ACF2 リソースアダプタは、OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。このアダプタは、TN3270 エミュレータセッションで ACF2 を管理します。
ACF2 リソースアダプタは com.waveset.adapter.ACF2ResourceAdapter クラスで定義されます。
なし
ACF2 リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
ACF2 リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加する必要があります。
com.waveset.adapter.ACF2ResourceAdapter |
適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。
Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。
serverSettings.serverId.mainframeSessionType=Value serverSettings.default.mainframeSessionType=Value |
Value は、次のように設定できます。
Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。
これにより、Attachmate コードでライセンスファイルを検索できます。
Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。
リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
ここでは、ACF2 リソースアダプタの使用に関連する依存関係と制限について示します。
TSO セッションでは、同時に複数の接続は許可されません。Identity Manager ACF 操作の同時実行を実現するには、複数の管理者を作成する必要があります。2 人の管理者を作成すれば、2 つの Identity Manager ACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。
クラスタ環境で運用している場合は、クラスタ内のサーバーごとに管理者を定義する必要があります。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO では、クラスタ内のサーバーごとに異なる管理者が必要です。
クラスタリングを使用していない場合は、すべての行でサーバー名は Identity Manager のホストマシンの名前となります。
ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。
同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。
ACF2 アダプタでは、login および logoff のリソースアクションが必要です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。
login リソースアクションおよび logoff リソースアクションの作成については、「メインフレームの例」を参照してください。
Identity Manager は TN3270 接続を使用してリソースと通信します。
ACF2 リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は TN3270 接続を使用して ACF2 と通信します。
ACF2 と接続する管理者には、ACF2 ユーザーの作成と管理を行うための十分な特権が与えられている必要があります。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
なし |
前アクションと後アクション |
あり |
データ読み込みメソッド |
|
データ型 |
説明 |
|
---|---|---|
NAME |
String |
ロギングおよびセキュリティー違反レポートに表示されるユーザー名 |
PHONE |
String |
ユーザーの電話番号 |
ACCESS.ACC-CNT |
String |
このログイン ID の作成以降に、このログイン ID によってシステムにアクセスした回数 |
ACCESS.ACC-DATE |
String |
このユーザーが最後にシステムにアクセスした日付 |
ACCESS.ACC-SRCE |
String |
このログオン ID が最後にシステムにアクセスした論理的または物理的な入力ソース名またはソースグループ名 |
ACCESS.ACC-TIME |
String |
このユーザーが最後にシステムにアクセスした時刻 |
CANCEL/SUSPEND.CANCEL |
Boolean |
ログオン ID は、システムへのアクセスをキャンセルおよび拒否されます |
CANCEL/SUSPEND.CSDATE |
String |
CANCEL フィールドまたは SUSPEND フィールドの設定された日付 |
CANCEL/SUSPEND.CSWHO |
String |
