CA LDAP Server for z/OS ユーザ ディレクトリ接続の設定
目次
casso127jpjp
目次
2
CA LDAP Server for z/OS の概要
ポリシー サーバから LDAP サーバへの接続を設定することにより、CA LDAP Server for z/OS をユーザ ストアとして設定できます。ポリシー サーバから LDAP サーバへの接続を設定する方法は、LDAP サーバを保護するために使用しているバックエンド オプションによって異なります。

CA は、CA LDAP サーバに対して以下のバックエンド セキュリティ オプションをサポートします。
- CA Top Secret r12 (TSS)
- CA LDAP Server r15 for z/OS (RACF)
- CA LDAP Server r15 for z/OS (ACF2)
ポリシー サーバから LDAP サーバに接続を設定する前に、これらのバックエンド セキュリティ オプションに関するオブジェクト クラス階層について理解します。また、LDAP ネームスペースでポリシー サーバ レジストリにバックエンド関連オブジェクト クラスを追加します。
注:
z/OS はメインフレーム コンピュータ用の IBM オペレーティング システムです。CA LDAP Server for z/OS (TSS)でサポートされていない機能
CA LDAP Server for z/OS では、以下の機能がサポートされていません。
- パスワード サービスパスワード サービスはサポートされていません。
- 匿名バインドユーザ ストアとして CA LDAP Server r15 for z/OS を設定する場合、[ユーザ ディレクトリの作成]ページで[管理者認証情報]の値を指定します。
- ユーザ名でサポートされていない文字ユーザ名では以下の文字がサポートされていません。
- スペース
- 一重引用符
- 左丸かっこ
- 右丸かっこ
- カンマ
- 円記号
- ユーザ グループとポリシーユーザ グループをポリシーに追加し、そのグループ内のユーザの許可を試行すると失敗します。
- 負荷分散とフェールオーバ(TSS 向け)負荷分散とフェールオーバはサポートされていません。
- LDAP フェールオーバとレプリケーション(RACF および ACF2 向け)LDAP フェールオーバとレプリケーションはサポートされていません。
CA Top Secret r12 (TSS)バックエンド セキュリティ オプション
CA LDAP Server for z/OS を保護するために TSS を使用している場合は、ポリシー サーバから CA LDAP サーバへの接続を設定する前に、以下の手順を実行してください。
- TSS オブジェクト クラス階層について理解します。
- LDAP ネームスペースでポリシー サーバ レジストリに TSS オブジェクト クラスを追加します。
TSS オブジェクト クラス階層
以下の図は、CA Top Secret ディレクトリ情報ツリー(DIT)内のオブジェクト クラス エントリの階層を示しています。図の下に各オブジェクト クラスの説明があります。

- オブジェクト クラス hostCA Top Secret データベースに関するオブジェクト クラス階層へのアクセスを開始するために使用されるオブジェクト クラス。
- オブジェクト クラス tsssysinfohost の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
- オブジェクト クラス tssadmingrphost の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。値は以下のとおりです。
- acids
- プロファイル
- groups
- departments
- divisions
- zones
- オブジェクト クラス tssacidすべてのユーザ タイプについて ACID レコード フィールドにアクセスするために使用されるオブジェクト クラス。
- オブジェクト クラス tssacidgrpacid の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
ポリシー サーバ レジストリ エントリの TSS 用の設定
CA LDAP Server for z/OS には他の LDAP サーバとは異なるオブジェクト クラスが含まれています。ポリシー サーバから CA LDAP サーバへの接続を設定する前に、LDAP ネームスペースで特定のポリシー サーバ レジストリ エントリに TSS オブジェクト クラスを追加します。以下のポリシー サーバ レジストリ エントリのデフォルト値に対する代替値を代入します。
- registry_entry_home以下のレジストリ エントリの場所を指定します。HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Ds.
