RACF LDAP リソースアダプタは、OS/390 メインフレーム上のユーザーアカウントとメンバーシップの管理をサポートします。可能であれば、アダプタは z/OS Security Server に含まれる LDAP サーバーに接続し、ユーザーアカウントを管理します。その他すべての機能は、RACF システムへの標準的な呼び出しによって処理されます。

RACF LDAP リソースアダプタは、com.waveset.adapter.RACF_LDAPResourceAdapter クラスで定義されます。

このアダプタは、LDAP リソースアダプタを拡張します。LDAP 機能の実装については、LDAP アダプタのマニュアルを参照してください。

リソースを設定する際の注意事項

Z/OS Security Server は、RACF アカウントのソースとして機能するマシンと同じマシン上にインストールされる必要があります。

Identity Manager 上で設定する際の注意事項

RACF リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。

RACF LDAP リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。

com.waveset.adapter.RACF_LDAPResourceAdapter

適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。


コネクションマネージャー	JAR ファイル
Host On Demand	IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL が含まれる推奨 JAR ファイルは habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、V9.0、および V10 に含まれるバージョンです。 habeans.jar ファイルただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の JAR ファイルを habeans.jar の代わりに使用できます。 habase.jar hacp.jar ha3270.jar hassl.jar hodbase.jar 詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。
Attachmate WRQ	Sun 製品向け Attachmate 3270 メインフレームアダプタには、メインフレームへの接続の管理に必要なファイルが含まれます。 RWebSDK.jar wrqtls12.jar profile.jaw この製品の入手については、Sun プロフェッショナルサービスにお問い合わせください。

Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。

serverSettings.serverId.mainframeSessionType=Value
serverSettings.default.mainframeSessionType=Value

Value は、次のように設定できます。

1 - IBM Host On-Demand (HOD)

3 - Attachmate WRQ

これらのプロパティーを明示的に設定しない場合、Identity Manager は WRQ、HOD の順に使用を試みます。

Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。

これにより、Attachmate コードでライセンスファイルを検索できます。

Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。

リソースへの SSL 接続を設定する詳細は、「メインフレーム接続」を参照してください。

使用上の注意

管理者

TSO セッションでは、複数の同時接続は許可されません。Identity Manager RACF 操作の同時実行を実現するには、複数の管理者を作成します。したがって、2 人の管理者を作成すると、2 つの Identity Manager RACF 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。

クラスタ環境で実行する場合は、クラスタ内のサーバーごとに 1 人の管理者を定義します。これは、各サーバーの管理者が同じ管理者である場合にも適用されます。TSO の場合は、クラスタ内のサーバーごとに異なる管理者にします。

クラスタを使用しない場合は、各行のサーバー名が同じ (Identity Manager ホストマシンの名前) になるようにしてください。

追加セグメントのサポート

RACF LDAP アダプタは、デフォルトでサポートされているセグメントには含まれない属性をサポートするように設定できます。

リソースアクション

RACF LDAP アダプタに必要なリソースアクションは login と logoff です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。


注	ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は TN3270 接続を使用してリソースと通信します。

必要な管理特権

RACF LDAP リソースと接続する管理者には、RACF ユーザーの作成と管理を行うための十分な特権が与えられている必要があります。

「User DN」リソースパラメータフィールドで指定されたユーザーに、ユーザーの読み取り、書き込み、削除、および追加のアクセス権を付与する必要があります。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

アカウント属性

属性がサポートされるかどうかは、通常、属性の構文 (または型) によって決まります。一般に、Identity Manager は boolean 型、文字列型、整数型、およびバイナリ型の構文をサポートします。バイナリ属性は、バイト配列としてのみ安全に表現できる属性です。

次の表に、サポートされている LDAP 構文の一覧を示します。ほかの LDAP 構文でも、事実上 boolean 型、文字列型、または整数型であれば、サポートされる可能性があります。オクテット文字列はサポートされません。

機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前の変更	使用可
パススルー認証	使用不可
前アクションと後アクション	使用可
データ読み込みメソッド	リソースから直接インポートリソースの調整


LDAP 構文	属性タイプ	オブジェクト ID
Audio	Binary	1.3.6.1.4.1.1466.115.121.1.4
Binary	Binary	1.3.6.1.4.1.1466.115.121.1.5
Boolean	Boolean	1.3.6.1.4.1.1466.115.121.1.7
Country String	String	1.3.6.1.4.1.1466.115.121.1.11
DN	String	1.3.6.1.4.1.1466.115.121.1.12
Directory String	String	1.3.6.1.4.1.1466.115.121.1.15
Generalized Time	String	1.3.6.1.4.1.1466.115.121.1.24
IA5 String	String	1.3.6.1.4.1.1466.115.121.1.26
Integer	Int	1.3.6.1.4.1.1466.115.121.1.27
Postal Address	String	1.3.6.1.4.1.1466.115.121.1.41
Printable String	String	1.3.6.1.4.1.1466.115.121.1.44
Telephone Number	String	1.3.6.1.4.1.1466.115.121.1.50