CANCEL、SUSPEND、または MONITOR フィールドを設定するログオン ID |
CANCEL/SUSPEND.MON-LOG |
Boolean |
このユーザーがシステムに入るたびに、ACF2 は SMF レコードを書き込みます |
CANCEL/SUSPEND.MONITOR |
Boolean |
このユーザーがシステムに入るたびに、CA-ACF2 がセキュリティーコンソールと指定されたユーザー (CSWHO) にメッセージを送信します |
CANCEL/SUSPEND.SUSPEND |
Boolean |
ログオン ID は、システムへのアクセスを中断および拒否されます |
CANCEL/SUSPEND.TRACE |
Boolean |
このユーザーによるすべてのデータ参照は、トレースおよび記録されます |
CICS.ACF2CICS |
Boolean |
このアドレス空間のログオン ID で実行されているすべての CICS/ESA 4.1 以降の領域で、CA-ACF2 CICS セキュリティーが初期化されることを示します |
CICS.CICSCL |
String |
CICS オペレータクラス |
CICS.CICSID |
String |
CICS オペレータ ID |
CICS.CICSKEY |
String |
CICS リリース 1.6 以降をサポートするトランザクションセキュリティーキーの値の最初の 3 バイト |
CICS.CICSKEYX |
String |
CICS リリース 1.6 以降をサポートするトランザクションセキュリティーキーの値の末尾の 5 バイト |
CICS.CICSPRI |
String |
CICS オペレータの優先順位 |
CICS.CICSRSL |
String |
CICS リソースアクセスキー |
CICS.IDLE |
String |
このユーザーの端末トランザクション間隔として許可された最大時間 (分) |
IMS.MUSDLID |
String |
MUSASS アドレス空間のデフォルトのログオン ID |
IDMS.IDMSPROF |
String |
ユーザーが CA-IDMS にサインオンするときに実行されるサインオンプロファイル CLIST の名前 |
IDMS.IDMSPRVS |
String |
ユーザーが CA-IDMS にサインオンするときに実行されるサインオンプロファイル CLIST のバージョン |
MUSASS.MUSID |
String |
IMS レコードが適切な管理領域に確実に関連付けられるように、Infostorage データベース内の IMS レコードをグループ化します |
MUSASS.MUSIDINF |
Boolean |
CA-ACF2 Info タイプのシステムエントリ呼び出しのために、MUSID フィールドを使用して MUSASS 領域へのアクセスを制限するようにしてください。 |
MUSASS.MUSOPT |
String |
CAIDMS アドレス空間を管理する CA-ACF2 CA-IDMS オプションモジュールの名前 |
MUSASS.MUSPGM |
String |
CA-IDMS 起動プログラムの名前 |
MUSASS.MUSUPDT |
Boolean |
ユーザーが CA-ACF2 データベースを更新できるようにします |
PRIVILEGES.ACCOUNT |
Boolean |
ユーザーは、範囲を制限されながらもログオン ID を挿入、削除、および変更できます |
PRIVILEGES.ACTIVE |
String |
このフィールドに含まれる日付の午前 0 時 1 分に、ログオン ID が自動的にアクティブ化されます。 |
PRIVILEGES.AUDIT |
Boolean |
この特権を使用して、ユーザーは CAACF2 システムのパラメータを検査できますが、変更はできません。 |
PRIVILEGES.AUTODUMP |
Boolean |
データ設定やリソース違反が発生したときに作成されるダンプ |
PRIVILEGES.AUTONOPW |
Boolean |
この仮想マシンには、パスワードを指定しなくても自動ログオンできます。 |
PRIVILEGES.BDT |
Boolean |
このログオン ID のアドレス空間は、Bulk Data Transfer (BDT) 製品に属しています。 |
PRIVILEGES.CICS |
Boolean |
ログオン ID には CICS にサインオンする権限があります。 |
PRIVILEGES.CMD-PROP |
Boolean |
これは、ユーザーが SET TARGET コマンドまたは TARGET パラメータを使用して、グローバル CPF ターゲットリストをオーバーライドできることを示しています。 |
PRIVILEGES.CONSULT |
Boolean |
ユーザーはほかのログオン ID を表示できます。 |
PRIVILEGES.DUMPAUTH |
Boolean |
このユーザーは、アドレス空間が実行専用環境またはパスコントロール環境にある場合でも、ダンプを生成できます。 |
PRIVILEGES.EXPIRE |
String |
一時的なログオン ID が期限切れになる日付。 |
