test

Sun Identity Manager 8.1 リソースリファレンス

第 47 章 Top Secret

Top Secret リソースアダプタは、TN3270 エミュレータセッションを使用して、OS/390 メインフレーム上のユーザーアカウントおよびメンバーシップの管理をサポートします。

アダプタの詳細

Top Secret リソースアダプタは、com.waveset.adapter.TopSecretResourceAdapter クラスで定義されます。

リソースを設定する際の注意事項

Top Secret Active Sync アダプタは、FTP を使用して TSSAUDIT 機能から出力を取得することにより動作します。その後、出力を解析して、アカウントの作成、変更、および削除を探します。この機能は、Top Secret Recovery ファイルのデータからレポートを生成します。そのため、Recovery ファイルを有効にし、Active Sync のポーリング間隔内に発生するすべての変更を十分保持できる大きさにします。Active Sync アダプタによる次のポーリングまでに出力が利用可能になるように TSSAUDIT ユーティリティーを実行するためのジョブをスケジュールするとよいでしょう。

オプションの世代データグループ (GDG) に TSSAUDIT の出力結果を格納するように設定できます。GDG には、前のバージョンの TSSAUDIT の出力が格納されます。Active Sync アダプタでは、通常の時間に実行できないイベントが失われないようにするために、GDG からの取得がサポートされています。このアダプタを、失われた可能性があるイベントを複数の世代に戻って取得するように設定できます。

次のサンプル JCL は、TSSAUDIT バッチジョブを実行します。

//LITHAUS7  <<<< Supply Valid Jobcard >>>>>>
//* ****************************************************************
//* *  THIS JOB RUNS THE TSS AUDIT PROGRAM ’CHANGES’
//* *    & CREATES A GDG MEMBER FOR IDENTITY MANAGER
//* *  You may choose to use standard MVS Delete/Defines or
//* *   request a system programmer to establish a small GDG
//* ****************************************************************
//AUDIT01  EXEC   PGM=TSSAUDIT,
//          PARM=’CHANGES DATE(-01)’
//AUDITOUT DD DSN=auth hlq.LITHAUS.ADMIN.DAILY(+1),
//          DISP=(NEW,CATLG),UNIT=SYSDA,RECFM=FB,LRECL=133,
//          BLKSIZE=2793,SPACE=(CYL,(2,1),RLSE)
//RECOVERY DD   DSN=your.TSS.recovery.file ,DISP=SHR
//AUDITIN  DD DUMMY

Identity Manager のインストールに関する注意事項

Top Secret リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行する必要があります。

ProcedureTop Secret リソースアダプタをインストールする

  1. Top Secret リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタム リソース」セクションに次の値を追加する必要があります。


    com.waveset.adapter.TopSecretResourceAdapter

  2. 適切な JAR ファイルを Identity Manager インストールの WEB-INF/lib ディレクトリにコピーします。

    コネクションマネージャー  

    JAR ファイル  

    Host On Demand 

    IBM Host Access Class Library (HACL) は、メインフレームへの接続を管理します。HACL を含む推奨 JAR ファイルは habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、V9.0、および V10 に含まれるバージョンです。

    habeans.jar ファイル ただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の JAR ファイルを habeans.jar の代わりに使用できます。

    Attachmate WRQ 

    Sun 製品向け Attachmate 3270 メインフレームアダプタには、メインフレームへの接続の管理に必要なファイルが含まれます。 

    • RWebSDK.jar

    • wrqtls12.jar

    • profile.jaw

      この製品の入手については、Sun プロフェッショナルサービスにお問い合わせください。

  3. Waveset.properties ファイルに次の定義を追加して、端末セッションを管理するサービスを定義します。


    serverSettings.serverId.mainframeSessionType=Value
serverSettings.default.mainframeSessionType=Value

    Value は、次のように設定できます。

    • 1 は、IBM Host On-Demand (HOD) を表します。

      • 3 は、Attachmate WRQ を表します。

        これらのプロパティーを明示的に設定しない場合、Identity Manager は WRQ、HOD の順に使用を試みます。

  4. Attachmate ライブラリが WebSphere または WebLogic アプリケーションサーバーにインストールされている場合は、com.wrq.profile.dir=LibraryDirectory プロパティーを WebSphere/AppServer/configuration/config.ini または startWeblogic.sh ファイルに追加します。