default_value
レジストリ エントリのデフォルト値を指定します。
replacement_value
レジストリ エントリの TSS オブジェクト クラスが含まれる新しい値を指定します。
- registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,groupclass_filters_replacement_value:
class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid- registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,groupgroup_class_filters_replacement_value:
group_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid- registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit, groupOfNames,groupOfUniqueNames,grouppolicy_class_filters_replacement_value:
policy_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid- registry_entry_home\PolicyResolutionこのレジストリ エントリに以下の TSS オブジェクト クラスを追加します。TSS オブジェクト クラスレジストリ キー タイプDataeTTSSAcidNameREG_DWORD0x00000001(1)tssacidREG_DWORD0x00000001(1)tssacidgrpREG_DWORD0x00000002(2)tssadmingrpREG_DWORD0x00000003(3)
注:
ポリシー サーバが発行する LDAP クエリ(ユーザの全リストなど)には、完了までに最大 60 秒かかるものがあります。このような条件下では、ポリシー サーバ側からのクエリの大部分はタイムアウトします。接続性を改善するために、このレジストリ キー エントリを以下のように調節できます。[HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Debug]LDAPPingTimeout = 300; REG_DWORD
CA LDAP Server for z/OS ユーザ ディレクトリ接続の設定
ポリシー サーバがユーザ ストアと通信するように、ユーザ ディレクトリ接続を設定します。
注:
負荷分散とフェールオーバはこの LDAP サーバではサポートされていません。以下の手順に従います。
- [インフラストラクチャ]-[ディレクトリ]をクリックします。
- [ユーザ ディレクトリ]を選択します。
- [ユーザ ディレクトリの作成]をクリックします。
- [一般]および[ディレクトリのセットアップ]の領域に必要な接続情報を入力します。
- [LDAP 設定]領域の[LDAP 検索]および[LDAP ユーザ DN ルックアップ設定]を設定します。[最大時間]には「100」を入力します。ポリシー サーバが、この LDAP サーバからデータを取得するのにこれだけの時間を必要とします。
- 管理者認証情報領域で以下を実行します: (オプション)[ユーザ属性]領域でSingle Sign-On用に予約されているユーザ ディレクトリ プロファイル属性を指定します。
- [認証情報が必要]オプションを選択します。
- [ユーザ名]に管理者の完全な DN を入力します。
- [パスワード]に管理者パスワードを入力します。TSS ではユーザ ストアへの匿名のバインドが許可されません。
- (オプション)[属性マッピング リスト]領域の[作成]をクリックして、ユーザ属性マッピングを設定します。
- [サブミット]をクリックします。ユーザ ディレクトリ接続が作成されます。注:新規ユーザ ディレクトリ接続は、ポリシー サーバが管理上の変更を適用するまで(デフォルトでは 60 秒ごと)、ポリシー サーバに使用可能になりません。これは、ユーザ ディレクトリ接続が変更された場合も同様です。
CA LDAP Server r15 for z/OS (ACF2) バックエンド セキュリティ オプション
このセクションでは、ポリシー サーバでユーザ ストアとして CA LDAP Server r15 for z/OS (ACF2) を設定するのに必要な設定について説明します。
ACF2 オブジェクト クラス階層
以下の図は、CA ACF2 ディレクトリ情報ツリー(DIT)内のオブジェクト クラス エントリの階層を示しています。この図では、各オブジェクト クラスについて説明しています。

オブジェクト クラス host
CA ACF2 データベースに関するオブジェクト クラス階層へのアクセスを開始するために使用されるオブジェクト クラス。
オブジェクト クラス acf2admingrp
host の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
値は以下のとおりです。
- lids
- groups
- rules
オブジェクト クラス acf2lid
LID レコード フィールド(ユーザ レコード)にアクセスするために使用されるオブジェクト クラス。acf2lid は、追加、変更、削除が可能な唯一のオブジェクト クラスです。他のオブジェクト クラス オブジェクトはすべて読み取り専用です。
オブジェクト クラス acf2lidgrp
CA ACF2 内のグループをエミュレートするために使用されるオブジェクト クラス。
オブジェクト クラス acf2ruletype
ルール タイプのようにグループ化するために使用されるオブジェクト クラス。acf2ruletype オブジェクト クラスは読み取り専用なので、変更、追加、削除はできません。
ACF2 用のポリシー サーバ レジストリ エントリの設定
CA LDAP Server r15 for z/OS (ACF2) には、他の LDAP サーバとは異なるオブジェクト クラスのセットが含まれます。ポリシー サーバから CA LDAP サーバへのユーザ ディレクトリ接続を設定する前に、LDAP ネームスペースで特定のポリシー サーバ レジストリ エントリに ACF2 オブジェクト クラスを追加します。以下のポリシー サーバ レジストリ エントリのデフォルト値に対する代替値を代入します。
- registry_entry_home
以下のレジストリ エントリの場所を指定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Ds.
