| Oracle Identity Manager IBM i5/OS Advanced Connectorガイド リリース9.0.4 E05522-01 |
|
 戻る |
 次へ |
IBM i5/OS Advanced ConnectorのProvisioning AgentおよびReconciliation Agentコンポーネントは、IBM i5/OSにデプロイされます。この章では、次に示す項で、Provisioning AgentおよびReconciliation Agentのインストールおよび構成について説明します。
次の表には、Provisioning AgentおよびReconciliation Agentをインストールするための、ハードウェア、ソフトウェアおよび認可の前提条件を示します。
Provisioning AgentおよびReconciliation Agentはi5/OSにインストールされます。どちらにも初期タスクのインストールが必要です。また、これらのエージェントは、i5/OSシステムのユーザー・アカウントで機能します。このユーザー・アカウントは、Provisioning AgentおよびReconciliation Agentのデプロイ時にi5/OSの管理者が作成する必要があります。
|
注意: Provisioning AgentおよびReconciliation Agentのどちらのユーザー・アカウントもi5/OSのSystemAdministratorsグループ権限が必要です。 |
ターゲットのIBM i5/OSシステムにコネクタをインストールするには、次のようにします。
次の場所からOIMIDFEX.SAVFファイルをターゲットのi5/OSシステムのいずれかのディレクトリにバイナリでFTP転送します。
IBM i5 Advanced Connector Rev 9.0.3/etc/Provisioning and Reconciliation Connector/OIMIDFEX.SAVF
この手順では、ファイルの転送先のディレクトリをOIMI5ADVとします。
保存したライブラリおよび含まれるオブジェクトを表示するには、次のようにDSPSAVFコマンドを使用します。
DSPSAVF FILE(SAMPLIB/OIMIDFEX)
i5 Screen output from the DSPSAVF command:
==============================================================================
Display Saved Objects - Save File ,
Library saved . . . : ORIGLIB Release level . . . :
V4R5M0
ASP . . . . . . . . : 1 Data compressed . . : No
Save file . . . . . : OIMIDFEX Objects displayed . : 3
Library . . . . . : ORIGLIB Objects saved . . . : 3
Records . . . . . . : 688 Access paths . . . . : 0
Save command . . . . : SAVOBJ
Save active . . . . : *NO
Save date/time . . . : 01/20/07 01:28:35
Type options, press Enter.
5=Display saved data base file members
Opt Object Type Attribute Owner Size (K) Data
XUSRPWD *PGM CLE ORIGLIB 236 YES
NOTIFY *PGM CLE ORIGLIB 68 YES
QCSRC *FILE PF ORIGLIB 24 YES
F3=Exit F12=Cancel
=================================================================================
保存後のライブラリの名前およびオブジェクトを把握しているので、RSTOBJ(リストア・オブジェクト)コマンドを使用して保存ファイルのオブジェクトをリストアできます。リストアされたオブジェクトは新しいターゲット・ライブラリに保存されるため、SAVLIBおよびRSTLIBパラメータを使用する必要があります。SAVLIBは元のライブラリ名を使用し、RSTLIBは保存ファイルのオブジェクトのリストア先である新しいライブラリを使用します。このコマンドの構文は、次のようになります。
RSTOBJ OBJ(*ALL) SAVLIB(ORIGLIB) DEV(*SAVF) SAVF(SAMPLIB/OIMIDFEX) RSTLIB(NEWLIB)
必要な場合は、新しいライブラリは汎用ライブラリ(QGPL)にできます。
|