    これにより、Attachmate コードでライセンスファイルを検索できます。

  5. Waveset.properties ファイルに加えた変更を有効にするために、アプリケーションサーバーを再起動します。

  6. リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。

使用上の注意

ここでは、Top Secret リソースアダプタの使用に関する情報を示します。 次の内容で構成されています。

管理者

TSO セッションでは、同時に複数の接続は許可されません。Identity Manager Top Secret 操作の同時実行を実現するには、複数の管理者を作成します。たとえば、2 人の管理者を作成すると、2 つの Identity Manager Top Secret 操作を同時に実行できます。少なくとも 2 人 (できれば 3 人) の管理者を作成するようにしてください。

CICS セッションでは、管理者あたりのセッション数は制限されませんが、必要に応じて複数の管理者を定義できます。

クラスタ環境で実行する場合、クラスタ内のサーバーごとに管理者を定義する必要があります。この定義は、CICS の場合と同様に、管理者が同一の場合も必要です。TSO では、クラスタ内のサーバーごとに異なる管理者が必要です。

クラスタリングを使用していない場合は、すべての行でサーバー名は Identity Manager のホストマシンの名前となります。

注 –

ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。

同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。

リソースアクション

Top Secret アダプタには、login および logoff のリソースアクションが必要です。login アクションは、認証されたセッションに関してメインフレームとネゴシエーションを行います。logoff アクションは、そのセッションが不要になったときに接続を解除します。

login リソースアクションおよび logoff リソースアクションの作成については、「メインフレームの例」を参照してください。

SSL 設定

Identity Manager は TN3270 接続を使用してリソースと通信します。

RACF LDAP リソースへの SSL 接続の設定については、第 53 章メインフレーム接続を参照してください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能  

サポート状況  

アカウントの有効化/無効化 

あり 

アカウントの名前の変更 

なし 

パススルー認証 

なし 

前アクションと後アクション 

あり 

データ読み込みメソッド 

  • リソースから直接インポート

  • 調整

  • Active Sync

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TN3270 を使用して Top Secret アダプタと通信します。

