第 30 章 RACF LDAP
RACF LDAP リソースアダプタは、OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。可能であれば、アダプタは z/OS Security Server に含まれる LDAP サーバーに接続し、ユーザーアカウントを管理します。その他すべての機能は、RACF システムへの標準的な呼び出しによって処理されます。
RACF LDAP リソースアダプタは、com.waveset.adapter.RACF_LDAPResourceAdapter クラスで定義されます。
このアダプタは、LDAP リソースアダプタを拡張します。LDAP 機能の実装については、LDAP アダプタのマニュアルを参照してください。
アダプタの詳細
Identity Manager のインストールに関する注意事項
RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行する必要があります。
RACF リソースアダプタをインストールする
-
RACF LDAP リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加する必要があります。
com.waveset.adapter.RACF_LDAPResourceAdapter
-
適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。
-
Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。
serverSettings.serverId.mainframeSessionType= ValueserverSettings.default.mainframeSessionType=Value
Value は、次のように設定できます。
-
Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。
これにより、Attachmate コードでライセンスファイルを検索できます。
-
Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。
-
リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
使用上の注意
管理者
TSO セッションでは、同時に複数の接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。たとえば、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。
クラスタ環境で実行する場合、クラスタ内のサーバーごとに管理者を定義する必要があります。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO では、クラスタ内のサーバーごとに異なる管理者が必要です。
クラスタリングを使用していない場合は、すべての行でサーバー名は Identity Manager のホストマシンの名前となります。
注 –
ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。
同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。
追加セグメントのサポート
RACF LDAP アダプタは、デフォルトでサポートされているセグメントには含まれない属性をサポートするように設定できます。
属性をサポートするように RACF LDAP リソースアダプタを設定する
-
セグメントを解析する AttrParse オブジェクトを作成します。カスタム AttrParse オブジェクトについては、第 49 章AttrParse オブジェクトの実装を参照してください。AttrParse オブジェクトの例は、$WSHOME/web/sample/attrparse.xmlに定義されています。
-
ResourceAttribute 要素を RACF LDAP リソースオブジェクトに追加します。たとえば、次のようにします。
<ResourceAttribute name=’OMVS Segment AttrParse’ displayName=’OMVS Segment AttrParse’ description=’AttrParse for OMVS Segment’ value=’Default RACF OMVS Segment AttrParse’> </ResourceAttribute>
この例では、OMVS Segment AttrParse というラベルのフィールドが「リソースパラメータ」ページに追加されます。name 属性に割り当てられる値は、SegmentName Segment AttrParse という形式である必要があります。
-
カスタムアカウント属性を定義する要素を RACF LDAP リソースオブジェクトに追加します。
<AccountAttributeType id=’32’ name=’OMVS Mem Max Area Size’ syntax=’int’ mapName=’OMVS.MMAPAREAMAX’ mapType=’int’> </AccountAttributeType>
mapName 属性の値は、SegmentName.AttributeName という形式である必要があります。アダプタがこの形式の mapName を検出すると、指定されたセグメントをリソースに対して要求し、SegmentName Segment AttrParse フィールドに指定されたオブジェクトを使用して解析します。
リソースアクション
RACF LDAP アダプタでは、login および logoff のリソースアクションが必要です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。
