Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java™ System Identity Manager 7.1 リソースリファレンス 

Top Secret

Top Secret リソースアダプタは、TN3270 エミュレータセッションを利用し、OS/390 メインフレーム上のユーザーアカウントおよびメンバーシップの管理をサポートします。

Top Secret リソースアダプタは、com.waveset.adapter.TopSecretResourceAdapter クラスで定義されます。このアダプタは、次のバージョンの Top Secret をサポートします。

Top Secret Active Sync アダプタ (com.waveset.adapter.TopSecretResourceAdapter) は、Identity Manager 5.0 SP1 以後は非推奨になりました。現在、このアダプタのすべての機能は Top Secret アダプタに含まれています。Top Secret Active Sync アダプタの既存インスタンスは引き続き使用できますが、新規インスタンスは作成できません。

リソースを設定する際の注意事項

Top Secret Active Sync アダプタは、FTP を使用して TSSAUDIT 機能から出力を取得することにより動作します。その後、出力を解析して、アカウントの作成、変更、および削除を探します。この機能は、Top Secret Recovery ファイルのデータからレポートを生成します。そのため、Recovery ファイルを有効にし、Active Sync のポーリング間隔内に発生するすべての変更を十分保持できる大きさにします。Active Sync アダプタによる次のポーリングまでに出力が利用可能になるように TSSAUDIT ユーティリティーを実行するためのジョブをスケジュールするとよいでしょう。

オプションの世代データグループ (GDG) に TSSAUDIT の出力結果を格納するように設定できます。GDG には、前のバージョンの TSSAUDIT の出力が格納されます。Active Sync アダプタでは、通常の時間に実行できないイベントが失われないようにするために、GDG からの取得がサポートされています。このアダプタを、失われた可能性があるイベントを複数の世代に戻って取得するように設定できます。

次のサンプル JCL は、TSSAUDIT バッチジョブを実行します。

//LITHAUS7  <<<< Supply Valid Jobcard >>>>>>

//* ****************************************************************

THIS JOB RUNS THE TSS AUDIT PROGRAM 'CHANGES'

//* *    & CREATES A GDG MEMBER FOR IDENTITY MANAGER

//* *  You may choose to use standard MVS Delete/Defines or

//* *  request a system programmer to establish a small GDG

//* ****************************************************************

//AUDIT01  EXEC   PGM=TSSAUDIT,

//         PARM='CHANGES DATE(-01)'

//AUDITOUT DD DSN=auth hlq.LITHAUS.ADMIN.DAILY(+1),

//         DISP=(NEW,CATLG),UNIT=SYSDA,RECFM=FB,LRECL=133,

//         BLKSIZE=2793,SPACE=(CYL,(2,1),RLSE)

//RECOVERY DD   DSN=your.TSS.recovery.file ,DISP=SHR

//AUDITIN  DD DUMMY

Identity Manager 上で設定する際の注意事項

Top Secret リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。

  1. Top Secret リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタム リソース」セクションに次の値を追加してください。

    2. com.waveset.adapter.TopSecretResourceAdapter

  2. 該当する JAR ファイルを、Identity Manager がインストールされた WEB-INF/lib ディレクトリにコピーします。

    3. Connection Manager

    JAR ファイル

    Host On Demand

    IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL が含まれる推奨 JAR ファイルは habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、および V9.0 に含まれるバージョンです。

    ただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の jar を habeans.jar の代わりに使用できます。

    • habase.jar
    • hacp.jar
    • ha3270.jar
    • hassl.jar
    • hodbase.jar

    詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。

    Attachmate WRQ

    • RWebSDK.jar
    • wrqtls12.jar
    • profile.jaw

  3. Waveset.properties ファイルに次の定義を追加し、端末セッションを管理するサービスを定義します。

    4. serverSettings.serverId.mainframeSessionType=Value
    serverSettings.default.mainframeSessionType=Value