注意: IBM i5/OS Advanced Connectorのデプロイ時に、Provisioning Agentに特別な構成は必要ありません。このコネクタのプロビジョニング機能を使用するために、LDAP Gatewayおよびメッセージ・トランスポート・レイヤーが正確に構成されていることを確認してください。 |
OIMI5ADVライブラリにコネクタ保存ファイルをコピーした後で、Reconciliation Agentのexitをインストールします。すでに述べたように、コネクタのexitは既存のexitが通常に機能できるよう、最後に呼び出されるexitとして開発されています。exitをインストールするには、次のようにします。
i5/OS Reconciliation Agentは、メニュー方式またはコマンド方式のいずれかのインストール・プロトコルでインストールできます。次の手順は、メニュー方式のプロトコルの使用を仮定しています。
システム管理者としてi5/OSシステムにログオンします。
コネクタ・ライブラリ・ファイルおよびオブジェクトがOIMI5ADVライブラリに存在することを確認します。
ユーザーのexit登録プログラムWRKREGINFを起動します。
Parameters or command
===> WRKREGINF
i5/OSで、exitプログラムが動的にコールされます。つまり、exitプログラムがシステムで登録されている場合、新しいバージョンのプログラムを登録することなく置換できます。
主にCHG_PROFILE(変更)、CRT_PROFILE(作成)およびDLT_PROFILE(削除)エントリを使用して実行します。1人のユーザーが複数のオブジェクトを所有して、複数のリストおよび内部表に存在する可能性があるため、1つのユーザー・プロファイルの削除に長時間かかることもあります。
1人のユーザーの後のクリーンアップは、処理に長時間(数分)かかる場合があるため、クリーンアップ処理にバッチ・ジョブが使用されます。クリーンアップ・ジョブの開始前および終了時の2つの削除ポイントがあります。Reconciliation Agentが監視するのは、最初の削除ポイント(クリーンアップ・ジョブの前)のみです。
さらに、各exitポイントには関連するexitポイント形式があります。exitプログラムに渡される形式により、他に渡される情報の形式も決定されます。次に示す例では、これらのexitポイントに、グループ単位または一度に1つのいずれの場合にも、オプション8が選択されています。次のexitを変更します。
QIBM_QSY_CHG_PROFILE CHGP0100 *YES Change User Profile QIBM_QSY_CRT_PROFILE CRTP0100 *YES Create User Profile QIBM_QSY_DLT_PROFILE DLTP0200 *YES Delete User Profile - before QIBM_QSY_RST_PROFILE RSTP0100 *YES Restore User Profile QIBM_QSY_VLD_PASSWRD VLDP0100 *YES Validate Password
RST_PROFILE(リストア)exitポイントも、他の通常の操作時に(スクラッチからのシステム全体のリストア時を除く)ユーザー・プロファイルを保存ファイルからリストアする場合に必要です。
VLD_PASSWRD exitポイントも、ユーザーがパスワードを変更する場合にコールする際に使用します。このexitポイントは、初期パスワードを使用してユーザー・プロファイルを作成する場合またはセキュリティ管理者がユーザーのパスワードを変更する場合にはコールされません。
|
注意: このIBM社の設計の制限事項は、別のexitポイントQIBM_QSY_CHK_PASSWRDを導入することにより、IBM i5/OS V5R4では修正されています。 |
QIBM_QSY_CHG_PROFILEとともにXUSRPWD exitプログラムを登録する必要があります。ただし、その際にこのポイントに登録されている既存のexitプログラムが見つかる場合があります。次のコードの例では、これはメイン・システム・ライブラリQSYSのQGLDPUEXITです。これは、i5/OSシステム自体がこのexitポイントを使用して機能を拡張しているということを意味しています。
exitプログラムが実行する順番を決定するexitプログラム番号を考慮に入れる必要もあります。通常、システムexitプログラムは処理順序の最後に実行されるため、exitプログラム番号の数字は非常に大きくなります(2147483647)。Oracle Identity Managerカスタム・ユーザーのexitプログラムに入力して、「Add」のオプション「1」を選択します。
Exit
Program Exit
Opt Number Program Library
1 XUSRPWD OIMI5ADV
2147483647 QGLDPUEXIT QSYS