PRIVILEGES.IDMS |
Boolean |
ログオン ID には CA-IDMS にサインオンする権限があります。 |
PRIVILEGES.JOB |
Boolean |
ユーザーは、バッチおよびバックグラウンドの端末監視プログラム (Terminal Monitor Program、TMP) ジョブを入力できます。 |
PRIVILEGES.JOBFROM |
Boolean |
ユーザーは //*JOBFROM 管理ステートメントを使用できます。 |
PRIVILEGES.LEADER |
Boolean |
ユーザーは、ほかのユーザーのほかのログオン ID の特定のフィールドを表示して変更できます。 |
PRIVILEGES.LOGSHIFT |
Boolean |
ユーザーは、ログオン ID レコードの SHIFT フィールドで指定した期間外にシステムにアクセスできます。 |
PRIVILEGES.MAINT |
Boolean |
ユーザーは、指定のライブラリから実行される指定のプログラムを使用して、ロギングまたは検証なしでリソースにアクセスできます。 |
PRIVILEGES.MUSASS |
Boolean |
このログオン ID は、複数ユーザーのシングルアドレス空間システム (MUSASS) です。 |
PRIVILEGES.NO-INH |
Boolean |
ネットワークジョブは、送信者からこのログオン ID を継承できません。 |
PRIVILEGES.NO-SMC |
Boolean |
Step-must-complete (SMC) コントロールがバイパスされ、重要な VSAM 更新操作の実行中は、ジョブはキャンセル不可であるとみなされます。 |
PRIVILEGES.NO-STORE |
Boolean |
このユーザーは、規則セットの格納または削除を承認されていません。 |
PRIVILEGES.NON-CNCL |
Boolean |
規則によってこのアクセスが禁止されている場合でも、ユーザーはすべてのデータにアクセスできます。 |
PRIVILEGES.PGM |
String |
このログオン ID のジョブを送信するために指定された APF 承認のプログラム。 |
PRIVILEGES.PPGM |
Boolean |
ユーザーは、GSO PPGM レコードで指定されたこれらの保護されたプログラムを実行できます。 |
PRIVILEGES.PRIV-CTL |
Boolean |
ユーザーがシステムにアクセスして自分に付与された追加の特権や権限を確認したときに、特権管理リソース規則をチェックします。 |
PRIVILEGES.PROGRAM |
String |
このログオン ID のジョブを送信するために指定された APF 承認のプログラム。 |
PRIVILEGES.READALL |
Boolean |
ログオン ID には、そのサイトのすべてのデータに対する読み取りアクセス権のみがあります。 |
PRIVILEGES.REFRESH |
Boolean |
このユーザーは、オペレータのコンソールから F ACF2,REFRESH オペレータコマンドを発行することを承認されています。 |
PRIVILEGES.RESTRICT |
Boolean |
この限定されたログオン ID は本番稼働用で、ユーザー検証用のパスワードは必要ありません。 |
PRIVILEGES.RSRCVLD |
Boolean |
ユーザーの行うすべてのアクセスをリソース規則が承認する必要があることを指定します。 |
PRIVILEGES.RULEVLD |
Boolean |
このユーザーがアクセスするすべてのデータに対してアクセス規則が存在する必要があります。 |
PRIVILEGES.SCPLIST |
String |
この特権ユーザーのアクセスを制限する Infostorage 範囲のレコード。 |
PRIVILEGES.SECURITY |
Boolean |
このユーザーは、自分の制限範囲内で、アクセス規則、リソース規則、および Infostorage レコードを作成、維持、削除できるセキュリティー管理者です。 |
PRIVILEGES.STC |
Boolean |
開始済みタスクのみがこのログオン ID を使用します。 |
PRIVILEGES.SUBAUTH |
Boolean |
APF 承認のプログラムのみが、このログオン ID を指定するジョブを送信できます。 |
PRIVILEGES.SYNCNODE |
String |
Logonid データベース内で、このログオン ID と同期されるログオン ID の存在するノード |
PRIVILEGES.TAPE-BLP |
Boolean |
このユーザーは、テープデータセットにアクセスしたときに、完全なラベルバイパス処理 (BLP) を使用できます。 |
PRIVILEGES.TAPE-LBL |
Boolean |
このユーザーは、テープデータセットにアクセスしたときに、制限された BLP を使用できます。 |
PRIVILEGES.TSO |
Boolean |
このユーザーは、TSO へのサインオンを承認されています。 |
PRIVILEGES.VAX |
Boolean |
このログオン ID は VAX (UAF) infostorage レコードと関連付けられています。 |