login リソースアクションおよび logoff リソースアクションの作成については、「メインフレームの例」を参照してください。
リソースを設定する際の注意事項
Z/OS Security Server は、RACF アカウントのソースとして機能するマシンと同じマシン上にインストールされる必要があります。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は TN3270 接続を使用してリソースと通信します。
RACF LDAP リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
必要な管理特権
RACF LDAP リソースと接続する管理者には、RACF ユーザーの作成と管理を行うための十分な特権が与えられている必要があります。
「User DN」リソースパラメータフィールドで指定されたユーザーに、ユーザーの読み取り、書き込み、削除、および追加のアクセス権を付与する必要があります。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
|
機能 |
サポート状況 |
|---|---|
|
アカウントの有効化/無効化 |
あり |
|
アカウントの名前の変更 |
あり |
|
パススルー認証 |
なし |
|
前アクションと後アクション |
あり |
|
データ読み込みメソッド |
|
アカウント属性
属性の構文 (または型) は、通常、属性がサポートされるかどうかを決定します。一般に、Identity Manager は Boolean 型、文字列型、整数型、およびバイナリ型の構文をサポートします。バイナリ属性は、バイト配列としてのみ安全に表現できる属性です。
次の表に、サポートされている LDAP 構文の一覧を示します。ほかの LDAP 構文でも、事実上 Boolean 型、文字列型、または整数型であれば、サポートされる可能性があります。オクテット文字列はサポートされません。
|
LDAP 構文 |
属性タイプ |
オブジェクト ID |
|---|---|---|
|
Audio |
Binary |
1.3.6.1.4.1.1466.115.121.1.4 |
|
Binary |
Binary |
1.3.6.1.4.1.1466.115.121.1.5 |
|
Boolean |
Boolean |
1.3.6.1.4.1.1466.115.121.1.7 |
|
Country String |
String |
1.3.6.1.4.1.1466.115.121.1.11 |
|
DN |
String |
1.3.6.1.4.1.1466.115.121.1.12 |
|
Directory String |
String |
1.3.6.1.4.1.1466.115.121.1.15 |
|
Generalized Time |
String |
1.3.6.1.4.1.1466.115.121.1.24 |
|
IA5 String |
String |
1.3.6.1.4.1.1466.115.121.1.26 |
|
Integer |
Int |
1.3.6.1.4.1.1466.115.121.1.27 |
|
Postal Address |
String |
1.3.6.1.4.1.1466.115.121.1.41 |
|
Printable String |
String |
1.3.6.1.4.1.1466.115.121.1.44 |
|
Telephone Number |
String |
1.3.6.1.4.1.1466.115.121.1.50 |
デフォルトのアカウント属性
次の属性が、RACF LDAP リソースアダプタの「アカウント属性」ページに表示されます。
|
リソースユーザー属性 |
データ型 |
説明 |
|---|---|---|
|
racfPassword |
暗号化されています |
リソースに対するユーザーのパスワード |
|
RACF.GROUPS |
String |
ユーザーに割り当てられたグループ |
|
RACF.GROUP-CONN-OWNERS |
String |
グループ接続所有者 |
|
RACF.USERID |
String |
必須。ユーザーの名前 |
|
RACF.MASTER CATALOG |
String |
マスターカタログ |
|
RACF.USER CATALOG |
String |
ユーザーカタログ |
|
RACF.CATALOG ALIAS |
String |
カタログ別名 |
|
racfOwner |
String |
プロファイルの所有者 |
|
racfProgrammerName |
String |
ユーザーの名前 |
|
racfInstallationData |
String |
インストール定義データ |
|
racfDefaultGroup |
String |
ユーザーのデフォルトグループ |
|
RACF.EXPIRED |
Boolean |
パスワードを期限切れにするかどうかを示します。 |
|
RACF.PASSWORD INTERVAL |
String |
パスワード間隔 |
|
TSO.Delete Segment |
Boolean |
このフィールドを true に設定すると、TSO Segment が RACF ユーザーから削除されます。 |
|
SAFAccountNumber |
String |
ログオン時に使用されるユーザーのデフォルトの TSO アカウント番号 |
|
SAFDefaultCommand |
String |
ログオン時のデフォルトのコマンド |
|
SAFHoldClass |
String |
