| Oracle Identity Manager CA-ACF2 Advanced Connectorガイド リリース9.0.3 E05105-01 |
|
 戻る |
 次へ |
CA-ACF2 Advanced ConnectorのProvisioning AgentおよびReconciliation Agentコンポーネントは、メインフレームにデプロイされます。
この章では、次に示す項で、Provisioning AgentおよびReconciliation Agentのインストールおよび構成について説明します。
次の表には、Provisioning AgentおよびReconciliation Agentの両方をインストールするための、ハードウェア、ソフトウェアおよび認可の前提条件を示します。
Provisioning AgentおよびReconciliation Agentはメインフレームにインストールされます。どちらにも初期タスクのインストールが必要です。また、これらのエージェントの機能には、メインフレーム・システムのユーザー・アカウントが必要です。このユーザー・アカウントは、Provisioning AgentおよびReconciliation Agentのデプロイ時にメインフレームの管理者が作成する必要があります。
|
注意: Provisioning AgentおよびReconciliation Agentのどちらのユーザー・アカウントも、管理APF認可ライブラリに配置する必要があります。これらのユーザー・アカウントには、少なくともメインフレームのSystemAdministratorsグループの権限が必要です。これらのユーザー・アカウントには、読取り、書込み、実行および変更権限を含む、メインフレームの通常の管理者を超える権限があります。 |
CA-ACF2 Advanced Connectorをデプロイするために、メインフレームで次に示す要件が満たされていることを確認します。
各エージェントは、メモリー・サブプールを使用して最大負荷条件を管理します。これらのサブプールでは、操作用にメインフレームのメモリーが1.5〜2.0 MB必要です。これは、Provisioning AgentおよびReconciliation Agentのインストール時に構成されます。
プログラム自体に加え、プログラムの実行元のユーザー・アカウントにも、ホスト・プラットフォームのサブプールにアクセスするための認可が必要です。これは、メインフレームの管理者が行う必要があります。
メッセージ・トランスポート・レイヤーにMQ Seriesを使用している場合、MQ管理者は、コネクタに付属の自動化されたスクリプトからのMQキューの作成を認可されている必要があります。
Oracle Identity Managerには、送信キュー、受信キューおよびReconciliation Agent用の通信キューの3つが必要です。これらのキューはMQ管理者により作成され、通常はシステムで使用されているネーミング規則に基づいて名前が付けられます。これらの名前は、Provisioning AgentおよびReconciliation Agentの起動のジョブ制御言語(JCL)プログラムに自動的に挿入されます。
メッセージ・トランスポート・レイヤーにTCP/IPを使用している場合、管理者には、セキュリティ認可を指定するだけでなく、メインフレームにポートを作成するための認可も必要です。
Reconciliation Agentは、メインフレームのオペレーティング・システム外で、ユーザーのexitテクノロジを使用して動作します。つまり、オペレーティング・システムとは異なるLPARで稼働します。
通常、メインフレーム製品には、特定のパスワード書式の保持用などにカスタムのexitがインストールされています。Oracle Identity Managerのexitは、既存のexitが通常に機能できるよう、最後に呼び出されるexitとして開発されています。論理パーティション(LPAR)内のexitを編集した後には、LPARの初期プログラム・ロード(IPL)が必要な場合があります。
z/OS上にCA-ACF2 Advanced Connectorのコンポーネントをインストールする初期ステップは、次のとおりです。
それぞれにRECFM=FB、LRECL=80、BLKSIZE=3120およびDSORG=PSと指定して、JCL.XMITおよびLINKLIB.XMITをz/OSサーバーに転送するかFTPにアップロードします。
TSO環境のz/OSサーバーにログインします。
CNTLデータセットを開き、ISPFコマンドラインから次のコマンドを発行します。
TSO RECEIVE INDA('IDF.CNTL.XMIT')
リストア・パラメータを指定するよう要求された場合には、次のように入力します。
DA('IDF.CNTL')
LINKLIBデータセットを開くには、ISPFコマンドラインで次のコマンドを入力します。
TSO RECEIVE INDA('IDF.LINKLIB.XMIT')
リストア・パラメータを入力するよう要求された場合には、次のように入力します。
DA('IDF.LINKLIB')
インストールを完了するには、Reconciliation AgentコンポーネントのIDF.CNTLメンバー#INSTVOY、およびProvisioning Agentコンポーネントのメンバー#INSTPIOの手順に従います。
