3 IBM OS/400でのコネクタのデプロイ

コネクタのReconciliation Agentコンポーネントは、メインフレームにインストールする必要があります。このエージェントおよびエージェントに必要なexitのインストールと構成について、次の各項で説明します。

• デプロイ要件の確認

• Reconciliation Agentのデプロイ

• Reconciliation Agentのexitのインストール

• メッセージ・トランスポート・レイヤーの構成

3.1 デプロイ要件の確認

表3-1に、Reconciliation Agentをインストールするためのハードウェア、ソフトウェアおよび認可の前提条件を示します。

表3-1 デプロイ要件の確認

項目	要件
オペレーティング・システム	IBM OS/400 さらに、すべての現行パッチがインストールされていることを確認してください。
メッセージ・トランスポート・レイヤー	JTOpenバージョン5.1.1および5.2（オープン・ソースまたは市販のサポート・バージョン）
IBM OS/400 IDリポジトリ	IBM OS/400バージョン5.2以上 さらに、IBM OS/400の現行パッチがインストールされていることを確認してください。
Provisioning AgentおよびReconciliation Agentのターゲット・システムのユーザー・アカウント	IBM OS/400のSystemAdministrators権限および特殊権限

Reconciliation AgentおよびProvisioning Agentの両方について、メインフレームでIBM OS/400システム・コマンドを実行するために必要な権限を持つ、起動済のタスクおよびサービス・アカウントが必要です。

また、これらのエージェントは、メインフレームのユーザー・アカウントで機能します。このユーザー・アカウントは、エージェントをデプロイする前にシステム・プログラマが作成する必要があります。

注意: Provisioning AgentおよびReconciliation Agentのどちらのユーザー・アカウントもOS/400システムのSystemAdministratorsグループ権限が必要です。

3.1.1 環境の設定および要件

Reconciliation Agentは、メインフレームのオペレーティング・システム外で、ユーザーのexitテクノロジを使用して動作します。つまり、オペレーティング・システムとは異なるLPARで稼働します。

コマンドの実行は、ネイティブのメインフレーム・コマンドが完全に完了する直前に、exitを介して渡されます。exitが失敗すると、コマンドも失敗してエラー・メッセージが戻されます。特定のパスワード書式の保持は、カスタムのexitの使用目的の一例です。Oracle Identity Managerのexitは、既存のexitが通常に機能できるよう、最後にコールされるexitとして開発されています。LPAR内のexitを編集した後で、LPARの初期プログラム・ロード（IPL）が必要になる場合があります。

3.2 Reconciliation Agentのデプロイ

Reconciliation Agentは、ターゲット・システムにデプロイする必要があります。コネクタのデプロイ時に、Provisioning Agentに特別な構成は必要ありません。このコネクタのプロビジョニング機能を使用するために、LDAP Gatewayおよびメッセージ・トランスポート・レイヤーが正確に構成されていることを確認してください。

関連項目: LDAP Gatewayのインストールおよび構成の手順は、「LDAP Gatewayのインストールおよび構成」を参照してください。 メッセージ・トランスポート・レイヤーのインストールおよび構成の手順は、「メッセージ・トランスポート・レイヤーの構成」を参照してください。

Reconciliation Agentをデプロイするには、次のようにします。

1. /etc/Provisioning and Reconciliation Connector/OIMIDFEX.SAVFファイルをメインフレームの任意のディレクトリに転送またはFTP送信します。

   
   

   注意: この手順では、ファイルの転送先のディレクトリをLSVALGAARDとします。

   
   

2. OIMIDFEX.SAVFファイルの内容を表示するには、次のようにDSPSAVFコマンドを実行します。

   DSPSAVF   FILE(SAMPLIB/OIMIDFEX)
   

   DSPSAVFコマンドの出力を次に示します。

   ==============================================================================
                          Display Saved Objects - Save File          ,
   
