RACF リソースアダプタは、OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。このアダプタは、TN3270 エミュレータセッションで RACF を管理します。
RACF リソースアダプタは、com.waveset.adapter.RACFResourceAdapter クラスで定義されます。
なし
RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行する必要があります。
RACF リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加する必要があります。
com.waveset.adapter.RACFResourceAdapter |
適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。
Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。
serverSettings.serverId.mainframeSessionType= ValueserverSettings.default.mainframeSessionType=Value |
Value は、次のように設定できます。
Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。
これにより、Attachmate コードでライセンスファイルを検索できます。
Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。
リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
ここでは、RACF リソースアダプタの使用に関する情報を示します。 次のトピックで構成されています。
TSO セッションでは、同時に複数の接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。たとえば、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。
クラスタ環境で実行する場合、クラスタ内のサーバーごとに管理者を定義する必要があります。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO では、クラスタ内のサーバーごとに異なる管理者が必要です。
クラスタリングを使用していない場合は、すべての行でサーバー名は Identity Manager のホストマシンの名前となります。
ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。
同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。
RACF アダプタは、デフォルトでサポートされているセグメントには含まれない属性をサポートするように設定できます。
セグメントを解析する AttrParse オブジェクトを作成します。カスタム AttrParse オブジェクトについては、第 49 章AttrParse オブジェクトの実装を参照してください。AttrParse オブジェクトの例は、$WSHOME/web/sample/attrparse.xmlに定義されています。
ResourceAttribute 要素を RACF リソースオブジェクトに追加します。たとえば、次のようにします。
<ResourceAttribute name=’WORKATTR Segment AttrParse’ displayName=’WORKATTR Segment AttrParse’ description=’AttrParse for WORKATTR Segment’ value=’Default RACF WORKATTR Segment AttrParse’> </ResourceAttribute> |
この例では、WORKATTR Segment AttrParse というラベルのフィールドが「リソースパラメータ」ページに追加されます。name 属性に割り当てられる値は、SegmentName Segment AttrParse という形式である必要があります。
カスタムアカウント属性を定義する要素を RACF リソースオブジェクトに追加します。
<AccountAttributeType id=’32’ name=’WORKATTR Account’ syntax=’string’ mapName=’WORKATTR.WAACCNT’ mapType=’string’> </AccountAttributeType> |
mapName 属性の値は、SegmentName.AttributeName という形式である必要があります。アダプタがこの形式の mapName を検出すると、指定されたセグメントを RACF に対して要求し、SegmentName Segment AttrParse フィールドに指定されたオブジェクトを使用して解析します。
RACF アダプタでは、login および logoff のリソースアクションが必要です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。
login リソースアクションおよび logoff リソースアクションの作成については、「メインフレームの例」を参照してください。
Identity Manager は TN3270 接続を使用してリソースと通信します。
RACF リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、TN3270 を使用して RACF アダプタと通信します。
ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を定義または変更するには、SPECIAL 属性または少なくともフィールドレベルのアクセスチェックを介したセグメントの UPDATE 権限を持っている必要があります。
ユーザープロファイルの内容またはユーザープロファイルの個々のセグメントの内容を一覧表示するには、LISTUSER コマンドを使用します。
ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を表示するには、SPECIAL 属性か AUDITOR 属性、または少なくともフィールドレベルのアクセスチェックを介したセグメントの READ 権限を持っている必要があります。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
なし |
前アクションと後アクション |
あり |
データ読み込みメソッド |
|
リソースユーザー属性 |
データ型 |
説明 |
---|---|---|
GROUPS |
String |
ユーザーに割り当てられたグループ |
GROUP-CONN-OWNERS |
String |
グループ接続所有者 |
USERID |
String |
必須。ユーザーの名前 |
MASTER CATALOG |
String |
マスターカタログ |
USER CATALOG |
String |
ユーザーカタログ |
CATALOG ALIAS |
String |
カタログ別名 |
OWNER |
String |
プロファイルの所有者 |
NAME |
String |
ユーザーの名前 |
DATA |
String |
インストール定義データ |
DFLTGRP |
String |
ユーザーのデフォルトグループ |
EXPIRED |
Boolean |
パスワードを期限切れにするかどうかを示します。 |
PASSWORD INTERVAL |
String |
パスワード間隔 |
TSO.Delete Segment |
Boolean |
このフィールドを true に設定すると、TSO Segment が RACF ユーザーから削除されます。 |
TSO.ACCTNUM |
String |
ログオン時に使用されるユーザーのデフォルトの TSO アカウント番号 |
TSO.COMMAND |
String |
ログオン時のデフォルトのコマンド |
TSO.HOLDCLASS |
String |
ユーザーのデフォルトの TSO 保持クラス |
TSO.JOBCLASS |
String |
ユーザーのデフォルトの TSO ジョブクラス |
TSO.MAXSIZE |
Int |
ユーザーがログオン中に要求できる最大 TSO 領域サイズ |
TSO.MSGCLASS |
String |
ユーザーのデフォルトの TSO メッセージクラス |
TSO.PROC |
String |
ユーザーのデフォルトの TSO ログオン手順の名前 |
TSO.SIZE |
Int |
ユーザーがログオン中に領域サイズを要求しない場合の最小 TSO 領域サイズ |
TSO.SYSOUTCLASS |
String |
ユーザーのデフォルトの TSO SYSOUT クラス |
TSO.UNIT |
String |
手順による割り当てに使用される TSO デバイスまたはデバイスグループのデフォルトの名前 |
TSO.USERDATA |
String |
インストール定義データ |
OMVS.ASSIZEMAX |
Int |
ユーザーの OMVS RLIMIT_AS (最大アドレス空間サイズ) |
OMVS.CPUTIMEMAX |
Int |
ユーザーの OMVS RLIMIT_CPU (最大 CPU 時間) |
OMVS.FILEPROCMAX |
Int |
ユーザーの OMVS プロセスあたりの最大ファイル数 |
OMVS.HOME |
String |
ユーザーの OMVS ホームディレクトリパス名 |
OMVS.MMAPAREAMAX |
Int |
ユーザーの OMVS 最大メモリーマップサイズ |
OMVS.PROCUSERMAX |
Int |
ユーザーの OMVS UID あたりの最大プロセス数 |
OMVS.PROGRAM |
String |
ユーザーの初期 OMVS シェルプログラム |
OMVS.THREADSMAX |
Int |
ユーザーの OMVS プロセスあたりの最大スレッド数 |
OMVS.UID |
String |
ユーザーの OMVS ユーザー識別子 |
CICS.OPCLASS |
String |
ユーザーが BMS (基本マッピングサポート) メッセージを受信する CICS オペレータクラス |
CICS.OPIDENT |
String |
ユーザーの CICS オペレータ識別子 |
CICS.OPPRTY |
String |
ユーザーの CICS オペレータ優先順位 |
CICS.TIMEOUT |
String |
ユーザーがアイドル状態になってから CICS によってサインオフされるまでの時間 |
CICS.XRFSOFF |
String |
XRF 引き継ぎの発生時にユーザーが CICS によってサインオフされるかどうかを示す設定 |
NETVIEW.CONSNAME |
String |
MCS コンソール識別子 |
NETVIEW.CTL |
String |
GLOBAL、GENERAL、または SPECIFIC コントロールを指定します。 |
NETVIEW.DOMAINS |
String |
ドメイン識別子 |
NETVIEW.IC |
String |
NetView オペレータがログインしたときにこの NetView によって実行される初期コマンドまたはコマンドリスト |
NETVIEW.MSGRECVR |
String |
オペレータが非送信請求メッセージを受信するかどうかを示します (NO または YES) |
NETVIEW.NGMFADMN |
String |
このオペレータが NetView グラフィックモニター機能を使用できるかどうかを示します (NO または YES) |
NETVIEW.NGMFVSPN |
String | |
NETVIEW.OPCLASS |
String |
オペレータのクラス |
$accountId$
なし
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.RACFResourceAdapter
com.waveset.adapter.HostAccess