exitはLPAR内に存在するため、IPLのインストールを完了する必要があります。LDAP Gatewayでイベントをすべて取得するためには、認証リポジトリを共有する各LPARに、Reconciliation Agentおよびexitがインストールされている必要があります。
Reconciliation Agentのexitをインストールするには、次のようにします。
exitモジュールがシステムparmlibにあることを確認します。たとえば、通常システムにはOIMACF2.PARMLIB(LPALSTCA)にエントリがあります。これらは、別々のLPAにあるかまたは名前で個別にリストされています。
システムの適切なLPARにexitをコピーします。通常のインストールでは、モジュールIDFACF2E、IDFACF2P、IDFACF2XをCAI.CAILPAにコピーします。IDFCACHEというユーティリティ・モジュールもCAI.CAILPAにコピーします。exitモジュールはLINKLIB PDSにあり、システムの適切なLPARにコピーする必要があります。
システムのコントロールGSOレコードを変更して、exitを追加します。GSOレコードがすでに存在する場合は変更し、それ以外は新規のレコードを追加します。SYSTEMNAMEは、デプロイ・システムの名前であることに注意してください。
READY , ACF ? SET CONTROL(GSO) SYSID(SYSTEMNAME) ? INSERT SYSID(SYSTEMNAME) EXITS LIDPOST(IDFACF2E) EXITS EXPPXIT(IDFACF2X) NEWPXIT(IDFACF2P) ACF0A026 RECORD ALREADY EXISTS, ? CHANGE SYSID(SYSTEMNAME) EXITS LIDPOST(IDFACF2E) EXPPXIT(IDFACF2X) NEWPXIT(IDFACF2P) SYSTEMNAME / EXITS LAST CHANGED BY MLIGHT ON 03/22/06-23:24, NEWPXIT(IDFACF2P) EXPPXIT(IDFACF2X) LIDPOST(IDFACF2E) ? QUIT
GSOをリフレッシュして、新しい値を追加します。
READY ACF ? F ACF2,REFRESH(EXITS) ACF79507 GSO PROCESSING COMPLETED WITHOUT ERROR ? QUIT READY
システムの再IPLの後、exitは準備され、使用可能になります。
この項では、次に示す、TCP/IPおよびMQ Seriesの両方に対するメッセージ・トランスポート・レイヤーの構成タスクを説明します。
この項では、z/OSシステムのCA-ACF2 Advanced Connector用にTCP/IPをメッセージ・トランスポート・レイヤーとして構成する方法を説明します。TCP/IPの使用規則はこのマニュアルの対象範囲外ですが、起動および通信順序に影響があります。メッセージのプーリング、およびメインフレームやLDAP Gatewayサーバーの両方の負荷を大幅に減らすことができる、ステートフル接続の確立を目的とします。
Oracle Identity Manager LDAP Gatewayを起動します。指定されたIPアドレスおよびポート番号を使用して、メインフレームに接続できるよう事前に構成されています。
Provisioning Agent初期タスクを開始します。このタスクも、指定されたIPアドレスおよびポート番号のLDAP Gatewayに対してTCP/IP接続を確立するよう事前に設定されています。
Reconciliation Agentにも同様の手順を適用します。LDAP Gatewayを起動し、Reconciliation Agent初期タスクを開始します。
TCP/IPをメッセージ・トランスポート・レイヤーとして使用するには、次のIPアドレスが必要です。
z/OSが使用するIPアドレス
ルーター用のIPアドレス
ドメイン・ネーム・サーバー用のIPアドレス
TCP/IPをメッセージ・トランスポート・レイヤーとして使用する場合、データ構造のセキュリティ認可の指定だけでなく、メインフレームへのポートの作成のためにメインフレーム管理者のサポートが必要な場合もあります。
Provisioning AgentおよびReconciliation Agent JCLを編集するには、次のようにします。
インストール認証のジョブ・カードを挿入します。
PARMの値をTCPN=TCPIPから実行中のTCP/IP初期タスクの名前に変更します。
IPアドレスを、Provisioning Agentを起動するLPAR(z/OSシステム)のアドレスに変更します。
ポート番号を、Provisioning Agentを起動するLPAR(z/OSシステム)に割り当てられたポートに変更します。
インストールにバッチ適用が必要な場合には、適切なVSAMGETU文を挿入します。次のコードに、CA-ACF2 ACIDのバッチ・ロードを示します。
//USR98S01 JOB (,xxxxxxxx,,'PROVISIONING AGENT UPLOAD PROCESS FOR ACIDS'),