   Library saved  . . . :   ORIGLIB               Release level  . . . :
   V4R5M0
   ASP  . . . . . . . . :   1                     Data compressed  . . :   No
   Save file  . . . . . :   OIMIDFEX              Objects displayed  . :   3
     Library  . . . . . :     ORIGLIB             Objects saved  . . . :   3
   Records  . . . . . . :   688                   Access paths . . . . :   0
   Save command . . . . :   SAVOBJ
   Save active  . . . . :   *NO
   Save date/time . . . :   01/20/07   01:28:35
   
   Type options, press Enter.
     5=Display saved data base file members
   
   Opt  Object             Type     Attribute     Owner         Size (K)   Data
        XUSRPWD            *PGM     CLE           ORIGLIB            236   YES
        NOTIFY             *PGM     CLE           ORIGLIB             68   YES
        QCSRC              *FILE    PF            ORIGLIB             24   YES
   
   F3=Exit        F12=Cancel
   
   ===============================================================================
   

3. RSTOBJ（リストア・オブジェクト）コマンドを実行して、OIMIDFEX.SAVFファイル内のオブジェクトをリストアします。このコマンドの構文は、次のとおりです。

   RSTOBJ OBJ(*ALL) SAVLIB(ORIGLIB) DEV(*SAVF) SAVF(SAMPLIB/OIMIDFEX) RSTLIB(NEWLIB)
   

   RSTOBJコマンドによって、新しいターゲット・ライブラリ内のリストアされたオブジェクトが保存されます。コマンドの詳細は次のとおりです。

   • SAVLIBパラメータは、元のライブラリ名を入力として使用します。コマンドのORIGLIBを元のライブラリ名に置換してください。

   • DEV(*SAVF)は、保存ファイルが使用されることを示します。

   • SAVFパラメータは、保存ファイルのディレクトリ名およびファイル名を使用します。

   • RSTLIBパラメータは、保存ファイルのオブジェクトのリストア先である新しいライブラリを使用します。コマンドのNEWLIBを新しいライブラリ名に置換してください。

   必要に応じて、汎用ライブラリ（QGPL）を新しいターゲット・ライブラリとして指定します。QGPLは、システムまたはユーザーが使用できる、IBM OS/400に既存するライブラリです。

3.3 Reconciliation Agentのexitのインストール

LSVALGAARDディレクトリにコネクタ保存ファイルをコピーした後で、Reconciliation Agentのexitをインストールします。すでに述べたように、コネクタのexitは既存のexitが通常に機能できるよう、最後に呼び出されるexitとして開発されています。Reconciliation Agentのexitをインストールするには、次のようにします。

注意: Reconciliation Agentは、メニュー方式またはコマンド方式のいずれかのインストール・プロトコルでインストールできます。次の手順は、メニュー方式のプロトコルの使用を仮定しています。

1. システム管理者としてIBM OS/400システムにログインします。

2. コネクタ・ライブラリ・ファイルおよびオブジェクトがLSVALGAARDディレクトリに存在することを確認します。

   
   

   関連項目: コネクタ・ファイルをLSVALGAARDディレクトリにコピーする手順は、「Reconciliation Agentのデプロイ」を参照してください。

   
   

3. 次のように、ユーザーのexit登録プログラムWRKREGINFを起動します。

        Parameters or command
        ===> WRKREGINF
   

   IBM OS/400で、exitプログラムが動的にコールされます。つまり、exitプログラムがシステムで登録されている場合、新しいバージョンのプログラムを登録することなく置換できます。

4. IBM OS/400で、Reconciliation Agentに必要なexitポイントを登録する必要があります。WRKREGINFプログラムの実行時に表示されるメニューから、グループ単位または一度に1つずつ登録するexitポイントに対して、オプション8を選択します。次のexitが登録されます。

   QIBM_QSY_CHG_PROFILE  CHGP0100     *YES     Change User Profile
   QIBM_QSY_CRT_PROFILE  CRTP0100     *YES     Create User Profile
   QIBM_QSY_DLT_PROFILE  DLTP0200     *YES     Delete User Profile - before
   QIBM_QSY_RST_PROFILE  RSTP0100     *YES     Restore User Profile
   QIBM_QSY_VLD_PASSWRD  VLDP0100     *YES     Validate Password
   

