Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java™ System Identity Manager 7.0 リソースリファレンス 

RACF

RACF リソースアダプタは、IBM Host Access Class Library API を介して OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。このアダプタは、TN3270 エミュレータセッションで RACF を管理します。

RACF リソースアダプタは、com.waveset.adapter.RACFResourceAdapter クラスで定義されます。

リソースを設定する際の注意事項

なし

Identity Manager 上で設定する際の注意事項

RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。

  1. RACF リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。

    2. com.waveset.adapter.RACFResourceAdapter

  2. Identity Manager のメインフレームアダプタは、IBM Host Access Class Library (HACL) を使用してメインフレームに接続します。HACL は、IBM Websphere Host On-Demand (HOD) で利用できます。HACL が含まれる推奨 jar は habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。サポートされる HACL のバージョンは、HOD V7.0、V8.0、および V9.0 に含まれているバージョンです。

    3. ただし、ツールキットのインストールを利用できない場合は、HOD のインストールに含まれる次の jar を habeans.jar の代わりに使用できます。

    • habase.jar
    • hacp.jar
    • ha3270.jar
    • hassl.jar
    • hodbase.jar

      • habeans.jar ファイルまたはその代替ファイルのすべてを、Identity Manager がインストールされた WEB-INF/lib ディレクトリにコピーします。詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。

使用上の注意

ここでは、RACF リソースアダプタの使用に関する情報を示します。次のトピックで構成されています。

管理者

TSO セッションでは、複数の同時接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。したがって、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。

クラスタ環境で実行する場合は、クラスタ内のサーバーごとに 1 人の管理者を定義します。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO の場合は、クラスタ内のサーバーごとに異なる管理者にします。

クラスタを使用しない場合は、各行のサーバー名が同じ (Identity Manager ホストマシンの名前) になるようにしてください。

ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。

同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。

リソースアクション

RACF アダプタに必要なリソースアクションは login と logoff です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。

login リソースアクションおよび logoff リソースアクションの作成の詳細については、Top Secret アダプタの「使用上の注意」を参照してください。

SSL 設定

ここでは、このアダプタ用の SSL の設定方法について説明します。次のトピックがあります。

SSL または TLS を使用してアダプタを Telnet/TN3270 サーバーに接続する

SSL または TLS を使用して RACF リソースアダプタを Telnet/TN3270 サーバーに接続するには、次の手順を使用します。

  1. Telnet/TN3270 サーバーの証明書を PKCS #12 ファイル形式で取得します。このファイルのパスワードとして hod を使用します。サーバーの証明書をエクスポートする方法については、使用しているサーバーのマニュアルを参照してください。一般的なガイドラインについては、後述の「PKCS #12 ファイルの生成」の手順を参照してください。
  2. PKCS #12 ファイルから CustomizedCAs.class ファイルを作成します。最新バージョンの HOD を使用している場合は、次のコマンドを使用してこの作業を行います。

    3. ..¥hod_jre¥jre¥bin¥java -cp ../lib/ssliteV2.zip;../lib/sm.zip com.ibm.eNetwork.HOD.convert.CVT2SSLIGHT CustomizedCAs.p12 hod CustomizedCAs.class

  3. CustomizedCAs.class ファイルを Identity Manager サーバーのクラスパス内の任意の場所 ($WSHOME/WEB-INF/classes など) に配置します。
  4. セッションプロパティー」というリソース属性がリソースにまだ存在しない場合は、Identity Manager IDE またはデバッグページを使用して、この属性をリソースオブジェクトに追加します。<ResourceAttributes> セクションに、次の定義を追加します。

    5. <ResourceAttribute name='セッションプロパティー' displayName='セッション プロパティー' description='セッションプロパティー' multi='true'>

    </ResourceAttribute>

  5. リソースの「リソースパラメータ」ページに移動し、「セッションプロパティー」リソース属性に次の値を追加します。

    6. SESSION_SSL

    true

PKCS #12 ファイルの生成

ここでは、SSL/TLS を使用する Host OnDemand (HOD) リダイレクタを使用している場合に PKCS #12 ファイルを生成するときの一般的な手順を説明します。この作業の実行の詳細については、HOD のマニュアルを参照してください。

  1. IBM 証明書管理ツールを使用して、新しい HODServerKeyDb.kdb ファイルを作成します。このファイルの一部として、新しい自己署名付き証明書をデフォルトのプライベート証明書として作成します。

    2. HODServerKeyDb.kdb ファイルの作成時に、「証明書データベースにキーを追加しようとしてエラーが発生した」という内容のメッセージが表示された場合は、1 つ以上の信頼できる認証局証明書の期限が切れている可能性があります。IBM の Web サイトをチェックして、最新の証明書を取得します。

  2. 作成したプライベート証明書を Base64 ASCII として cert.arm ファイルにエクスポートします。
  3. IBM 証明書管理ツールを使用して cert.arm ファイルから「署名者証明書」にエクスポートされた証明書を追加することにより、CustomizedCAs.p12 という名前の新しい PKCS #12 ファイルを作成します。このファイルのパスワードとして hod を使用します。
トラブルシューティング

「セッションプロパティー」リソース属性に次の内容を追加することにより、HACL のトレースを有効にできます。

SESSION_TRACE

ECLSession=3 ECLPS=3 ECLCommEvent=3 ECLErr=3 DataStream=3 Transport=3 ECLPSEvent=3