[Enter]キーを押すと、「Add」画面が表示されます。画面には次の値が表示されます。
Exit point . . . . . . . . . > QIBM_QSY_CHG_PROFILE Exit point format . . . . . > CHGP0100 Name Program number . . . . . . . > 1 1-2147483647, *LOW, *HIGH Program . . . . . . . . . . > XUSRPWD Name Library . . . . . . . . . > OIMI5ADV Name, *CURLIB Threadsafe . . . . . . . . . *UNKNOWN *UNKNOWN, *NO, *YES Multithreaded job action . . *SYSVAL *SYSVAL, *RUN, *MSG, *NORUN Text 'description' . . . . . *BLANK
[Enter]キーを押してプログラムを追加し、[F5]キーを押してシステムをリフレッシュして操作の結果を表示します。
|
注意: exitプログラムは、exitプログラムのコールにつながるコマンドを発行するジョブまたはユーザーの環境(アクティベーション・グループという)で実行されます。すなわち、現行ライブラリ(*CURLIB)値の変更が多く、システムがexitプログラムを検索できない場合があります。システムがexitプログラムを検索できるライブラリを、前述の画面出力で示したようにexitプログラム登録にコード化することは、一般的に簡単ではありません。 |
次のようにして、残りのexitポイントを操作します。
Program Exit
Opt Number Program Library
1 XUSRPWD OIMI5ADV
2147483647 QGLDPUEXIT QSYS
Exit point: QIBM_QSY_CHG_PROFILE Format: CHGP0100
Exit point: QIBM_QSY_CRT_PROFILE Format: CRTP0100
Exit point: QIBM_QSY_DLT_PROFILE Format: DLTP0200
Exit point: QIBM_QSY_RST_PROFILE Format: RSTP0100
Exit point: QIBM_QSY_VLD_PASSWRD Format: VLDP0100
|
注意: IBM i5/OS V5R4では、CHK_PASSWRD exitポイントも登録します。 |
汎用登録機能が導入される前は、パスワード検証プログラムが使用されていました。これは、システム値設定を介して処理されました。WRKSYSVALコマンドを使用すると、システム構成のほとんどを制御するシステム値を使用して実行できます。WRKSYSVALコマンドを入力して、次に示す行にスクロール・ダウンします。
QPWDVLDPGM *SEC Password validation program
QPWDVLDPGMのオプション「2」を選択します。
XUSRPWD exitプログラムを様々なexitポイントに追加した後で、NOTIFY exitプログラムも追加する必要があります。NOTIFY exitプログラムは、XUSRPWD exitプログラムの後にトリガーする必要があるため、プログラム番号2で指定する必要があります。NOTIFY exitプログラムは、CHGP0100、CRTP0100およびDLTP0200 exitのためにのみ登録する必要があります。
これでReconciliation Agentのexitのインストールが完了します。
|
注意:
|
i5/OSシステムのメッセージ・トランスポート・レイヤーを構成するには、Notify exit IPアドレスを構成します。
Notify exitは、QCSRC/IPPARMSファイルのLDAP Gateway(Oracle Identity Managerサーバーにインストール済)のIPアドレスおよびポート番号パラメータを使用します。
LDAP GatewayのIPアドレスおよびポート番号を指定するには、QCSRC/IPPARMSファイルを開いて編集します。
標準のポート番号は5490です。この番号は、実際のポート番号の前に0を付けて6桁で入力する必要があります。たとえば、5490は005490と入力する必要があります。
ポート番号の後ろにコロン(:)記号、LDAP GatewayサーバーIP、さらにコロン記号の順に入力します。
次に例を示します。
00590:10.0.0.1:
QCSRC/IPPARMSファイルを保存します。IBM i5/OSへのこの変更は、IPLを必要としません。
|
注意: ポート番号は、最初に0を付けた状態で最初の6文字の位置に使用してください。コロンの文字位置は7番目です。IPアドレスの文字位置は8番目から始まり、そのサイズは様々です。ただし、その後にコロンを使用してください。 |
