Sun Identity Manager 8.1 リソースリファレンス

第 29 章 RACF

RACF リソースアダプタは、OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。このアダプタは、TN3270 エミュレータセッションで RACF を管理します。

RACF リソースアダプタは、com.waveset.adapter.RACFResourceAdapter クラスで定義されます。

アダプタの詳細

リソースを設定する際の注意事項

なし

Identity Manager のインストールに関する注意事項

RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行する必要があります。

RACF リソースアダプタをインストールする

RACF リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加する必要があります。
com.waveset.adapter.RACFResourceAdapter

適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。

コネクションマネージャー	JAR ファイル
Host On Demand	IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL を含む推奨 JAR ファイルは `habeans.jar` です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、V9.0、および V10 に含まれるバージョンです。 habeans.jar ファイルただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の JAR ファイルを `habeans.jar` の代わりに使用できます。 `habase.jar` `hacp.jar` `ha3270.jar` `hassl.jar` `hodbase.jar` 詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。
Attachmate WRQ	Sun 製品向け Attachmate 3270 メインフレームアダプタには、メインフレームへの接続の管理に必要なファイルが含まれます。 `RWebSDK.jar` `wrqtls12.jar` `profile.jaw` この製品の入手については、Sun プロフェッショナルサービスにお問い合わせください。

コネクションマネージャー

JAR ファイル

Host On Demand

IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL を含む推奨 JAR ファイルは habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、V9.0、および V10 に含まれるバージョンです。

habeans.jar ファイルただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の JAR ファイルを habeans.jar の代わりに使用できます。

habase.jar
hacp.jar
ha3270.jar
hassl.jar
hodbase.jar

詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。

Attachmate WRQ

Sun 製品向け Attachmate 3270 メインフレームアダプタには、メインフレームへの接続の管理に必要なファイルが含まれます。

RWebSDK.jar
wrqtls12.jar
profile.jaw

この製品の入手については、Sun プロフェッショナルサービスにお問い合わせください。

Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。
serverSettings.serverId.mainframeSessionType= ValueserverSettings.default.mainframeSessionType=Value
Value は、次のように設定できます。
- 1 は、IBM Host On-Demand (HOD) を表します。
  - 3 は、Attachmate WRQ を表します。
    
    これらのプロパティーが明示的に設定されていなければ、Identity Manager はまず WRQ を使用し、次に HOD を使用します。

Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。

これにより、Attachmate コードでライセンスファイルを検索できます。

Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。

リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。

使用上の注意

ここでは、RACF リソースアダプタの使用に関する情報を示します。次のトピックで構成されています。

管理者

TSO セッションでは、同時に複数の接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。たとえば、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。

クラスタ環境で実行する場合、クラスタ内のサーバーごとに管理者を定義する必要があります。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO では、クラスタ内のサーバーごとに異なる管理者が必要です。

クラスタリングを使用していない場合は、すべての行でサーバー名は Identity Manager のホストマシンの名前となります。

注 –

ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。

同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。

追加セグメントのサポート

RACF アダプタは、デフォルトでサポートされているセグメントには含まれない属性をサポートするように設定できます。

属性をサポートするように RACF アダプタを設定する

セグメントを解析する AttrParse オブジェクトを作成します。カスタム AttrParse オブジェクトについては、第 49 章AttrParse オブジェクトの実装を参照してください。AttrParse オブジェクトの例は、$WSHOME/web/sample/attrparse.xmlに定義されています。

ResourceAttribute 要素を RACF リソースオブジェクトに追加します。たとえば、次のようにします。

<ResourceAttribute name=’WORKATTR Segment AttrParse’ 
   displayName=’WORKATTR Segment AttrParse’ 
   description=’AttrParse for WORKATTR Segment’ 
   value=’Default RACF WORKATTR Segment AttrParse’>
</ResourceAttribute>

この例では、WORKATTR Segment AttrParse というラベルのフィールドが「リソースパラメータ」ページに追加されます。name 属性に割り当てられる値は、SegmentName Segment AttrParse という形式である必要があります。

カスタムアカウント属性を定義する要素を RACF リソースオブジェクトに追加します。
<AccountAttributeType id=’32’ name=’WORKATTR Account’ syntax=’string’ mapName=’WORKATTR.WAACCNT’ mapType=’string’> </AccountAttributeType>
mapName 属性の値は、SegmentName.AttributeName という形式である必要があります。アダプタがこの形式の mapName を検出すると、指定されたセグメントを RACF に対して要求し、SegmentName Segment AttrParse フィールドに指定されたオブジェクトを使用して解析します。

リソースアクション

RACF アダプタでは、login および logoff のリソースアクションが必要です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。

SSL 設定

Identity Manager は TN3270 接続を使用してリソースと通信します。

RACF リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TN3270 を使用して RACF アダプタと通信します。

必要な管理特権

ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を定義または変更するには、SPECIAL 属性または少なくともフィールドレベルのアクセスチェックを介したセグメントの UPDATE 権限を持っている必要があります。

