Top Secret リソースアダプタは、TN3270 エミュレータセッションを使用して、OS/390 メインフレーム上のユーザーアカウントおよびメンバーシップの管理をサポートします。
Top Secret リソースアダプタは、com.waveset.adapter.TopSecretResourceAdapter クラスで定義されます。
Top Secret Active Sync アダプタは、FTP を使用して TSSAUDIT 機能から出力を取得することにより動作します。その後、出力を解析して、アカウントの作成、変更、および削除を探します。この機能は、Top Secret Recovery ファイルのデータからレポートを生成します。そのため、Recovery ファイルを有効にし、Active Sync のポーリング間隔内に発生するすべての変更を十分保持できる大きさにします。Active Sync アダプタによる次のポーリングまでに出力が利用可能になるように TSSAUDIT ユーティリティーを実行するためのジョブをスケジュールするとよいでしょう。
オプションの世代データグループ (GDG) に TSSAUDIT の出力結果を格納するように設定できます。GDG には、前のバージョンの TSSAUDIT の出力が格納されます。Active Sync アダプタでは、通常の時間に実行できないイベントが失われないようにするために、GDG からの取得がサポートされています。このアダプタを、失われた可能性があるイベントを複数の世代に戻って取得するように設定できます。
次のサンプル JCL は、TSSAUDIT バッチジョブを実行します。
//LITHAUS7 <<<< Supply Valid Jobcard >>>>>> //* **************************************************************** //* * THIS JOB RUNS THE TSS AUDIT PROGRAM ’CHANGES’ //* * & CREATES A GDG MEMBER FOR IDENTITY MANAGER //* * You may choose to use standard MVS Delete/Defines or //* * request a system programmer to establish a small GDG //* **************************************************************** //AUDIT01 EXEC PGM=TSSAUDIT, // PARM=’CHANGES DATE(-01)’ //AUDITOUT DD DSN=auth hlq.LITHAUS.ADMIN.DAILY(+1), // DISP=(NEW,CATLG),UNIT=SYSDA,RECFM=FB,LRECL=133, // BLKSIZE=2793,SPACE=(CYL,(2,1),RLSE) //RECOVERY DD DSN=your.TSS.recovery.file ,DISP=SHR //AUDITIN DD DUMMY
Top Secret リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行する必要があります。
Top Secret リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタム リソース」セクションに次の値を追加する必要があります。
com.waveset.adapter.TopSecretResourceAdapter |
適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。
コネクションマネージャー |
JAR ファイル |
---|---|
Host On Demand |
IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL を含む推奨 JAR ファイルは habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、V9.0、および V10 に含まれるバージョンです。 habeans.jar ファイル ただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の JAR ファイルを habeans.jar の代わりに使用できます。
|
Attachmate WRQ |
Sun 製品向け Attachmate 3270 メインフレームアダプタには、メインフレームへの接続の管理に必要なファイルが含まれます。
|
Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。
serverSettings.serverId.mainframeSessionType=Value serverSettings.default.mainframeSessionType=Value |
Value は、次のように設定できます。
Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。
これにより、Attachmate コードでライセンスファイルを検索できます。
Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。
リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
ここでは、Top Secret リソースアダプタの使用に関する情報を示します。 次の内容で構成されています。
TSO セッションでは、同時に複数の接続は許可されません。Identity Manager Top Secret 操作の同時実行を実現するには、複数の管理者を作成します。たとえば、2 人の管理者を作成すると、2 つの Identity Manager Top Secret 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。
CICS セッションでは、管理者あたりのセッション数は制限されませんが、必要に応じて複数の管理者を定義できます。
クラスタ環境で実行する場合、クラスタ内のサーバーごとに管理者を定義する必要があります。この定義は、CICS の場合と同様に、管理者が同一の場合も必要です。TSO では、クラスタ内のサーバーごとに異なる管理者が必要です。
クラスタリングを使用していない場合は、すべての行でサーバー名は Identity Manager のホストマシンの名前となります。
ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。
同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。
Top Secret アダプタには、login および logoff のリソースアクションが必要です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。
login リソースアクションおよび logoff リソースアクションの作成については、「メインフレームの例」を参照してください。
Identity Manager は TN3270 接続を使用してリソースと通信します。
RACF LDAP リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
なし |
パススルー認証 |
なし |
前アクションと後アクション |
あり |
データ読み込みメソッド |
|
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、TN3270 を使用して Top Secret アダプタと通信します。
管理者に次の特権を付与してください。
TSS ADMIN 関数を通して、管理スコープ下で CREATE ACID を実行するための ACID (CREATE) 権限
