Sun Java™ System Identity Manager 7.0 リソースリファレンス |
RACFRACF リソースアダプタは、IBM Host Access Class Library API を介して OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。このアダプタは、TN3270 エミュレータセッションで RACF を管理します。
RACF リソースアダプタは、com.waveset.adapter.RACFResourceAdapter クラスで定義されます。
リソースを設定する際の注意事項
なし
Identity Manager 上で設定する際の注意事項
RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
- RACF リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。
com.waveset.adapter.RACFResourceAdapter
- Identity Manager のメインフレームアダプタは、IBM Host Access Class Library (HACL) を使用してメインフレームに接続します。HACL は、IBM Websphere Host On-Demand (HOD) で利用できます。HACL が含まれる推奨 jar は habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。サポートされる HACL のバージョンは、HOD V7.0、V8.0、および V9.0 に含まれているバージョンです。
ただし、ツールキットのインストールを利用できない場合は、HOD のインストールに含まれる次の jar を habeans.jar の代わりに使用できます。
- habase.jar
- hacp.jar
- ha3270.jar
- hassl.jar
- hodbase.jar
habeans.jar ファイルまたはその代替ファイルのすべてを、Identity Manager がインストールされた WEB-INF/lib ディレクトリにコピーします。詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。
使用上の注意
ここでは、RACF リソースアダプタの使用に関する情報を示します。次のトピックで構成されています。
管理者
TSO セッションでは、複数の同時接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。したがって、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。
クラスタ環境で実行する場合は、クラスタ内のサーバーごとに 1 人の管理者を定義します。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO の場合は、クラスタ内のサーバーごとに異なる管理者にします。
クラスタを使用しない場合は、各行のサーバー名が同じ (Identity Manager ホストマシンの名前) になるようにしてください。
リソースアクション
RACF アダプタに必要なリソースアクションは login と logoff です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。
login リソースアクションおよび logoff リソースアクションの作成の詳細については、Top Secret アダプタの「使用上の注意」を参照してください。
SSL 設定
ここでは、このアダプタ用の SSL の設定方法について説明します。次のトピックがあります。
SSL または TLS を使用してアダプタを Telnet/TN3270 サーバーに接続する
SSL または TLS を使用して RACF リソースアダプタを Telnet/TN3270 サーバーに接続するには、次の手順を使用します。
- Telnet/TN3270 サーバーの証明書を PKCS #12 ファイル形式で取得します。このファイルのパスワードとして hod を使用します。サーバーの証明書をエクスポートする方法については、使用しているサーバーのマニュアルを参照してください。一般的なガイドラインについては、後述の「PKCS #12 ファイルの生成」の手順を参照してください。
- PKCS #12 ファイルから CustomizedCAs.class ファイルを作成します。最新バージョンの HOD を使用している場合は、次のコマンドを使用してこの作業を行います。
..¥hod_jre¥jre¥bin¥java -cp ../lib/ssliteV2.zip;../lib/sm.zip com.ibm.eNetwork.HOD.convert.CVT2SSLIGHT CustomizedCAs.p12 hod CustomizedCAs.class
- CustomizedCAs.class ファイルを Identity Manager サーバーのクラスパス内の任意の場所 ($WSHOME/WEB-INF/classes など) に配置します。
- 「セッションプロパティー」というリソース属性がリソースにまだ存在しない場合は、Identity Manager IDE またはデバッグページを使用して、この属性をリソースオブジェクトに追加します。<ResourceAttributes> セクションに、次の定義を追加します。
<ResourceAttribute name='セッションプロパティー' displayName='セッション プロパティー' description='セッションプロパティー' multi='true'>
</ResourceAttribute>
- リソースの「リソースパラメータ」ページに移動し、「セッションプロパティー」リソース属性に次の値を追加します。
SESSION_SSL
true
PKCS #12 ファイルの生成
ここでは、SSL/TLS を使用する Host OnDemand (HOD) リダイレクタを使用している場合に PKCS #12 ファイルを生成するときの一般的な手順を説明します。この作業の実行の詳細については、HOD のマニュアルを参照してください。
- IBM 証明書管理ツールを使用して、新しい HODServerKeyDb.kdb ファイルを作成します。このファイルの一部として、新しい自己署名付き証明書をデフォルトのプライベート証明書として作成します。
HODServerKeyDb.kdb ファイルの作成時に、「証明書データベースにキーを追加しようとしてエラーが発生した」という内容のメッセージが表示された場合は、1 つ以上の信頼できる認証局証明書の期限が切れている可能性があります。IBM の Web サイトをチェックして、最新の証明書を取得します。
- 作成したプライベート証明書を Base64 ASCII として cert.arm ファイルにエクスポートします。
- IBM 証明書管理ツールを使用して cert.arm ファイルから「署名者証明書」にエクスポートされた証明書を追加することにより、CustomizedCAs.p12 という名前の新しい PKCS #12 ファイルを作成します。このファイルのパスワードとして hod を使用します。
トラブルシューティング
「セッションプロパティー」リソース属性に次の内容を追加することにより、HACL のトレースを有効にできます。
SESSION_TRACE
ECLSession=3 ECLPS=3 ECLCommEvent=3 ECLErr=3 DataStream=3 Transport=3 ECLPSEvent=3
Telnet/TN3270 サーバーにも、同じように利用できるログがあります。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、TN3270 を使用して RACF アダプタと通信します。
必要な管理特権
ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を定義または変更するには、SPECIAL 属性または少なくともフィールドレベルのアクセスチェックを介したセグメントの UPDATE 権限を持っている必要があります。
ユーザープロファイルの内容またはユーザープロファイルの個々のセグメントの内容を一覧表示するには、LISTUSER コマンドを使用します。
ユーザープロファイル (ユーザー自身のものを含む) の非ベースセグメント内の情報を表示するには、SPECIAL 属性か AUDITOR 属性、または少なくともフィールドレベルのアクセスチェックを介したセグメントの READ 権限を持っている必要があります。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
アカウント属性
次の表に、RACF のアカウント属性に関する情報を示します。
アイデンティティーテンプレート
$accountId$
サンプルフォーム
組み込みのフォーム
なし
その他の利用可能なフォーム
RACFUserForm.xml
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。
HostAccess クラスのトラブルシューティングの詳細については、Top Secret の「トラブルシューティング」を参照してください。