ユーザープロファイルの内容またはユーザープロファイルの個々のセグメントの内容を一覧表示するには、LISTUSER コマンドを使用します。

ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を表示するには、SPECIAL 属性か AUDITOR 属性、または少なくともフィールドレベルのアクセスチェックを介したセグメントの READ 権限を持っている必要があります。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能	サポート状況
アカウントの有効化/無効化	あり
アカウントの名前の変更	あり
パススルー認証	なし
前アクションと後アクション	あり
データ読み込みメソッド	リソースから直接インポート調整

アカウント属性

次の表に、RACF アカウント属性に関する情報を示します。

リソースユーザー属性	データ型	説明
`GROUPS`	String	ユーザーに割り当てられたグループ
`GROUP-CONN-OWNERS`	String	グループ接続所有者
`USERID`	String	必須。ユーザーの名前
`MASTER CATALOG`	String	マスターカタログ
`USER CATALOG`	String	ユーザーカタログ
`CATALOG ALIAS`	String	カタログ別名
`OWNER`	String	プロファイルの所有者
`NAME`	String	ユーザーの名前
`DATA`	String	インストール定義データ
`DFLTGRP`	String	ユーザーのデフォルトグループ
`EXPIRED`	Boolean	パスワードを期限切れにするかどうかを示します。
`PASSWORD INTERVAL`	String	パスワード間隔
`TSO`.`Delete` `Segment`	Boolean	このフィールドを true に設定すると、TSO Segment が RACF ユーザーから削除されます。
`TSO.ACCTNUM`	String	ログオン時に使用されるユーザーのデフォルトの TSO アカウント番号
`TSO.COMMAND`	String	ログオン時のデフォルトのコマンド
`TSO.HOLDCLASS`	String	ユーザーのデフォルトの TSO 保持クラス
`TSO.JOBCLASS`	String	ユーザーのデフォルトの TSO ジョブクラス
`TSO.MAXSIZE`	Int	ユーザーがログオン中に要求できる最大 TSO 領域サイズ
`TSO.MSGCLASS`	String	ユーザーのデフォルトの TSO メッセージクラス
`TSO.PROC`	String	ユーザーのデフォルトの TSO ログオン手順の名前
`TSO.SIZE`	Int	ユーザーがログオン中に領域サイズを要求しない場合の最小 TSO 領域サイズ
`TSO.SYSOUTCLASS`	String	ユーザーのデフォルトの TSO SYSOUT クラス
`TSO.UNIT`	String	手順による割り当てに使用される TSO デバイスまたはデバイスグループのデフォルトの名前
`TSO.USERDATA`	String	インストール定義データ
`OMVS.ASSIZEMAX`	Int	ユーザーの OMVS RLIMIT_AS (最大アドレス空間サイズ)
`OMVS.CPUTIMEMAX`	Int	ユーザーの OMVS RLIMIT_CPU (最大 CPU 時間)
`OMVS.FILEPROCMAX`	Int	ユーザーの OMVS プロセスあたりの最大ファイル数
`OMVS.HOME`	String	ユーザーの OMVS ホームディレクトリパス名
`OMVS.MMAPAREAMAX`	Int	ユーザーの OMVS 最大メモリーマップサイズ
`OMVS.PROCUSERMAX`	Int	ユーザーの OMVS UID あたりの最大プロセス数
`OMVS.PROGRAM`	String	ユーザーの初期 OMVS シェルプログラム
`OMVS.THREADSMAX`	Int	ユーザーの OMVS プロセスあたりの最大スレッド数
`OMVS.UID`	String	ユーザーの OMVS ユーザー識別子
`CICS.OPCLASS`	String	ユーザーが BMS (基本マッピングサポート) メッセージを受信する CICS オペレータクラス
`CICS.OPIDENT`	String	ユーザーの CICS オペレータ識別子
`CICS.OPPRTY`	String	ユーザーの CICS オペレータ優先順位
`CICS.TIMEOUT`	String	ユーザーがアイドル状態になってから CICS によってサインオフされるまでの時間
`CICS.XRFSOFF`	String	XRF 引き継ぎの発生時にユーザーが CICS によってサインオフされるかどうかを示す設定
`NETVIEW.CONSNAME`	String	MCS コンソール識別子
`NETVIEW.CTL`	String	GLOBAL、GENERAL、または SPECIFIC コントロールを指定します。
`NETVIEW.DOMAINS`	String	ドメイン識別子
`NETVIEW.IC`	String	NetView オペレータがログインしたときにこの NetView によって実行される初期コマンドまたはコマンドリスト
`NETVIEW.MSGRECVR`	String	オペレータが非送信請求メッセージを受信するかどうかを示します (NO または YES)
`NETVIEW.NGMFADMN`	String	このオペレータが NetView グラフィックモニター機能を使用できるかどうかを示します (NO または YES)
`NETVIEW.NGMFVSPN`	String
`NETVIEW.OPCLASS`	String	オペレータのクラス

アイデンティティーテンプレート

$accountId$

サンプルフォーム

組み込みのフォーム

なし

その他の利用可能なフォーム

RACFUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

com.waveset.adapter.RACFResourceAdapter
com.waveset.adapter.HostAccess