- default_value
レジストリ エントリのデフォルト値を指定します。
- replacement_value
レジストリ エントリの ACF2 オブジェクト クラスが含まれる新しい値を指定します。
- registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,groupclass_filters_replacement_value:
class_filters_default_value,*- registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,groupgroup_class_filters_replacement_value:
group_class_filters_default_value,*- registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit,groupOfNames,groupOfUniqueNames,grouppolicy_class_filters_replacement_value:
policy_class_filters_default_value,*- registry_entry_home\PolicyResolutionこのレジストリ エントリに以下の ACF2 オブジェクト クラスを追加します。ACF2 オブジェクト クラスレジストリ キー タイプDataacf2lidREG_DWORD0x00000001(1)acf2admingrpREG_DWORD0x00000002(2)eTACFLidNameREG_DWORD0x00000001(1)
- registry_entry_home\DebugUNIX で、このレジストリ エントリに以下の ACF2 オブジェクト クラスを追加します。ACF2 オブジェクト クラスレジストリ キー タイプDataLDAPPingTimeout=REG_DWORD300;注:このレジストリ キーの値は、CA LDAP Server r15 for z/OS (ACF2) のレスポンス時間に基づいて変更できます。
CA LDAP Server r15 for z/OS (RACF) バックエンド セキュリティ オプション
このセクションでは、ポリシー サーバでユーザ ストアとして CA LDAP Server r15 for z/OS (RACF) を設定するのに必要な設定について説明します。
RACF ネームスペース階層
以下の図は、RACF ディレクトリ情報ツリー(DIT)内のネームスペース エントリの階層を示しています。この図では、各ネームスペースについて説明しています。RACF ネームスペース階層は ACF2 オブジェクト クラス階層に似ています。

ACF2 サーバに似ているので、階層内の上位 4 つのエントリはサーバによって予約済みで、読み取り専用で、生成されます。これらの予約済みエントリは、RACF ユーザ、グループおよび接続を階層的に表すためのものです。
RACF 用のポリシー サーバ レジストリ エントリの設定
CA LDAP Server r15 for z/OS (RACF) には、他の LDAP サーバとは異なるオブジェクト クラスのセットが含まれます。ポリシー サーバから CA LDAP サーバへのユーザ ディレクトリ接続を設定する前に、LDAP ネームスペースで特定のポリシー サーバ レジストリ エントリに RACF オブジェクト クラスを追加します。以下のポリシー サーバ レジストリ エントリのデフォルト値に対する代替値を代入します。
- registry_entry_home
以下のレジストリ エントリの場所を指定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Ds.
default_value
レジストリ エントリのデフォルト値を指定します。
replacement_value
レジストリ エントリの RACF オブジェクト クラスが含まれる新しい値を指定します。
- registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,groupclass_filters_replacement_value:
class_filters_default_value,*- registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,groupgroup_class_filters_replacement_value:
group_class_filters_default_value,*- registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit,groupOfNames,groupOfUniqueNames,grouppolicy_class_filters_replacement_value:
policy_class_filters_default_value,*- registry_entry_home\PolicyResolutionこのレジストリ エントリに以下の RACF オブジェクト クラスを追加します。RACF オブジェクト クラスレジストリ キー タイプDataeTRACUseridREG_DWORD0x00000001(1)eTRACAdminGrpREG_DWORD0x00000002(2)
- registry_entry_home\DebugUNIX で、このレジストリ エントリに以下の RACF オブジェクト クラスを追加します。RACF オブジェクト クラスレジストリ キー タイプDataLDAPPingTimeout=REG_DWORD300;注:このレジストリ キーの値は、CA LDAP Server r15 for z/OS (RACF) のレスポンス時間に基づいて変更できます。
ポリシー サーバから CA LDAP Server for z/OS への接続の設定
ポリシー サーバから CA LDAP Server for z/OS (RACF) または CA LDAP Server for z/OS (ACF2) へのディレクトリ接続を設定するには、管理 UI で既存ユーザ ディレクトリ オブジェクトを開きます。
以下の手順に従います。
注:
フェールオーバは、この LDAP サーバ ではサポートされていません。- [ユーザ ディレクトリ]ダイアログ ボックスが表示されます。
- [ディレクトリのセットアップ]で、ネームスペースとして LDAP を選択します。
- ご使用の LDAP ディレクトリの接続情報を入力します。
- [LDAP 検索]セクションの[最大時間]フィールドで、値を 300 秒に指定します。注:ポリシー サーバがこの LDAP サーバからデータを取得するのに時間がかかるため、タイムアウトの時間は長く設定する必要があります。
- [証明と接続]で、ポリシー サーバがこの LDAP サーバに接続するために使用する管理者認証情報を指定します。重要:必ず管理者認証情報を指定する必要があります。それは、CA LDAP Server r15 for z/OS (RACF) および CA LDAP Server r15 for z/OS (ACF2) でのユーザ ストアへの匿名バインドが許可されていないためです。