にある場合は、次のコマンドを実行して更新します。
F LLA,REFRESH
更新が完了した後、次のコマンドを実行して新しいexitをアクティブ化します。
F TSS,EXIT(ON)
最初に実行されるexitおよび最後に実行されるexitに関して説明した変更を組み合せることにより、実行スタックの中間で呼び出されるように、Reconciliation Agentのexitを構成できます。
次の項で、LDAP Gatewayに対するTCP/IP接続を確立する方法、および初期タスクの作成と操作について説明します。
|
注意:
|
この項では、TCP/IPをメッセージ・トランスポート・レイヤーとして構成する方法について説明します。TCP/IPの使用方法の詳細は、システム・プログラマに確認してください。メッセージのプーリング、およびメインフレームやLDAP Gatewayサーバーの両方の負荷を大幅に減らすことができる、ステートフル接続の確立を目的とします。
LDAP Gatewayに対するTCP/IP接続を確立するには、次のようにします。
Provisioning Agent初期タスクを開始します。このタスクも、指定されたIPアドレスおよびポート番号のLDAP Gatewayに対してTCP/IP接続を確立するよう事前に設定されています。
Reconciliation Agentにも同様の手順を適用します。LDAP Gatewayを起動し、Reconciliation Agent初期タスクを開始します。
TCP/IPをメッセージ・トランスポート・レイヤーとして使用するには、次のIPアドレスが必要です。
メインフレームで使用されるIPアドレス
ルーター用のIPアドレス
ドメイン・ネーム・サーバー用のIPアドレス
|
注意: TCP/IPをメッセージ・トランスポート・レイヤーとして使用するには、メインフレームにポートを作成し、セキュリティ認可を指定するために、システム・プログラマの協力が必要になることがあります。 |
コネクタに同梱されているProvisioning AgentおよびReconciliation AgentのJCLプロシージャを編集して、環境ごとに異なるユーザー・パラメータを指定する必要があります。Provisioning AgentおよびReconciliation AgentのJCLを編集するには、VoyagerおよびPioneerの初期タスク(STC)のプロシージャを編集する必要があります。次のようにします。
PARM='TCPN=TCPIP'の値を実行中のTCP/IP初期タスクの名前に変更します。
IPアドレスを、Provisioning Agentを起動するLPAR(z/OSシステム)のアドレスに変更します。
ポート番号を、Provisioning Agentを起動するLPAR(z/OSシステム)に割り当てられたポートに変更します。
Voyager Reconciliation Agentの場合、TSOによってVOYAGERXプロシージャが次のように編集されます。
//VOYAGERX EXEC PGM=VOYAGERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=&SERVER', ------ This must match the IP address of the LDAP Gateway.
// 'PORT=&PORT', ----- Port must be 5190.
// 'DEBUG=Y',
// 'ESIZE=16',
// 'DELAY=10',
// 'STARTDELAY=10',
// 'PRTNCODE=SHUTRC')
//STEPLIB DD DISP=SHR,DSN=IDF.LINKLIB ------This is not required for Linklist.
// DD DISP=SHR,DSN=TCPIP.SEZATCP
//CACHESAV DD DSN=VOYAGER.CACHESAV,DISP=SHR
//SYSPRINT DD SYSOUT=X
//SYSUDUMP DD SYSOUT=X
//
各パラメータの意味は次のとおりです。
ESIZE=16は、AES暗号化を指定するために使用されます。
DELAY=01〜99(秒)。これはTop Secretキャッシュ用です。DELAYの値は、CA-Top Secretを実行するほとんどのz/OSシステムでは10になります。
STARTDELAY=10は推奨値(秒)です。
PRTNCODE=SHUTRCは、Reconciliation Agentが停止した後にすべてのMVS条件コードを示します。
PRTNCODE=SHUTRCは、Reconciliation Agentが停止した後にすべてのMVS条件コードを示します。また、PRTNCODE=TERMRCは、Reconciliation Agentが停止した後にMVS条件コード0000(正常終了を示す)を表示します。
|
注意: Reconciliation Agentを停止するには、z/OSのオペレータ・コンソールから次のコマンドを実行します。'F VOYAGER,SHUTDOWN' Provisioning Agentを停止するには、z/OSのオペレータ・コンソールから次のコマンドを実行します。 'F PIONEER,SHUTDOWN' |
TCPN=TCPIPはTCPIP STCの名前です。
DEBUGには、Reconciliation AgentとProvisioning Agentの両方に対して次のいずれかを指定できます。
デバッグ内容を出力しない場合はN
デバッグ内容を出力する場合はY
詳細なデバッグはZ
|
注意: メンバーを編集しようとして「データセット使用中」というメッセージが表示された場合は、[F1]キーを2回押すと、編集しようとしたメンバーの詳細が表示されます。例外を引き起こしたジョブの名前が表示されます。z/OSコンソールで、pまたはcコマンドを使用してジョブを削除できます。 |
Reconciliation Agentを操作する際には、次のガイドラインを適用してください。
Reconciliation Agentを起動する前に、サブプール(RUNSTART.JCL)を起動する必要があります。サブプールは、メッセージ作成のためのメモリー内記憶域として使用されます。