デフォルトのアカウント属性

次の属性は、RACF LDAP リソースアダプタの「アカウント属性」ページに表示されます。


リソースユーザー属性	データの種類	説明
racfPassword	暗号化されています	リソースに対するユーザーのパスワード
RACF.GROUPS	String	ユーザーに割り当てられたグループ
RACF.GROUP-CONN-OWNERS	String	グループ接続所有者
RACF.USERID	String	必須。ユーザー名
RACF.MASTER CATALOG	String	マスターカタログ
RACF.USER CATALOG	String	ユーザーカタログ
RACF.CATALOG ALIAS	String	カタログ別名
racfOwner	String	プロファイルの所有者
racfProgrammerName	String	ユーザー名
racfInstallationData	String	インストール定義データ
racfDefaultGroup	String	ユーザーのデフォルトグループ
RACF.EXPIRED	Boolean	パスワードを期限切れにするかどうかを示します。
RACF.PASSWORD INTERVAL	String	パスワード間隔
TSO.Delete Segment	Boolean	このフィールドを true に設定すると、TSO Segment が RACF ユーザーから削除されます。
SAFAccountNumber	String	ログオン時に使用されるユーザーのデフォルトの TSO アカウント番号
SAFDefaultCommand	String	ログオン時のデフォルトのコマンド
SAFHoldClass	String	ユーザーのデフォルトの TSO 保持クラス
SAFJobClass	String	ユーザーのデフォルトの TSO ジョブクラス
SAFMessageClass	String	ユーザーのデフォルトの TSO メッセージクラス
SAFDefaultLoginProc	String	ユーザーのデフォルトの TSO ログオン手順の名前
SAFLogonSize	Int	ユーザーがログオン中に領域サイズを要求しない場合の最小 TSO 領域サイズ
SAFMaximumRegionSize	Int	ユーザーがログオン中に要求できる最大 TSO 領域サイズ
SAFDefaultSysoutClass	String	ユーザーのデフォルトの TSO SYSOUT クラス
SAFDefaultUnit	String	手順による割り当てに使用される TSO デバイスまたはデバイスグループのデフォルトの名前
SAFUserdata	String	インストール定義データ
SAFDefaultCommand	String	TSO のデフォルトのコマンド
racfOmvsUid	String	ユーザーの OMVS ユーザー識別子
racfOmvsHome	String	ユーザーの OMVS ホームディレクトリパス名
racfOmvsInitialProgram	String	ユーザーの初期 OMVS シェルプログラム
racfOmvsMaximumCPUTime	Int	ユーザーの OMVS RLIMIT_CPU (最大 CPU 時間)
racfOmvsMaximumAddressSpaceSize	Int	ユーザーの OMVS RLIMIT_AS (最大アドレス空間サイズ)
racfOmvsMaximumFilesPerProcess	Int	ユーザーの OMVS プロセスあたりの最大ファイル数
racfOmvsMaximumProcessesPerUID	Int	ユーザーの OMVS UID あたりの最大プロセス数
racfOmvsMaximumThreadsPerProcess	Int	ユーザーの OMVS プロセスあたりの最大スレッド数
racfOmvsMaximumMemoryMapArea	Int	ユーザーの OMVS 最大メモリーマップサイズ
racfTerminalTimeout	String	ユーザーがアイドル状態になってから CICS によってサインオフされるまでの時間
racfOperatorPriority	String	ユーザーの CICS オペレータ優先順位
racfOperatorIdentification	String	ユーザーの CICS オペレータ識別子
racfOperatorClass	String	ユーザーが BMS (基本マッピングサポート) メッセージを受信する CICS オペレータクラス
racfOperatorReSignon	String	XRF 引き継ぎの発生時にユーザーが CICS によってサインオフされるかどうかを示す設定
racfNetviewOperatorClass	String	オペレータのクラス
NETVIEW.NGMFVSPN	String	NetView Graphic Monitor Facility ビューを表示したり、ビュー内にリソースを表示したりする際の、オペレータの権限を定義します。
racfNGMFADMKeyword	String	このオペレータが NetView グラフィックモニター機能を使用できるかどうかを示します (NO または YES)
racfMessageReceiverKeyword	String	オペレータが非送信請求メッセージを受信するかどうかを示します (NO または YES)
racfNetviewInitialCommand	String	NetView オペレータがログインしたときにこの NetView によって実行される初期コマンドまたはコマンドリスト
racfDomains	String	ドメイン識別子
racfCTLKeyword	String	GLOBAL、GENERAL、または SPECIFIC コントロールを指定します。
racfDefaultConsoleName	String	MCS コンソール識別子

デフォルトでサポートされるオブジェクトクラス

デフォルトでは、RACF LDAP リソースアダプタは、LDAP ツリーに新しいユーザーオブジェクトを作成するときに次のオブジェクトクラスを使用します。ほかのオブジェクトクラスが追加される場合もあります。

リソースオブジェクトの管理

アイデンティティーテンプレート

サンプルフォーム

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスのうち 1 つ以上でトレースオプションを設定します。

前へ目次索引次へ
Sun™ Identity Manager 8.0 リソースリファレンス