ユーザーのデフォルトの TSO 保持クラス |
|
SAFJobClass |
String |
ユーザーのデフォルトの TSO ジョブクラス |
|
SAFMessageClass |
String |
ユーザーのデフォルトの TSO メッセージクラス |
|
SAFDefaultLoginProc |
String |
ユーザーのデフォルトの TSO ログオン手順の名前 |
|
SAFLogonSize |
Int |
ユーザーがログオン中に領域サイズを要求しない場合の最小 TSO 領域サイズ |
|
SAFMaximumRegionSize |
Int |
ユーザーがログオン中に要求できる最大 TSO 領域サイズ |
|
SAFDefaultSysoutClass |
String |
ユーザーのデフォルトの TSO SYSOUT クラス |
|
SAFDefaultUnit |
String |
手順による割り当てに使用される TSO デバイスまたはデバイスグループのデフォルトの名前 |
|
SAFUserdata |
String |
インストール定義データ |
|
SAFDefaultCommand |
String |
TSO のデフォルトのコマンド |
|
racfOmvsUid |
String |
ユーザーの OMVS ユーザー識別子 |
|
racfOmvsHome |
String |
ユーザーの OMVS ホームディレクトリパス名 |
|
racfOmvsInitialProgram |
String |
ユーザーの初期 OMVS シェルプログラム |
|
racfOmvsMaximumCPUTime |
Int |
ユーザーの OMVS RLIMIT_CPU (最大 CPU 時間) |
|
racfOmvsMaximumAddressSpaceSize |
Int |
ユーザーの OMVS RLIMIT_AS (最大アドレス空間サイズ) |
|
racfOmvsMaximumFilesPerProcess |
Int |
ユーザーの OMVS プロセスあたりの最大ファイル数 |
|
racfOmvsMaximumProcessesPerUID |
Int |
ユーザーの OMVS UID あたりの最大プロセス数 |
|
racfOmvsMaximumThreadsPerProcess |
Int |
ユーザーの OMVS プロセスあたりの最大スレッド数 |
|
racfOmvsMaximumMemoryMapArea |
Int |
ユーザーの OMVS 最大メモリーマップサイズ |
|
racfTerminalTimeout |
String |
ユーザーがアイドル状態になってから CICS によってサインオフされるまでの時間 |
|
racfOperatorPriority |
String |
ユーザーの CICS オペレータ優先順位 |
|
racfOperatorIdentification |
String |
ユーザーの CICS オペレータ識別子 |
|
racfOperatorClass |
String |
ユーザーが BMS (基本マッピングサポート) メッセージを受信する CICS オペレータクラス |
|
racfOperatorReSignon |
String |
XRF 引き継ぎの発生時にユーザーが CICS によってサインオフされるかどうかを示す設定 |
|
racfNetviewOperatorClass |
String |
オペレータのクラス |
|
NETVIEW.NGMFVSPN |
String |
NetView Graphic Monitor Facility ビューを表示したり、ビュー内にリソースを表示したりする際の、オペレータの権限を定義します。 |
|
racfNGMFADMKeyword |
String |
このオペレータが NetView グラフィックモニター機能を使用できるかどうかを示します (NO または YES) |
|
racfMessageReceiverKeyword |
String |
オペレータが非送信請求メッセージを受信するかどうかを示します (NO または YES) |
|
racfNetviewInitialCommand |
String |
NetView オペレータがログインしたときにこの NetView によって実行される初期コマンドまたはコマンドリスト |
|
racfDomains |
String |
ドメイン識別子 |
|
racfCTLKeyword |
String |
GLOBAL、GENERAL、または SPECIFIC コントロールを指定します。 |
|
racfDefaultConsoleName |
String |
MCS コンソール識別子 |
デフォルトでサポートされるオブジェクトクラス
デフォルトでは、RACF LDAP リソースアダプタは、LDAP ツリーに新しいユーザーオブジェクトを作成するときに次のオブジェクトクラスを使用します。ほかのオブジェクトクラスが追加される場合もあります。
-
racfuser
-
racfUserOmvsSegment
-
racfCicsSegment
-
SAFTsoSegment
-
racfNetviewSegment
リソースオブジェクトの管理
なし
アイデンティティーテンプレート
$accountId$
サンプルフォーム
なし
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
-
com.waveset.adapter.RACF_LDAPResourceAdapter
-
com.waveset.adapter.LDAPResourceAdapter
-
com.waveset.adapter.LDAPResourceAdapterBase
- © 2010, Oracle Corporation and/or its affiliates