RACF LDAP
RACF LDAP リソースアダプタは、OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。可能であれば、アダプタは z/OS Security Server に含まれる LDAP サーバーに接続し、ユーザーアカウントを管理します。その他すべての機能は、RACF システムへの標準的な呼び出しによって処理されます。
RACF LDAP リソースアダプタは、com.waveset.adapter.RACF_LDAPResourceAdapter クラスで定義されます。
このアダプタは、LDAP リソースアダプタを拡張します。LDAP 機能の実装については、LDAP アダプタのマニュアルを参照してください。
リソースを設定する際の注意事項
Z/OS Security Server は、RACF アカウントのソースとして機能するマシンと同じマシン上にインストールされる必要があります。
Identity Manager 上で設定する際の注意事項
RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
- RACF LDAP リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。
com.waveset.adapter.RACF_LDAPResourceAdapter
- 該当する JAR ファイルを、Identity Manager がインストールされた WEB-INF/lib ディレクトリにコピーします。
|
Connection Manager
|
JAR ファイル
|
|
Host On Demand
|
IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL が含まれる推奨 JAR ファイルは habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、および V9.0 に含まれるバージョンです。
ただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の JAR ファイルを habeans.jar の代わりに使用できます。
- habase.jar
- hacp.jar
- ha3270.jar
- hassl.jar
- hodbase.jar
詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。
|
|
Attachmate WRQ
|
- RWebSDK.jar
- wrqtls12.jar
- profile.jaw
|
- Waveset.properties ファイルに次の定義を追加し、端末セッションを管理するサービスを定義します。
serverSettings.serverId.mainframeSessionType=Value
serverSettings.default.mainframeSessionType=Value
Value は次のように設定できます。
- 1 - IBM Host On--Demand (HOD)
- 3 - Attachmate WRQ
これらのプロパティーが明示的に設定されていなければ、Identity Manager は WRQ を使用し、次に HOD を使用します。
- Waveset.properties に加えた変更を有効にするために、アプリケーションサーバーを再起動します。
使用上の注意
管理者
TSO セッションでは、複数の同時接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。したがって、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。
クラスタ環境で実行する場合は、クラスタ内のサーバーごとに 1 人の管理者を定義します。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO の場合は、クラスタ内のサーバーごとに異なる管理者にします。
クラスタを使用しない場合は、各行のサーバー名が同じ (Identity Manager ホストマシンの名前) になるようにしてください。
|
|
注
|
ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。
同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。
|
|
リソースアクション
RACF LDAP アダプタに必要なリソースアクションは login と logoff です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。
login および logoff リソースアクションの作成については、「メインフレームの例」を参照してください。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は TN3270 接続を使用してリソースと通信します。
RACF LDAP リソースへの SSL 接続に関する詳細については、「メインフレーム接続」を参照してください。
必要な管理特権
RACF LDAP リソースと接続する管理者には、RACF ユーザーの作成と管理を行うための十分な特権が与えられている必要があります。
「User DN」リソースパラメータフィールドで指定されたユーザーに、ユーザーの読み取り、書き込み、削除、および追加のアクセス権を付与する必要があります。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
|
機能
|
サポート状況
|
|
アカウントの有効化/無効化
|
使用可
|
|
アカウントの名前の変更
|
使用可
|
|
パススルー認証
|
使用不可
|
|
前アクションと後アクション
|
使用可
|
|
データ読み込みメソッド
|
|
アカウント属性
属性がサポートされるかどうかは、通常、属性の構文 (または型) によって決まります。一般に、Identity Manager は boolean 型、文字列型、整数型、およびバイナリ型の構文をサポートします。バイナリ属性は、バイト配列としてのみ安全に表現できる属性です。
次の表に、サポートされている LDAP 構文の一覧を示します。ほかの LDAP 構文でも、事実上 boolean 型、文字列型、または整数型であれば、サポートされる可能性があります。オクテット文字列はサポートされません。
|
LDAP 構文
|
属性タイプ
|
オブジェクト ID
|
|
Audio
|
Binary
|
1.3.6.1.4.1.1466.115.121.1.4
|
|
Binary
|
Binary
|
1.3.6.1.4.1.1466.115.121.1.5
|
|
Boolean
|
Boolean
|
1.3.6.1.4.1.1466.115.121.1.7
|
|
Country String
|
String
|
1.3.6.1.4.1.1466.115.121.1.11
|
|
DN
|
String
|
1.3.6.1.4.1.1466.115.121.1.12
|
|
Directory String
|
String
|
1.3.6.1.4.1.1466.115.121.1.15
|
|
Generalized Time
|
String
|
1.3.6.1.4.1.1466.115.121.1.24
|
|
IA5 String
|
String
|
1.3.6.1.4.1.1466.115.121.1.26
|
|
Integer
|
Int
|
1.3.6.1.4.1.1466.115.121.1.27
|
|
Postal Address
|
String
|
1.3.6.1.4.1.1466.115.121.1.41
|
|
Printable String