// 'UPLOAD CATS TO XELLTE',
// REGION=2M,CLASS=6,MSGCLASS=Q,
// USER=XXXXXXXX,TIME=1440,
// NOTIFY=&SYSUID,TYPRUN=HOLD
//*
/*ROUTE PRINT CLE
//*
//PIONEERX EXEC PGM=PIONEERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=IP of ACF2 system',
// 'PORT=6500',
// 'DEBUG=Y')
//STEPLIB DD DISP=SHR,DSN=PPRD.IDF.LINKLIB
// DD DISP=SHR,DSN=SYS2.TCPACCES.V60.LINK
// DD DISP=SHR,DSN=TCPIP.SEZATCP
//SYSOUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//SYSDBOUT DD SYSOUT=*
//SYSABOUT DD SYSOUT=*
//ABENDAID DD SYSOUT=*
//SYSUDUMP DD SYSOUT=*
//VSAMGETU DD DISP=SHR,DSN=LXT99S.FEEDFILE.SORTED
//*
Reconciliation Agentの場合、ジョブ制御は実行カードの例外と同じです。次に例を示します。
//VOYAGERX EXEC PGM=VOYAGERX,
// PARM=('TCPN=TCPIP',
// 'IPAD=IP of ACF2 system',
// 'PORT=5791',
// 'DEBUG=Y')
Reconciliation AgentおよびProvisioning Agentのどちらの場合も、次に示すDEBUGパラメータ・フィールドの等価を使用できます。
デバッグ内容を出力しない場合はN
デバッグ内容を出力する場合はY
デバッグ内容を出力するがMQには書き込まない場合はZ
|
注意: メンバーの編集を試行した際に、「データセットは使用中です」というメッセージが表示された場合には、[F1]キーを使用して、編集対象のメンバーを使用しているユーザーを参照します。[F1]キーは2回押す必要があります。編集対象のファイルを使用しているジョブ名は、2回目に実際に表示されます。その後、z/OSコンソールに移動して、pまたはcコマンドを使用して削除します。 |
この項では、MQ SeriesのProvisioning AgentおよびReconciliation Agentのインストールを説明します。
Provisioning Agentでは、MQインストールの次のメンバーが使用されます。
Provisioning Agentをインストールするには、次のようにします。
QMGR PARMフィールドのQMGRをキュー・マネージャの名前に変更します。キュー・マネージャは、システムのMQキュー・マネージャに指定された実際のタスク名です。
必要な場合には、Debug=N(デフォルト)をYに設定してデバッグ・オプションを有効化します。
|
注意: これにより、大量の出力が生成されます。テスト目的でのみ実行してください。 |
IDF.LINKLIBをOracle Identity Manager Authorized Load Module Libraryに指定した名前に変更します。
インストール認証のジョブ・カードを挿入します。
IDF.CNTLをOracle Identity Manager Control Libraryに指定した名前に変更します。「手順2: コネクタ・エージェントのインストール」を参照してください。
SYS1.PROCLIBを、使用するJES PROCLIBの名前に変更します。
Reconciliation Agent初期タスクを、初期タスクとして開始するよう変更します。
PIOCOPYを発行します。選択したJES PROCLIBにメンバーVOYAGERが存在することを確認します。
すべてのQMGRをキュー・マネージャの名前に変更します。キュー・マネージャは、システムのMQキュー・マネージャに指定された実際のタスク名です。
すべてのSTGCLASSを、2つのProvisioning Agentキューの記憶域クラスの名前に変更します。
|
注意: パフォーマンス上の理由から、インストールで2つのProvisioning Agentキューを異なる記憶域クラスに定義する必要がある場合があります。Reconciliation Agentも使用している場合には、Reconciliation Agentキューに別の記憶域クラスを使用する場合もあります。 |
MQ Seriesのインストールでは、メンバーPIODEFを編集して発行します。
ジョブ・カードを挿入します。
PARMのQMGRをキュー・マネージャの名前に変更します。
MQMHLQを、MQシステム・データセットの上位レベルの修飾子に変更します。
IDF.CNTLをOracle Identity Manager Control Libraryに指定した名前に変更します。
|
注意: セキュリティ環境によっては、Provisioning Agentを初期タスクとして定義し、データセットおよびMQリソースへのアクセス権を付与する必要がある場合もあります。 |