TCP/IPを使用しているため、LDAP Gatewayを最初に起動する必要があります。Reconciliation Agentを最初に起動すると、LDAP Gatewayが使用できないため、RETCODE=-01およびERRORNO=61のエラーが生成されます。
Voyager Cachesavデータセット:
Voyager Reconciliation AgentのCachesavデータセットを次のデータセット属性を使用して事前に割り当てます。
DSORG=PS, LRECL=32, RECFM=FB, BLKSIZE=27968, CYLS = 5
Pioneer Provisioning Agentの場合:
//PIONEER EXEC PGM=PIONEERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=0.0.0.0',
// 'PORT=5790',
// 'DEBUG=N',
// 'ESIZE=16',
// 'LPAR=XXXXXXXX')
//STEPLIB DD DSN=IDF.LINKLIB ,DISP=SHR
//SYSPRINT DD SYSOUT=*
//SYSPUNCH DD SYSOUT=(*,INTRDR)
//SYSUDUMP DD SYSOUT=*
各パラメータの意味は次のとおりです。
TCPN=TCPIPはTCPIP STCの名前です。
IPADは常に0にする必要があります。
PORT=5790は、LDAP Gatewayのプロビジョニング・ポートと一致する必要があります。
ESIZE=16はこのままにしておく必要があります。
LPAR= 'XXXXXXXX'。これは、Provisioning Agentが実行するシステム・パーティションを示す8文字の一意識別子です。
Provisioning AgentおよびReconciliation Agentの設定と実行には、2つの異なるJCLがあります。各エージェント用のJCLメンバーがあります。RUNPIONXおよびRUNVOYAXは、初期タスクを設定するためのサンプルです。
RUNPIONXのパラメータ:
TCPN: TCPプロセスの名前
IPAD: Provisioning Agentが実行するコンピュータのIPアドレス
PORT: Provisioning Agentの着信接続ポート
DEBUG: 追加の出力を表示するためのデバッグ・スイッチ
ESIZE: AES暗号化の使用
RUNVOYAXのパラメータ:
TCPN: TCPプロセスの名前
IPAD: 接続されるReconciliation AgentのコンピュータのIPアドレス
PORT: Reconciliation Agentの発信接続ポート
DEBUG: トラブルシューティングに役立つ大容量の出力をz/OS JES2キューに生成するためのデバッグ・スイッチ
ESIZE: AES暗号化の使用
各プログラムのソース・コードを次に示します。
RUNPIONXの場合:
//PIONEERX EXEC PGM=PIONEERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=&SERVER',
// 'PORT=&PORT'
// 'DEBUG=Y',
// 'ESIZE=16',
// 'LPAR=TOPSECRET-SYS')
// 'LPAR= name ')
//STEPLIB DD DISP=SHR,DSN=IDF.LINKLIB
// DD DISP=SHR,DSN=TCPIP.SEZATCP
//BATJINFO DD DISP=SHR,DSN=hlq.BATJCARD
//VSAMGETU DD DISP=SHR ,DSN=hlq.SWUSERS
//VSAMGETO DD DISP=SHR,DSN=hlq.TOPSCOUT
//SYSPRINT DD SYSOUT=X
//SYSUDUMP DD SYSOUT=X
//
|
注意: このコードでは、hlqはインストール上位レベル修飾子を表します。 |
RUNVOYAXの場合:
//VOYAGERX EXEC PGM=VOYAGERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=&SERVER', ß--- must match LDAPS IP address
// 'PORT=&PORT', ß--- must be Port 5190
// 'DEBUG=Y',
// 'ESIZE=16',
// 'DELAY=00',
// 'STARTDELAY=10',
// 'PRTNCODE=SHUTRC')
//STEPLIB DD DISP=SHR,DSN=IDF.LINKLIB ß- not required for Linklist
// DD DISP=SHR,DSN=TCPIP.SEZATCP
//CACHESAV DD DSN=VOYAGER.CACHESAV,DISP=SHR
//SYSPRINT DD SYSOUT=X
//SYSUDUMP DD SYSOUT=X
//
Reconciliation Agentの場合:
Cachesavのデータセット属性は次のとおりです。
Cachesav - DSORG(PS),LRECL=(32),RECFM=(FB),BLKSIZE=(27968)
Pioneerの必須データセットそれぞれのデータセット属性を次に示します。
1. BATJCARD - DSORG=(PS),LRECL=(80),RECFM=(FB),BLKSIZE=(8000) 2. VSAMGETU - DSORG=(PS),LRECL=(80),RECFM=(FB),BLKSIZE=(8000) 3. VSAMGETO - DSORG=((PS),LRECL=(133),RECFM=(FB),BLKSIZE=(27930)
VSAMGETUは使用されない場合も割り当てる必要があります。
|
注意: BATJINFO、VSAMGETOおよびVSAMGETUは、CA-Top Secretでは必須ではありません。これらはTSO ISPFオプション3.2で割り当てる必要があります。 |