    Value は次のように設定できます。

    • 1 - IBM Host On--Demand (HOD)
    • 3 - Attachmate WRQ

      • これらのプロパティーが明示的に設定されていなければ、Identity Manager は WRQ を使用し、次に HOD を使用します。

  4. Waveset.properties に加えた変更を有効にするために、Web サーバーを再起動します。
  5. リソースへの SSL 接続を設定する方法については、「メインフレーム接続」を参照してください。

使用上の注意

ここでは、Top Secret リソースアダプタの使用に関する情報を示します。次の内容で構成されています。

管理者

TSO セッションでは、複数の同時接続は許可されません。Identity Manager Top Secret 操作の同時実行を実現するには、複数の管理者を作成します。たとえば、2 人の管理者を作成すると、2 つの Identity Manager Top Secret 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。

CICS セッションでは、1 人の管理者に 1 つのセッションという制限はありませんが、必要な場合は 2 人以上の管理者を定義できます。

クラスタ環境で実行する場合は、クラスタ内のサーバーごとに 1 人の管理者を定義します。CICS の場合のように同じ管理者であるとしても、サーバーごとに定義してください。TSO の場合は、クラスタ内のサーバーごとに異なる管理者にします。

クラスタを使用しない場合は、各行のサーバー名が同じ (Identity Manager ホストマシンの名前) になるようにしてください。

ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。

同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。

リソースアクション

Top Secret アダプタに必要なリソースアクションは login と logoff です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。

login および logoff リソースアクションの作成については、「メインフレームの例」を参照してください。

SSL 設定

Identity Manager は TN3270 接続を使用してリソースと通信します。

RACF LDAP リソースへの SSL 接続に関する詳細については、「メインフレーム接続」を参照してください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能

サポート状況

アカウントの有効化/無効化

使用可

アカウントの名前の変更

使用不可

パススルー認証

使用不可

前アクションと後アクション

使用可

データ読み込みメソッド

  • リソースから直接インポート
  • 調整
  • Active Sync

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TN3270 を使用して Top Secret アダプタと通信します。