PRIVILEGES.VLDRSTCT |
Boolean |
RESTRICT ログオン ID に対してこのフィールドがオンになっていると、ログオン ID が継承される場合でも PROGRAM および SUBAUTH が検証されます。 |
PASSWORD.MAXDAYS |
String |
パスワードの期限が切れる前に、パスワードの変更間隔として許可される最大日数。値が 0 の場合、制限は何も適用されません。 |
PASSWORD.MINDAYS |
String |
ユーザーがパスワードを変更できるようになる前に経過する必要のある最小日数 |
PASSWORD.PSWD-DAT |
String |
最後の無効なパスワード試行のあった日付 |
PASSWORD.PSWD-EXP |
Boolean |
ユーザーのパスワードは、手動により強制的に期限切れにされました。 |
PASSWORD.PSWD-INV |
String |
最後にログオンに成功して以来、パスワード違反の発生した回数 |
PASSWORD.PSWD-SRCE |
String |
このログオン ID の無効なパスワードを最後に受信した論理的または物理的な入力ソース名、またはソースグループ名 |
PASSWORD.PSWD-TIM |
String |
このログオン ID の無効なパスワードを最後に受信した時刻 |
PASSWORD.PSWD-TOD |
String |
パスワードの最終変更日時 |
PASSWORD.PSWD-VIO |
String |
PSWD-DAT で発生したパスワード違反の回数 |
PASSWORD.PSWD-XTR |
Boolean |
このログオン ID のパスワードは暗号化が不十分なので、APF 承認のプログラムによって抽出できます。 |
RESTRICTIONS.AUTHSUP1 ~ AUTHSUP8 |
Boolean |
これらのフィールドによって、それぞれに指定されたシステムユーザーの拡張ユーザー認証 (EUA) をアクティブ化できます。 |
RESTRICTIONS.GROUP |
String |
このユーザーに関連付けられたグループ名またはプロジェクト名 |
RESTRICTIONS.PREFIX |
String |
このユーザーが所有してアクセスできるデータセットの高いレベルのインデックス |
RESTRICTIONS.SHIFT |
String |
ユーザーがシステムへのログオンを許可されるタイミングを定義するシフトレコード |
RESTRICTIONS.SOURCE |
String |
このログオン ID がシステムにアクセスする必要のある論理的または物理的な入力ソース名、またはソースグループ名 |
RESTRICTIONS.VMACCT |
String |
仮想マシンのデフォルトのアカウント番号を保持している loginID フィールド |
RESTRICTIONS.VMIDLEMN |
String |
アイドル終了処理が開始される前に、このユーザーがシステム上でアイドル状態でいられる時間 (分) |
RESTRICTIONS.VMIDLEOP |
String |
ユーザーがアイドル時間の制限を超えたときに実行されるアイドル終了処理のタイプ |
RESTRICTIONS.ZONE |
String |
このログオン ID が通常システムにアクセスするタイムゾーン (つまり、ユーザーのローカルタイムゾーン) を定義する Infostorage Database ゾーンレコードの名前 |
STATISTICS.SEC-VIO |
String |
このユーザーのセキュリティー違反の総回数 |
STATISTICS.UPD-TOD |
String |
このログオン ID の最終更新日時 |
TSO.ACCTPRIV |
Boolean |
ユーザーに TSO アカウンティング特権があるかどうかを示します |
TSO.ALLCMDS |
Boolean |
ユーザーは特別なプレフィックス文字を入力することで、CA-ACF2 に制限されたコマンドリストをバイパスすることができます。 |
TSO.ATTR2 |
String |
IBM プログラム管理機能 (PCF) が、コマンドの制限やデータセット保護のために PSCBATR2 フィールドを使用します。 |
TSO.CHAR |
String |
このユーザーの TSO 文字削除の文字 |
TSO.CMD-LONG |
Boolean |
TSO コマンドリストの使用時には、リストされたコマンドとエイリアスのみが受け入れられることを示します |
TSO.DFT-DEST |
String |
TSO 回転 SYSOUT データセットのデフォルトのリモート宛先 |
TSO.DFT-PFX |
String |
ログオン時にユーザーのプロファイル内に設定されるデフォルトの TSO プレフィックス |
TSO.DFT-SOUT |
String |
デフォルトの TSO SYSOUT クラス |
TSO.DFT-SUBC |
string |
デフォルトの TSO 送信クラス |
TSO.DFT-SUBH |
string |
デフォルトの TSO 送信保持クラス |
TSO.DFT-SUBM |
string |