   各exitポイントには関連するexitポイント形式があります。exitプログラムに渡される形式により、他に渡される情報の形式も決定されます。

   ユーザー・プロファイルの変更、作成および削除には、CHG_PROFILE（変更）、CRT_PROFILE（作成）およびDLT_PROFILE（削除）の各exitポイントを使用します。

   
   

   注意: 1人のユーザーが複数のオブジェクトを所有して、複数のリストおよび内部表に存在する可能性があるため、1つのユーザー・プロファイルの削除に長時間かかることもあります。ユーザーを削除した後、そのユーザーの全エントリのクリーンアップ処理に長時間かかります。そのため、クリーンアップ処理にバッチ・ジョブを使用できます。クリーンアップ・ジョブの開始前および終了時の2つの削除ポイントがあります。つまり、ユーザー・プロファイルの削除処理でアクションが監視されるのは2回のみです。Reconciliation Agentが監視するのは、クリーンアップ・ジョブの前の削除ポイントのみです。

   
   

5. 次のexitポイントを登録します。

   • RST_PROFILE（リストア）: システム全体のリストア操作時を除く通常の操作時に、ユーザー・プロファイルを保存ファイルからリストアする場合に使用します。

   • VLD_PASSWRD : ユーザーがパスワードを変更したときにコールされます。

     
     

     注意: RST_PROFILE exitポイントは、初期パスワードを使用してユーザー・プロファイルを作成する場合またはセキュリティ管理者がユーザーのパスワードを変更する場合にはコールされません。このIBM社の設計の制限事項は、別のexitポイントQIBM_QSY_CHK_PASSWRDを導入することにより、IBM OS/400 V5R4では修正されています。

     
     

   • XUSRPWD: QIBM_QSY_CHG_PROFILEで登録する必要があります。ただし、その際にこのポイントに登録されている既存のexitプログラムが見つかる場合があります。次のコードの例では、QGLDPUEXITは、メイン・システム・ライブラリQSYS内のこのexitポイントを表します。つまり、IBM OS/400システム自体では、その機能を拡張するためにこのexitポイントが使用されます。

                    Exit
                  Program     Exit
      Opt          Number     Program        Library
      1                       XUSRPWD        LSVALGAARD
               2147483647     QGLDPUEXIT     QSYS
     

     exitプログラムが実行する順番を決定するexitプログラム番号を考慮に入れる必要もあります。通常、システムexitプログラムは処理順序の最後に実行されるため、exitプログラム番号の数字は非常に大きくなります（2147483647）。Oracle Identity Managerカスタム・ユーザーのexitプログラムおよびそのライブラリを入力して、exitプログラムを追加するためのオプション1を選択します。

6. [Enter]キーを押します。次の値を含む「Add」画面が表示されます。

    Exit point . . . . . . . . . > QIBM_QSY_CHG_PROFILE
    Exit point format  . . . . . > CHGP0100      Name
    Program number . . . . . . . > 1             1-2147483647, *LOW, *HIGH
    Program  . . . . . . . . . . > XUSRPWD       Name
      Library  . . . . . . . . . >   LSVALGAARD  Name, *CURLIB
    Threadsafe . . . . . . . . .   *UNKNOWN      *UNKNOWN, *NO, *YES
    Multithreaded job action . .   *SYSVAL       *SYSVAL, *RUN, *MSG, *NORUN
    Text 'description' . . . . .   *BLANK
   

   [Enter]キーを押してプログラムを追加し、[F5]キーを押してシステムをリフレッシュして結果を表示します。

   
   

   注意: exitプログラムは、exitプログラムをコールするコマンドを発行するジョブまたはユーザーの環境（アクティベーション・グループという）で実行されます。すなわち、現行ライブラリ（*CURLIB）値の変更が多く、システムがexitプログラムを検索できない場合があります。画面出力のように、システムがexitプログラムを検索できるライブラリは、通常、ハードコード化されてexitプログラム登録に記述されます。