TSS ADMIN 関数を通して、リソース所有権をスコープ内の ACID に割り当てるための RESOURCE (OWN) 権限
TSS ADMIN 関数を通して、多くのセキュリティー属性を割り当てるための MISC1、MISC2、および MISC9 権限
次の表に、デフォルトの Top Secret アカウント属性に関する情報を示します。
アイデンティティーシステム 属性名 |
リソース属性名 |
データ型 |
説明 |
---|---|---|---|
Profiles |
PROFILE |
String |
ユーザーに割り当てられたプロファイル。この属性には複数の値を設定できます。 |
accountId |
ACID |
String |
必須。アカウント ID |
fullname |
NAME |
String |
ユーザーの姓名 |
Installation Data |
INSTDATA |
String |
インストールデータ |
TSOO Access |
TSO_ACCESS |
Boolean |
ユーザーが TSO にアクセスできるかどうかを示します |
TSOLPROC |
TSO.TSOLPROC |
String |
TSO ログインプロシージャー |
OMVS Access |
OMVS_ACCESS |
Boolean |
ユーザーが OMVS にアクセスできるかどうかを示します |
Groups |
GROUP |
String |
ユーザーに割り当てられたグループのリスト |
Default Group |
DFLTGRP |
String |
ユーザーのデフォルトグループ |
UID |
OMVS.UID |
String |
OMVS ユーザー ID |
OMVSPGM |
OMVS.OMVSPGM |
String |
ユーザーの初期 OMVS プログラム |
HOME |
OMVS.HOME |
String |
ユーザーの OMVS ホームディレクトリ |
Attributes |
ATTRIBUTE |
String |
アカウント属性のリスト |
次の表に、デフォルトではスキーママップに表示されない、サポート対象のアカウント属性を示します。これらの属性のデータの種類は String です。
リソース属性名 |
説明 |
---|---|
CICS.OPTIME |
CICS で端末ユーザーがタイムアウトになったとみなされるまでの時間を制御します。 |
CICS.OPID |
CICS オペレータ ID を指定します。 |
DEPT |
部署名を指定します。 |
DIV |
部門名を指定します。 |
ZONE |
ゾーン名を指定します。 |
FACILITY |
ACID がアクセスできる機能またはアクセスできない機能のリストを指定します。 |
DATASET |
ユーザーのデータセットのリストを指定します。 |
CORPID |
企業 ID のリストを指定します。 |
OTRAN |
所有可能なトランザクションのリストを指定します。 |
TSOACCT |
TSO アカウント番号のリストを指定します。 |
SOURCE |
関連付けられた ACID がシステムに入る場合に使用するソースリーダーまたは端末プレフィックスのリストを指定します。 |
TSO.TRBA |
ブロードキャストデータセット内の、ユーザーのメールディレクトリエントリの相対ブロックアドレス (RBA) を指定します。 |
TSO.TSOCOMMAND |
TSO ログオン時に発行されるデフォルトのコマンドを指定します。 |
TSO.TSODEFPRFG |
デフォルトの TSO パフォーマンスグループを割り当てます。 |
TSO.TSODEST |
TSO ユーザーに対して TSO が生成した JCL のデフォルトの出力先識別子を指定します。 |
TSO.TSOHCLASS |
TSO ユーザーに対して TSO が生成した JCL のデフォルトの保持クラスを割り当てます。 |
TSO.TSOJCLASS |
TSO ユーザーから TSO が生成したジョブカードのデフォルトのジョブクラスを割り当てます。 |
TSO.TSOLACCT |
TSO ログオンで使用されるデフォルトのアカウント番号を指定します。 |
TSO.TSOLSIZE |
TSO のデフォルトの領域サイズを K バイト単位で割り当てます。 |
TSO.TSOMCLASS |
TSO ユーザーに対して TSO が生成した JCL のデフォルトのメッセージクラスを割り当てます。 |
TSO.TSOMSIZE |
TSO ユーザーがログオン時に指定できる最大領域サイズを K バイト単位で定義します。 |
TSO.TSOOPT |
TSO ユーザーがログオン時に指定できるデフォルトのオプションを割り当てます。 |
TSO.TSOSCLASS |
TSO ユーザーに対して TSO が生成した JCL のデフォルトの SYSOUT クラスを割り当てます。 |
TSO.TSOUDATA |
サイトで定義されたデータフィールドを TSO ユーザーに割り当てます。 |
TSO.TSOUNIT |
TSO 下での動的割り当てに使用されるデフォルトの単位名を割り当てます。 |
TSO.TUPT |
ユーザープロファイルテーブルの値を指定します。 |
ほかの Top Secret リソース属性のサポートの詳細については、サービス組織にお問い合わせください。
$accountId$
なし
TopSecretUserForm.xml
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.HostAccess
com.waveset.adapter.TopSecretResourceAdapter
hostAccess オブジェクトは、Identity Manager でトレースされることもあります。デバッグページでトレースされるクラスは com.waveset.adapter.HostAccess です。メインフレームに送信されたキーストロークと待機メッセージを識別するにはトレースレベル 3 で十分です。 トレースレベル 4 では、送信された正確なメッセージと、メインフレームからの応答が表示されます。
トレースファイルの場所が有効であることを確認します。デフォルトでは、トレースファイルは InstallDir/idm/config の下のアプリケーションディレクトリに配置されます。アプリケーションが WAR から配備されている場合は、パスにディレクトリの絶対パスのハードコードが必要になることがあります。クラスタ環境では、トレースファイルをネットワーク共有に書き込むようにしてください。
ソースのトレースのほかに、キーストロークを送信する前の画面テキストを常にログに記録しておくことも役に立つ可能性があります。これは、ファイル書き込み側で実現できます。コマンドのシーケンスは次のとおりです。
var file = new java.io.File(”<filename>’);var writer = new java.io.BufferedWriter(new java.io.FileWriter(file));writer.write(hostAccess.getScreen());writer.flush();
hostAccess.sendKeysAndWait(<cmd>,<msg>);
writer.newLine();
writer.write(hostAccess.getScreen());
writer.flush();
writer.close();
<filename> は、アプリケーションサーバーのローカルファイルシステム上のファイルの場所を参照するようにしてください。書き込み側は、flush() メソッドが呼び出されると、その場所へのハンドルを開いて、バッファーに格納されている内容を書き込みます。close() メソッドは、ファイルへのハンドルを解放します。getScreen() メソッドをこの関数に渡すと、デバッグのために画面の内容のダンプを取得できます。このトレースは、画面が正しくナビゲートされて、ログイン/ログアウトが正常に実行されたら削除するようにしてください。