Provisioning Agentを起動できます。
|
注意: Provisioning AgentはMQ Seriesに依存しているため、Provisioning Agentを開始する前にキュー・マネージャがアクティブであることを確認する必要があります。Provisioning Agentが初期タスクの場合には、コンソールから |
Control LibraryのReconciliation Agentインストールのメンバーは次のとおりです。
Reconciliation Agentをインストールするには、次のようにします。
QMGR parmフィールドのQMGRをキュー・マネージャの名前に変更します。キュー・マネージャは、システムのMQキュー・マネージャに指定された実際のタスク名です。
必要な場合には、Debug=NをYに変更してデバッグ・オプションを有効化します。
|
注意: これにより、大量の出力が生成されます。テスト目的でのみ実行してください。 |
IDF.LINKLIBをOracle Identity Manager Authorized Load Module Libraryに指定した名前に変更します。
メンバーVOYINIT、VOYKILLおよびVOYSTOPを編集します。
IDF.LINKLIBをOracle Identity Manager Authorized Load Module Libraryに指定した名前に変更します。
インストール認証のジョブ・カードを挿入します。
IDF.CNTLをOracle Identity Manager Control Libraryに指定した名前に変更します。
SYS1PROCLIBを、Reconciliation Agentを初期タスクとして起動するJESPROCLIB PROCLIBの名前に変更します。
選択したJES PROCLIBにメンバーVOYAGER、VOYINIT、VOYKILLおよびVOYSTOPが存在することを確認します。
すべてのQMGRをキュー・マネージャの名前に変更します。キュー・マネージャは、システムのMQキュー・マネージャに指定された実際のタスク名です。
すべての+STGCLASS+を、Reconciliation Agentキューの記憶域クラスの名前に変更します。
|
注意: Reconciliation Agentを、Provisioning Agentキューで使用しているのとは異なる記憶域クラスに割り当てることが必要な場合もあります。 |
ジョブ・カードを挿入します。
パラメータのQMGRをキュー・マネージャの名前に変更します。キュー・マネージャは、システムのMQキュー・マネージャに指定された実際のタスク名です。
+MQMHLQ+を、MQシステム・データセットの上位レベルの修飾子に変更します。
IDF.CNTLをOracle Identity Manager Control Libraryに指定した名前に変更します。
3つのオブジェクトがエラーなしで定義されていることを確認します。
|
注意: セキュリティ環境によっては、VOYAGER、VOYINIT、VOYKILLおよびVOYSTOPを初期タスクとして定義し、データセットおよびMQリソースへのアクセス権を付与する必要がある場合もあります。 |
Reconciliation Agentを起動できます。
その他の注意事項
Reconciliation AgentはMQに依存しています。そのため、Reconciliation Agentを起動する前にキュー・マネージャがアクティブであることを確認してください。
コンソールからS VOYINITを発行してVOYINITタスクを開始し、サブプールを作成します(VOYKILLが実行されている場合を除き、これを実行する必要があるのは一度のみです)。
VOYINITが終了したら、コンソールからS VOYAGERを発行してReconciliation Agentを起動します。
サブプールをそのままの状態で維持しながらVOYAGERを一時停止するには、コンソールからS VOYSTOPを発行してVOYSTOPを開始します。Reconciliation Agentを一時停止してサブプールを破棄するには、コンソールからS VOYKILLを発行してVOYKILLを開始します。VOYKILLを使用すると、サブプールに保存されているメッセージがすべて失われます。
|
注意: exitテクノロジを使用してReconciliation Agentにより検出されたイベントは、メッセージに変換されてLDAP Gatewayに渡されます。メッセージ・トランスポート・レイヤーとしてMQ Seriesを使用している場合、これらのメッセージは、配信するためにMQシステム内で内部的に保護されます。 TCP/IPメッセージ・トランスポート・レイヤーを使用している場合、メッセージはGatewayに安全に送信されます。Gatewayが停止している場合には、メッセージはGatewayが再開されるまで保持されますが、メインフレームのAES暗号化ファイルにも保護されます。Gatewayが再開されると、メッセージが送信されます。 サブプールが管理者により停止されると、Provisioning Agentが停止され、送信されていないメッセージがすべて破棄されます。ただし、セキュアなAES暗号化ファイル内のメッセージには影響はなく、リカバリできます。 |