必要な管理特権

管理者に次の特権を付与してください。

アカウント属性

次の表に、デフォルトの Top Secret アカウント属性に関する情報を示します。

アイデンティティーシステム 属性名  

リソース属性名  

データ型  

説明  

Profiles

PROFILE 

String 

ユーザーに割り当てられたプロファイル。この属性には複数の値を設定できます。 

accountId

ACID 

String 

必須。アカウント ID 

fullname

NAME 

String 

ユーザーの姓名 

Installation Data

INSTDATA 

String 

インストールデータ 

TSOO Access

TSO_ACCESS 

Boolean 

ユーザーが TSO にアクセスできるかどうかを示します 

TSOLPROC

TSO.TSOLPROC 

String 

TSO ログインプロシージャー 

OMVS Access

OMVS_ACCESS 

Boolean 

ユーザーが OMVS にアクセスできるかどうかを示します 

Groups

GROUP 

String 

ユーザーに割り当てられたグループのリスト 

Default Group

DFLTGRP 

String 

ユーザーのデフォルトグループ 

UID

OMVS.UID 

String 

OMVS ユーザー ID 

OMVSPGM

OMVS.OMVSPGM 

String 

ユーザーの初期 OMVS プログラム 

HOME

OMVS.HOME 

String 

ユーザーの OMVS ホームディレクトリ 

Attributes

ATTRIBUTE 

String 

アカウント属性のリスト 

次の表に、デフォルトではスキーママップに表示されない、サポート対象のアカウント属性を示します。これらの属性のデータの種類は String です。

リソース属性名  

説明  

CICS.OPTIME

CICS で端末ユーザーがタイムアウトになったとみなされるまでの時間を制御します。 

CICS.OPID

CICS オペレータ ID を指定します。 

DEPT

部署名を指定します。 

DIV

部門名を指定します。 

ZONE

ゾーン名を指定します。 

FACILITY

ACID がアクセスできる機能またはアクセスできない機能のリストを指定します。 

DATASET

ユーザーのデータセットのリストを指定します。 

CORPID

企業 ID のリストを指定します。 

OTRAN

所有可能なトランザクションのリストを指定します。 

TSOACCT

TSO アカウント番号のリストを指定します。 

SOURCE

関連付けられた ACID がシステムに入る場合に使用するソースリーダーまたは端末プレフィックスのリストを指定します。 

TSO.TRBA

ブロードキャストデータセット内の、ユーザーのメールディレクトリエントリの相対ブロックアドレス (RBA) を指定します。 

TSO.TSOCOMMAND

TSO ログオン時に発行されるデフォルトのコマンドを指定します。 

TSO.TSODEFPRFG

デフォルトの TSO パフォーマンスグループを割り当てます。 

TSO.TSODEST

TSO ユーザーに対して TSO が生成した JCL のデフォルトの出力先識別子を指定します。 

TSO.TSOHCLASS

TSO ユーザーに対して TSO が生成した JCL のデフォルトの保持クラスを割り当てます。 

TSO.TSOJCLASS

TSO ユーザーから TSO が生成したジョブカードのデフォルトのジョブクラスを割り当てます。 

TSO.TSOLACCT

TSO ログオンで使用されるデフォルトのアカウント番号を指定します。 

TSO.TSOLSIZE

TSO のデフォルトの領域サイズを K バイト単位で割り当てます。 

TSO.TSOMCLASS

TSO ユーザーに対して TSO が生成した JCL のデフォルトのメッセージクラスを割り当てます。 

TSO.TSOMSIZE

TSO ユーザーがログオン時に指定できる最大領域サイズを K バイト単位で定義します。 

TSO.TSOOPT

TSO ユーザーがログオン時に指定できるデフォルトのオプションを割り当てます。 

TSO.TSOSCLASS

TSO ユーザーに対して TSO が生成した JCL のデフォルトの SYSOUT クラスを割り当てます。 

TSO.TSOUDATA

サイトで定義されたデータフィールドを TSO ユーザーに割り当てます。 

TSO.TSOUNIT

TSO 下での動的割り当てに使用されるデフォルトの単位名を割り当てます。 

TSO.TUPT

ユーザープロファイルテーブルの値を指定します。 

ほかの Top Secret リソース属性のサポートの詳細については、サービス組織にお問い合わせください。

アイデンティティーテンプレート

$accountId$

サンプルフォーム

組み込みのフォーム

なし

その他の利用可能なフォーム

TopSecretUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

hostAccess オブジェクトは、Identity Manager でトレースされることもあります。デバッグページでトレースされるクラスは com.waveset.adapter.HostAccess です。メインフレームに送信されたキーストロークと待機メッセージを識別するにはトレースレベル 3 で十分です。 トレースレベル 4 では、送信された正確なメッセージと、メインフレームからの応答が表示されます。

注 –

トレースファイルの場所が有効であることを確認します。デフォルトでは、トレースファイルは InstallDir/idm/config の下のアプリケーションディレクトリに配置されます。アプリケーションが WAR から配備されている場合は、パスにディレクトリの絶対パスのハードコードが必要になることがあります。クラスタ環境では、トレースファイルをネットワーク共有に書き込むようにしてください。

ソースのトレースのほかに、キーストロークを送信する前の画面テキストを常にログに記録しておくことも役に立つ可能性があります。これは、ファイル書き込み側で実現できます。コマンドのシーケンスは次のとおりです。

Procedureキーストロークの送信前に常に画面テキストをログに記録する

  1. var file = new java.io.File(”<filename>’);var writer = new java.io.BufferedWriter(new java.io.FileWriter(file));writer.write(hostAccess.getScreen());writer.flush();

  2. hostAccess.sendKeysAndWait(<cmd>,<msg>);

  3. writer.newLine();

  4. writer.write(hostAccess.getScreen());

  5. writer.flush();

  6. writer.close();

    <filename> は、アプリケーションサーバーのローカルファイルシステム上のファイルの場所を参照するようにしてください。書き込み側は、flush() メソッドが呼び出されると、その場所へのハンドルを開いて、バッファーに格納されている内容を書き込みます。close() メソッドは、ファイルへのハンドルを解放します。getScreen() メソッドをこの関数に渡すと、デバッグのために画面の内容のダンプを取得できます。このトレースは、画面が正しくナビゲートされて、ログイン/ログアウトが正常に実行されたら削除するようにしてください。