デフォルトの TSO 送信メッセージクラス |
TSO.INTERCOM |
Boolean |
このユーザーは、TSO SEND コマンドを経由してほかのユーザーからのメッセージを受け入れます。 |
TSO.JCL |
Boolean |
このユーザーは、TSO からのバッチジョブの送信や、SUBMIT、STATUS、CANCEL、および OUTPUT コマンドの使用ができます。 |
TSO.LGN-ACCT |
Boolean |
このユーザーは、ログオン時にアカウント番号を指定できます。 |
TSO.LGN-DEST |
Boolean |
このユーザーは TSO ログイン時に DFT-DEST フィールドで指定された値をオーバーライドするリモートの出力先を指定できます。 |
TSO.LGN-MSG |
Boolean |
このユーザーはログオン時にメッセージクラスを指定できます。 |
TSO.LGN-PERF |
Boolean |
このユーザーはログオン時にパフォーマンスグループを指定できます。 |
TSO.LGN-PROC |
Boolean |
このユーザーはログオン時に TSO プロシージャー名を指定できます。 |
TSO.LGN-RCVR |
Boolean |
このユーザーは、TSO または TSO/E コマンドパッケージの復元オプションを使用できます。 |
TSO.LGN-SIZE |
Boolean |
このユーザーは、ログオン時に任意の領域サイズを指定することを承認されています。 |
TSO.LGN-TIME |
Boolean |
このユーザーはログオン時に TSO セッション時間制限を指定できます。 |
TSO.LGN-UNIT |
Boolean |
このユーザーはログオン時に TSO ユニット名を指定できます。 |
TSO.LINE |
String |
TSO 行削除の文字 |
TSO.MAIL |
Boolean |
ログオン時に TSO からメールメッセージを受信します |
TSO.MODE |
Boolean |
TSO からモーダルメッセージを受信します |
TSO.MOUNT |
Boolean |
このユーザーはデバイスのマウントを発行できます。 |
TSO.MSGID |
Boolean |
プレフィックス TSO メッセージ ID |
TSO.NOTICES |
Boolean |
ログオン時に TSO 通知を受信します |
TSO.OPERATOR |
Boolean |
このユーザーは TSO オペレータ特権を持ちます |
TSO.PAUSE |
Boolean |
CLIST 内で実行されたコマンドが多重メッセージを発行すると、プログラムを一時停止させます。 |
TSO.PMT-ACCT |
Boolean |
このユーザーがログオン時にアカウント番号を指定するように強制します。 |
TSO.PMT-PROC |
Boolean |
このユーザーがログオン時に TSO プロシージャー名を指定するように強制します。 |
TSO.PROMPT |
Boolean |
不足しているパラメータや不正なパラメータを指定し直すように求めます |
TSO.RECOVER |
Boolean |
TSO または TSO/E コマンドパッケージの復元オプションを使用します |
TSO.TSOACCT |
String |
ユーザーのデフォルトの TSO ログオンアカウント |
TSO.TSOCMDS |
String |
このユーザーが使用を承認されているコマンドのリストを含む TSO コマンドリストモジュールの名前。 |
TSO.TSOFSCRN |
Boolean |
このユーザーには全画面ログオンが表示されます。 |
TSO.TSOPERF |
String |
ユーザーのデフォルトの TSO パフォーマンスグループ |
TSO.TSOPROC |
String |
ユーザーのデフォルトの TSO プロシージャー名 |
TSO.TSORBA |
String |
このユーザーのメールインデックスレポートポインタ (MIRP) |
TSO.TSORGN |
String |
ユーザーがログオン時にサイズ指定しない場合の、ユーザーのデフォルトの TSO 領域サイズ (K バイト単位) |
TSO.TSOSIZE |
String |
ユーザーが LGS-SZE フィールドを指定していない場合の、ユーザーの TSO 領域の最大サイズ (K バイト単位) |
TSO.TSOTIME |
String |
ユーザーのデフォルトの TSO 時間パラメータ |
TSO.TSOUNIT |
String |
ユーザーのデフォルトの TSO ユニット名 |
TSO.VLD-ACCT |
Boolean |
CA-ACF2 によって TSO アカウント番号が検証されることを示します |
TSO.VLD-PROC |
Boolean |
CA-ACF2 によって TSO プロシージャー名が検証されることを示します |
TSO.WTP |
Boolean |
Write-To-Programmer (WTP) メッセージを表示します |
なし
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.HostAccess
com.waveset.adapter.ACF2ResourceAdapter