APFは、IBM許可プログラム機能を意味します。プログラムにAPF認可ステータスを付与することは、スーパーユーザー・ステータスを付与することに似ています。このプロセスにより、通常のシステム管理者への問合せの許可や、操作を妨げられることのないプログラムの実行が可能になります。メインフレーム・システムで実行されるプログラムと実行元のユーザー・アカウントの両方が、APFで認可されている必要があります。たとえば、Provisioning Agentのユーザー・アカウントもAPFで認可されている必要があります。
|
注意: 通常APF認可は、メインフレームの管理者が行います。そのようなタスクの実行に必要な認可がない場合には、これらのタスクを実行できるユーザーの協力を得られるよう手配する必要があります。 |
APF認可を実行するには、必要な定義を作成する必要があります。
CA-ACF2コマンドの実行およびCA-ACF2データベースの変更に必要な認可のあるユーザー・アカウントを使用して、TSOにログオンします。たとえば、IBMUSERには通常その認可があります。
TSOコマンドライン(またはISPFのオプション6)から、次のCA-ACF2コマンドを発行します。
RDEFINE FACILITY IRR.RADMIN.* UACC(NONE)
このコマンドにより、FACILITYクラスのIRR.RADMIN.*という名前のCA-ACF2リソースが定義されます。
TSOコマンドライン(またはISPFのオプション6)から、次のCA-ACF2コマンドを発行します。
PERMIT IRR.RADMIN.* CLASS(FACILITY) ID(STARTER) ACCESS(READ)
このコマンドにより、ユーザーID STARTER(初期タスクのユーザー・アカウントの例)にIRR.RADMIN.*リソースへの読取りアクセス権が付与されます。これにより、初期タスクはCA-ACF2コマンドを発行できるようになります。
TSOコマンドライン(またはISPFのオプション6)から、次のCA-ACF2コマンドを発行します。
ALTUSER STARTER SPECIAL
このコマンドにより、ユーザーID STARTERにSPECIAL属性が付与され、初期タスクによるCA-ACF2のユーザー・プロファイルへのアクセスおよび変更が可能になります。
TSOコマンドライン(またはISPFのオプション6)から次のコマンドを発行します。
SETROPTS RACLIST(FACILITY) REFRESH
このコマンドにより、CA-ACF2の記憶域内の表が更新され、作成した定義がすぐにアクティブ化されます。
ISPFを終了します。
Provisioning AgentおよびReconciliation Agentの設定と実行には、2つの異なるJCLがあります。初期タスク定義のベースには、これら2つのJCLファイルを使用できます。
RUNPIONX.txtのパラメータは次のとおりです。
TCPN: TCPプロセスの名前
IPAD: Provisioning Agentが稼働しているシステムのIPアドレス
PORT: Provisioning Agentの着信接続ポート
DEBUG: 追加の出力を表示するためのデバッグ・スイッチ
RUNVOYAX.txtのパラメータは次のとおりです。
TCPN: TCPプロセスの名前
IPAD: Reconciliation Agentの接続先のシステムのIPアドレス
PORT: Reconciliation Agentの発信接続ポート
DEBUG: 追加の出力を表示するためのデバッグ・スイッチ
各プログラムのソース・コードは、次のとおりです。
RUNPIONX:
//ADCDMPPT JOB SYSTEMS,MSGLEVEL=(1,1),MSGCLASS=X,CLASS=A,PRTY=8,
// NOTIFY=&SYSUID,REGION=4096K
//PIONEERX EXEC PGM=PIONEERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=IP of ACF2 system',
// 'PORT=5790',
// 'DEBUG=Y')
//STEPLIB DD DISP=SHR,DSN=IDF.LINKLIB
// DD DISP=SHR,DSN=TCPIP.SEZATCP
//SYSPRINT DD SYSOUT=X
//SYSUDUMP DD SYSOUT=X
//
RUNVOYAX:
//ADCDMRVX JOB SYSTEMS,MSGLEVEL=(1,1),MSGCLASS=X,CLASS=A,PRTY=8,
// NOTIFY=&SYSUID,REGION=4096K
//VOYAGERX EXEC PGM=VOYAGERX,REGION=0M,TIME=1440,
// PARM=('TCPN=TCPIP',
// 'IPAD=IP of ACF2 system',
// 'PORT=5190',
// 'DEBUG=Y')
//STEPLIB DD DISP=SHR,DSN=IDF.LINKLIB
// DD DISP=SHR,DSN=TCPIP.SEZATCP
//SYSPRINT DD SYSOUT=X
//SYSUDUMP DD SYSOUT=X
//