   
   

7. 次の画面出力のように、exitポイントを登録します。

                Program     Exit
    Opt          Number     Program        Library
   
                      1     XUSRPWD        LSVALGAARD
             2147483647     QGLDPUEXIT     QSYS
   
   
   Exit point:   QIBM_QSY_CHG_PROFILE     Format:   CHGP0100
   
   Exit point:   QIBM_QSY_CRT_PROFILE     Format:   CRTP0100
   
   Exit point:   QIBM_QSY_DLT_PROFILE     Format:   DLTP0200
   
   Exit point:   QIBM_QSY_RST_PROFILE     Format:   RSTP0100
   
   Exit point:   QIBM_QSY_VLD_PASSWRD     Format:   VLDP0100
   

   
   

   注意: IBM OS/400 V5R4では、CHK_PASSWRD exitポイントも登録します。

   
   

8. WRKSYSVALコマンドを入力して、次に示す行にスクロール・ダウンします。

   QPWDVLDPGM  *SEC     Password validation program
   

   WRKSYSVALコマンドを使用すると、システム構成のほとんどを制御するシステム値を変更できます。

   
   

   注意: 汎用登録機能が導入される前は、パスワード検証プログラムが使用されていました。これは、システム値設定を介して処理されました。

   
   

9. QPWDVLDPGMのオプション2を選択します。

10. XUSRPWD exitプログラムが様々なexitポイントに追加された後、それらのexitポイントにNOTIFY exitプログラムを追加します。NOTIFYプログラムは、リアルタイム・イベントをLDAP Gatewayに通知します。このexitプログラムは、XUSRPWD exitプログラムの実行後にトリガーする必要があるため、プログラム番号2を使用して定義する必要があります。NOTIFY exitプログラムは、CHGP0100、CRTP0100およびDLTP0200の各exitのみに対して登録する必要があります。

これでReconciliation Agentのexitのインストールが完了します。

注意: *REGFACのかわりにexitプログラムを指定しないでください。これは、既存の検証プログラムを妨げます。現在は、この方法で検証プログラムを指定することは無効です。IBM OS/400 Advanced Connectorのコードは、廃止された検証プログラムをサポートしていません。 QSECURITYシステム値がシステムのセキュリティ・レベルを決定します。最高（最も安全）レベルはレベル50です。IBM OS/400 Advanced Connectorは、レベル50向けに設計され、合格しています。

3.4 メッセージ・トランスポート・レイヤーの構成

IBM OS/400システムのメッセージ・トランスポート・レイヤーを構成するには、NOTIFY exit IPアドレスを構成します。手順は次のとおりです。

1. 編集するためにQCSRC/IPPARMSファイルを開きます。このファイルには、LDAP GatewayのIPアドレスおよびポート番号が含まれています。Notify exitは、QCSRC/IPPARMSファイルのLDAP Gateway（Oracle Identity Managerホスト・コンピュータにインストール済）のIPアドレスおよびポート番号のパラメータを使用します。

   標準のポート番号は5490です。この番号は、実際のポート番号の前に0を付けて6桁で入力する必要があります。たとえば、5490は005490と入力する必要があります。ポート番号の後ろにコロン（:）記号、LDAP GatewayサーバーIP、さらにコロン記号の順に入力します。次に例を示します。

   005490:10.0.0.1:
   

   QCSRC/IPPARMSファイル内のIPアドレスおよびポート番号により、リアルタイム変更を通知するLDAP Gatewayが識別されます。

   
   

   注意: ポート番号は、最初に0を付けた状態で最初の6文字の位置に使用してください。コロンの文字位置は7番目です。IPアドレスの文字位置は8番目から始まり、そのサイズは様々です。ただし、その後にコロンを使用してください。

   
   

2. QCSRC/IPPARMSファイルを保存します。IBM OS/400へのこの変更は、IPLを必要としません。