|
String
|
1.3.6.1.4.1.1466.115.121.1.44
|
|
Telephone Number
|
String
|
1.3.6.1.4.1.1466.115.121.1.50
|
デフォルトのアカウント属性
次の属性は、RACF LDAP リソースアダプタの「アカウント属性」ページに表示されます。
|
リソースユーザー属性
|
データの種類
|
説明
|
|
racfPassword
|
暗号化されています
|
リソースに対するユーザーのパスワード
|
|
RACF.GROUPS
|
String
|
ユーザーに割り当てられたグループ
|
|
RACF.GROUP-CONN-OWNERS
|
String
|
グループ接続所有者
|
|
RACF.USERID
|
String
|
必須。ユーザーの名前
|
|
RACF.MASTER CATALOG
|
String
|
マスターカタログ
|
|
RACF.USER CATALOG
|
String
|
ユーザーカタログ
|
|
RACF.CATALOG ALIAS
|
String
|
カタログ別名
|
|
racfOwner
|
String
|
プロファイルの所有者
|
|
racfProgrammerName
|
String
|
ユーザーの名前
|
|
racfInstallationData
|
String
|
インストール定義データ
|
|
racfDefaultGroup
|
String
|
ユーザーのデフォルトグループ
|
|
RACF.EXPIRED
|
Boolean
|
パスワードを期限切れにするかどうかを示します。
|
|
RACF.PASSWORD INTERVAL
|
String
|
パスワード間隔
|
|
SAFAccountNumber
|
String
|
ログオン時に使用されるユーザーのデフォルトの TSO アカウント番号
|
|
SAFDefaultCommand
|
String
|
ログオン時のデフォルトのコマンド
|
|
SAFHoldClass
|
String
|
ユーザーのデフォルトの TSO 保持クラス
|
|
SAFJobClass
|
String
|
ユーザーのデフォルトの TSO ジョブクラス
|
|
SAFMessageClass
|
String
|
ユーザーのデフォルトの TSO メッセージクラス
|
|
SAFDefaultLoginProc
|
String
|
ユーザーのデフォルトの TSO ログオン手順の名前
|
|
SAFLogonSize
|
Int
|
ユーザーがログオン中に領域サイズを要求しない場合の最小 TSO 領域サイズ
|
|
SAFMaximumRegionSize
|
Int
|
ユーザーがログオン中に要求できる最大 TSO 領域サイズ
|
|
SAFDefaultSysoutClass
|
String
|
ユーザーのデフォルトの TSO SYSOUT クラス
|
|
SAFDefaultUnit
|
String
|
手順による割り当てに使用される TSO デバイスまたはデバイスグループのデフォルトの名前
|
|
SAFUserdata
|
String
|
インストール定義データ
|
|
SAFDefaultCommand
|
String
|
TSO のデフォルトのコマンド
|
|
racfOmvsUid
|
String
|
ユーザーの OMVS ユーザー識別子
|
|
racfOmvsHome
|
String
|
ユーザーの OMVS ホームディレクトリパス名
|
|
racfOmvsInitialProgram
|
String
|
ユーザーの初期 OMVS シェルプログラム
|
|
racfOmvsMaximumCPUTime
|
Int
|
ユーザーの OMVS RLIMIT_CPU (最大 CPU 時間)
|
|
racfOmvsMaximumAddressSpaceSize
|
Int
|
ユーザーの OMVS RLIMIT_AS (最大アドレス空間サイズ)
|
|
racfOmvsMaximumFilesPerProcess
|
Int
|
ユーザーの OMVS プロセスあたりの最大ファイル数
|
|
racfOmvsMaximumProcessesPerUID
|
Int
|
ユーザーの OMVS UID あたりの最大プロセス数
|
|
racfOmvsMaximumThreadsPerProcess
|
Int
|
ユーザーの OMVS プロセスあたりの最大スレッド数
|
|
racfOmvsMaximumMemoryMapArea
|
Int
|
ユーザーの OMVS 最大メモリーマップサイズ
|
|
racfTerminalTimeout
|
String
|
ユーザーがアイドル状態になってから CICS によってサインオフされるまでの時間
|
|
racfOperatorPriority
|
String
|
ユーザーの CICS オペレータ優先順位
|
|
racfOperatorIdentification
|
String
|
ユーザーの CICS オペレータ識別子
|
|
racfOperatorClass
|
String
|
ユーザーが BMS (基本マッピングサポート) メッセージを受信する CICS オペレータクラス
|
|
racfOperatorReSignon
|
String
|
XRF 引き継ぎの発生時にユーザーが CICS によってサインオフされるかどうかを示す設定
|
|
racfNetviewOperatorClass
|
String
|
オペレータのクラス
|
|
NETVIEW.NGMFVSPN
|
String
|
NetView Graphic Monitor Facility ビューを表示したり、ビュー内にリソースを表示したりする際の、オペレータの権限を定義します。
|
|
racfNGMFADMKeyword
|
String
|
このオペレータが NetView グラフィックモニター機能を使用できるかどうかを示します (NO または YES)。
|
|
racfMessageReceiverKeyword
|
String
|
オペレータが非送信請求メッセージを受信するかどうかを示します (NO または YES)。
|
|
racfNetviewInitialCommand
|
String
|
NetView オペレータがログインしたときにこの NetView によって実行される初期コマンドまたはコマンドリスト
|
|
racfDomains
|
String
|
ドメイン識別子
|
|
racfCTLKeyword
|
String
|
GLOBAL、GENERAL、または SPECIFIC コントロールを指定します。
|
|
racfDefaultConsoleName
|
String
|
MCS コンソール識別子
|
デフォルトでサポートされるオブジェクトクラス
デフォルトでは、RACF LDAP リソースアダプタは、LDAP ツリーに新しいユーザーオブジェクトを作成するときに次のオブジェクトクラスを使用します。ほかのオブジェクトクラスが追加される場合もあります。
- racfuser
- racfUserOmvsSegment
- racfCicsSegment
- SAFTsoSegment
- racfNetviewSegment
リソースオブジェクトの管理
なし
アイデンティティーテンプレート
$accountId$
サンプルフォーム
なし
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスのうち 1 つ以上でトレースオプションを設定します。
- com.waveset.adapter.RACF_LDAPResourceAdapter
- com.waveset.adapter.LDAPResourceAdapter
- com.waveset.adapter.LDAPResourceAdapterBase