トレースパラメータは、改行文字を入れずに列挙してください。テキストボックス内でパラメータが折り返される場合は、そのままでかまいません。

Telnet/TN3270 サーバーにも、同じように利用できるログがあります。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TN3270 を使用して RACF アダプタと通信します。

必要な管理特権

ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を定義または変更するには、SPECIAL 属性または少なくともフィールドレベルのアクセスチェックを介したセグメントの UPDATE 権限を持っている必要があります。

ユーザープロファイルの内容またはユーザープロファイルの個々のセグメントの内容を一覧表示するには、LISTUSER コマンドを使用します。

ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を表示するには、SPECIAL 属性か AUDITOR 属性、または少なくともフィールドレベルのアクセスチェックを介したセグメントの READ 権限を持っている必要があります。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能

サポート状況

アカウントの有効化/無効化

使用可

アカウントの名前変更

使用可

パススルー認証

使用不可

前アクションと後アクション

使用可

データ読み込みメソッド

  • リソースから直接インポート
  • 調整

アカウント属性

次の表に、RACF のアカウント属性に関する情報を示します。

リソースユーザー属性

データの種類

説明

GROUPS

String

ユーザーに割り当てられたグループ

GROUP-CONN-OWNERS

String

グループ接続所有者

USERID. Required

String

必須。ユーザーの名前

MASTER CATALOG

String

マスターカタログ

USER CATALOG

String

ユーザーカタログ

CATALOG ALIAS

String

カタログ別名

OWNER

String

プロファイルの所有者

NAME

String

ユーザーの名前

DATA

String

インストール定義データ

DFLTGRP

String

ユーザーのデフォルトのグループ

EXPIRED

Boolean

パスワードを期限切れにするかどうかを示します。

PASSWORD INTERVAL

String

パスワード間隔

TSO.ACCTNUM

String

ログオン時に使用されるユーザーのデフォルトの TSO アカウント番号

TSO.COMMAND

String

ログオン時のデフォルトのコマンド

TSO.HOLDCLASS

String

ユーザーのデフォルトの TSO 保持クラス

TSO.JOBCLASS

String

ユーザーのデフォルトの TSO ジョブクラス

TSO.MAXSIZE

Int

ユーザーがログオン中に要求できる最大 TSO 領域サイズ

TSO.MSGCLASS

String

ユーザーのデフォルトの TSO メッセージクラス

TSO.PROC

String

ユーザーのデフォルトの TSO ログオン手順の名前

TSO.SIZE

Int

ユーザーがログオン中に領域サイズを要求しない場合の最小 TSO 領域サイズ

TSO.SYSOUTCLASS

String

ユーザーのデフォルトの TSO SYSOUT クラス

TSO.UNIT

String

手順による割り当てに使用される TSO デバイスまたはデバイスグループのデフォルトの名前

TSO.USERDATA

String

インストール定義データ

OMVS.ASSIZEMAX

Int

ユーザーの OMVS RLIMIT_AS (最大アドレス空間サイズ)

OMVS.CPUTIMEMAX

Int

ユーザーの OMVS RLIMIT_CPU (最大 CPU 時間)

OMVS.FILEPROCMAX

Int

ユーザーの OMVS プロセスあたりの最大ファイル数

OMVS.HOME

String

ユーザーの OMVS ホームディレクトリパス名

OMVS.MMAPAREAMAX

Int

ユーザーの OMVS 最大メモリーマップサイズ

OMVS.PROCUSERMAX

Int

ユーザーの OMVS UID あたりの最大プロセス数

OMVS.PROGRAM

String

ユーザーの初期 OMVS シェルプログラム

OMVS.THREADSMAX

Int

ユーザーの OMVS プロセスあたりの最大スレッド数

OMVS.UID

String

ユーザーの OMVS ユーザー識別子

CICS.OPCLASS

String

ユーザーが BMS (基本マッピングサポート) メッセージを受信する CICS オペレータクラス

CICS.OPIDENT

String

ユーザーの CICS オペレータ識別子

CICS.OPPRTY

String

ユーザーの CICS オペレータ優先順位

CICS.TIMEOUT

String

ユーザーがアイドル状態になってから CICS によってサインオフされるまでの時間

CICS.XRFSOFF

String

XRF 引き継ぎの発生時にユーザーが CICS によってサインオフされるかどうかを示す設定

NETVIEW.CONSNAME

String

MCS コンソール識別子

NETVIEW.CTL

String

GLOBAL、GENERAL、または SPECIFIC コントロールを指定します。

NETVIEW.DOMAINS

String

ドメイン識別子

NETVIEW.IC

String

NetView オペレータがログインしたときにこの NetView によって実行される初期コマンドまたはコマンドリスト

NETVIEW.MSGRECVR

String

オペレータが非送信請求メッセージを受信するかどうかを示します (NO または YES)。

NETVIEW.NGMFADMN

String

このオペレータが NetView グラフィックモニター機能を使用できるかどうかを示します (NO または YES)。

NETVIEW.NGMFVSPN

String

 

NETVIEW.OPCLASS

String

オペレータのクラス

アイデンティティーテンプレート

$accountId$

サンプルフォーム

組み込みのフォーム

なし

その他の利用可能なフォーム

RACFUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。

HostAccess クラスのトラブルシューティングの詳細については、Top Secret の「トラブルシューティング」を参照してください。



前へ      目次      索引      次へ     

Part No: 820-1584.   Copyright 2006 Sun Microsystems, Inc. All rights reserved.