必要な管理特権

管理者に次の特権を付与してください。

アカウント属性

次の表に、デフォルトの Top Secret アカウント属性に関する情報を示します。

アイデンティティーシステム属性名

リソース
属性名

データの種類

説明

Profiles

PROFILE

String

ユーザーに割り当てられたプロファイル。この属性には複数の値を設定できます。

accountId

ACID

String

必須。アカウント ID

fullname

NAME

String

ユーザーの姓名

Installation Data

INSTDATA

String

インストールデータ

TSOO Access

TSO_ACCESS

Boolean

ユーザーが TSO にアクセスできるかどうかを示します

TSOLPROC

TSO.TSOLPROC

String

TSO ログインプロシージャー

OMVS Access

OMVS_ACCESS

Boolean

ユーザーが OMVS にアクセスできるかどうかを示します

Groups

GROUP

String

ユーザーに割り当てられたグループのリスト

Default Group

DFLTGRP

String

ユーザーのデフォルトグループ

UID

OMVS.UID

String

OMVS ユーザー ID

OMVSPGM

OMVS.OMVSPGM

String

ユーザーの初期 OMVS プログラム

HOME

OMVS.HOME

String

ユーザーの OMVS ホームディレクトリ

Attributes

ATTRIBUTE

String

アカウント属性のリスト

次の表に、デフォルトではスキーママップに一覧表示されていないサポート対象のアカウント属性の一覧を示します。これらの属性のデータの種類は String です。

リソース
属性名

説明

CICS.OPTIME

CICS で端末ユーザーがタイムアウトになったとみなされるまでの時間を制御します。

CICS.OPID

CICS オペレータ ID を指定します。

DEPT

部署名を指定します。

DIV

部門名を指定します。

ZONE

ゾーン名を指定します。

FACILITY

ACID がアクセスできる機能またはアクセスできない機能のリストを指定します。

DATASET

ユーザーのデータセットのリストを指定します。

CORPID

企業 ID のリストを指定します。

OTRAN

所有可能なトランザクションのリストを指定します。

TSOACCT

TSO アカウント番号のリストを指定します。

SOURCE

関連付けられた ACID がシステムに入る場合に使用するソースリーダーまたは端末プレフィックスのリストを指定します。

TSO.TRBA

ブロードキャストデータセット内の、ユーザーのメールディレクトリエントリの相対ブロックアドレス (RBA) を指定します。

TSO.TSOCOMMAND

TSO ログオン時に発行されるデフォルトのコマンドを指定します。

TSO.TSODEFPRFG

デフォルトの TSO パフォーマンスグループを割り当てます。

TSO.TSODEST

TSO ユーザーに対して TSO が生成した JCL のデフォルトの出力先識別子を指定します。

TSO.TSOHCLASS

TSO ユーザーに対して TSO が生成した JCL のデフォルトの保持クラスを割り当てます。

TSO.TSOJCLASS

TSO ユーザーから TSO が生成したジョブカードのデフォルトのジョブクラスを割り当てます。

TSO.TSOLACCT

TSO ログオンで使用されるデフォルトのアカウント番号を指定します。

TSO.TSOLSIZE

TSO のデフォルトの領域サイズを K バイト単位で割り当てます。

TSO.TSOMCLASS

TSO ユーザーに対して TSO が生成した JCL のデフォルトのメッセージクラスを割り当てます。

TSO.TSOMSIZE

TSO ユーザーがログオン時に指定できる最大領域サイズを K バイト単位で定義します。

TSO.TSOOPT

TSO ユーザーがログオン時に指定できるデフォルトのオプションを割り当てます。

TSO.TSOSCLASS

TSO ユーザーに対して TSO が生成した JCL のデフォルトの SYSOUT クラスを割り当てます。

TSO.TSOUDATA

サイトで定義されたデータフィールドを TSO ユーザーに割り当てます。

TSO.TSOUNIT

TSO 下での動的割り当てに使用されるデフォルトの単位名を割り当てます。

TSO.TUPT

ユーザープロファイルテーブルの値を指定します。

ほかの Top Secret リソース属性のサポートの詳細については、サービス組織にお問い合わせください。

アイデンティティーテンプレート

$accountId$

サンプルフォーム

組み込みのフォーム

なし

その他の利用可能なフォーム

TopSecretUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

hostAccess オブジェクトは、Identity Manager でトレースされることもあります。デバッグページからトレースされるクラスは com.waveset.adapter.HostAccess です。メインフレームに送信されたキーストロークと待機メッセージを識別するにはトレースレベル 3 で十分です。トレースレベル 4 では、送信された正確なメッセージと、メインフレームからの応答が表示されます。

トレースファイルの場所が有効であることを確認します。デフォルトでは、トレースファイルは InstallDir/idm/config の下のアプリケーションディレクトリに配置されます。アプリケーションが WAR から配備されている場合は、パスにはディレクトリの絶対パスのハードコードが必要になることがあります。クラスタ環境では、トレースファイルをネットワーク共有に書き込むようにしてください。

ソースのトレースのほかに、キーストロークを送信する前の画面テキストを常にログに記録しておくことも役に立つ可能性があります。これは、ファイル書き込み側で実現できます。コマンドのシーケンスは次のとおりです。

  1. var file = new java.io.File('<filename>');
    var writer = new java.io.BufferedWriter(new java.io.FileWriter(file));
    writer.write(hostAccess.getScreen());
    writer.flush();
  2. hostAccess.sendKeysAndWait(<cmd>,<msg>);
  3. writer.newLine();
  4. writer.write(hostAccess.getScreen());
  5. writer.flush();
  6. writer.close();

<filename> は、アプリケーションサーバーのローカルファイルシステム上のファイルの場所を参照するようにしてください。書き込み側は、flush() メソッドが呼び出されると、その場所へのハンドルを開いて、バッファーに格納されている内容を書き込みます。close() メソッドは、ファイルへのハンドルを解放します。getScreen() メソッドをこの関数に渡すと、デバッグのために画面の内容のダンプを取得できます。このトレースは、画面が正しくナビゲートされて、ログイン/ログアウトが正常に実行されたら削除するようにしてください。



前へ      目次      索引      次へ     

Part No: 820-2531.   Copyright 2007 Sun Microsystems, Inc. All rights reserved.