CA LDAP Server for z/OS ユーザ ディレクトリ接続の設定

目次
casso127jpjp
目次
2
CA LDAP Server for z/OS の概要
ポリシー サーバから LDAP サーバへの接続を設定することにより、CA LDAP Server for z/OS をユーザ ストアとして設定できます。ポリシー サーバから LDAP サーバへの接続を設定する方法は、LDAP サーバを保護するために使用しているバックエンド オプションによって異なります。
CA LDAP for zOS overview
CA は、CA LDAP サーバに対して以下のバックエンド セキュリティ オプションをサポートします。
  • CA Top Secret r12 (TSS)
  • CA LDAP Server r15 for z/OS (RACF)
  • CA LDAP Server r15 for z/OS (ACF2)
ポリシー サーバから LDAP サーバに接続を設定する前に、これらのバックエンド セキュリティ オプションに関するオブジェクト クラス階層について理解します。また、LDAP ネームスペースでポリシー サーバ レジストリにバックエンド関連オブジェクト クラスを追加します。
注:
z/OS はメインフレーム コンピュータ用の IBM オペレーティング システムです。
CA LDAP Server for z/OS (TSS)でサポートされていない機能
CA LDAP Server for z/OS では、以下の機能がサポートされていません。
  • パスワード サービス
    パスワード サービスはサポートされていません。
  • 匿名バインド
    ユーザ ストアとして CA LDAP Server r15 for z/OS を設定する場合、[ユーザ ディレクトリの作成]ページで[管理者認証情報]の値を指定します。
  • ユーザ名でサポートされていない文字
    ユーザ名では以下の文字がサポートされていません。
    • スペース
    • 一重引用符
    • 左丸かっこ
    • 右丸かっこ
    • カンマ
    • 円記号
  • ユーザ グループとポリシー
    ユーザ グループをポリシーに追加し、そのグループ内のユーザの許可を試行すると失敗します。
  • 負荷分散とフェールオーバ(TSS 向け)
    負荷分散とフェールオーバはサポートされていません。
  • LDAP フェールオーバとレプリケーション(RACF および ACF2 向け)
    LDAP フェールオーバとレプリケーションはサポートされていません。
CA Top Secret r12 (TSS)バックエンド セキュリティ オプション
CA LDAP Server for z/OS を保護するために TSS を使用している場合は、ポリシー サーバから CA LDAP サーバへの接続を設定する前に、以下の手順を実行してください。
  1. TSS オブジェクト クラス階層について理解します。
  2. LDAP ネームスペースでポリシー サーバ レジストリに TSS オブジェクト クラスを追加します。
TSS オブジェクト クラス階層
以下の図は、CA Top Secret ディレクトリ情報ツリー(DIT)内のオブジェクト クラス エントリの階層を示しています。図の下に各オブジェクト クラスの説明があります。
TSS objectclass hierarchy
  • オブジェクト クラス host
    CA Top Secret データベースに関するオブジェクト クラス階層へのアクセスを開始するために使用されるオブジェクト クラス。
  • オブジェクト クラス tsssysinfo
    host の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
  • オブジェクト クラス tssadmingrp
    host の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
    値は以下のとおりです。
    • acids
    • プロファイル
    • groups
    • departments
    • divisions
    • zones
  • オブジェクト クラス tssacid
    すべてのユーザ タイプについて ACID レコード フィールドにアクセスするために使用されるオブジェクト クラス。
  • オブジェクト クラス tssacidgrp
    acid の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
ポリシー サーバ レジストリ エントリの TSS 用の設定
CA LDAP Server for z/OS には他の LDAP サーバとは異なるオブジェクト クラスが含まれています。ポリシー サーバから CA LDAP サーバへの接続を設定する前に、LDAP ネームスペースで特定のポリシー サーバ レジストリ エントリに TSS オブジェクト クラスを追加します。以下のポリシー サーバ レジストリ エントリのデフォルト値に対する代替値を代入します。
  • registry_entry_home
    以下のレジストリ エントリの場所を指定します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Ds.
default_value
レジストリ エントリのデフォルト値を指定します。
replacement_value
レジストリ エントリの TSS オブジェクト クラスが含まれる新しい値を指定します。
  • registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,group
class_filters_replacement_value:
class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid
  • registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,group
group_class_filters_replacement_value:
group_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid
  • registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit, groupOfNames,groupOfUniqueNames,group
policy_class_filters_replacement_value:
policy_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp,tssacid
  • registry_entry_home\PolicyResolution
    このレジストリ エントリに以下の TSS オブジェクト クラスを追加します。
    TSS オブジェクト クラス
    レジストリ キー タイプ
    Data
    eTTSSAcidName
    REG_DWORD
    0x00000001(1)
    tssacid
    REG_DWORD
    0x00000001(1)
    tssacidgrp
    REG_DWORD
    0x00000002(2)
    tssadmingrp
    REG_DWORD
    0x00000003(3)
注:
ポリシー サーバが発行する LDAP クエリ(ユーザの全リストなど)には、完了までに最大 60 秒かかるものがあります。このような条件下では、ポリシー サーバ側からのクエリの大部分はタイムアウトします。接続性を改善するために、このレジストリ キー エントリを以下のように調節できます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Debug]LDAPPingTimeout = 300; REG_DWORD
CA LDAP Server for z/OS ユーザ ディレクトリ接続の設定
ポリシー サーバがユーザ ストアと通信するように、ユーザ ディレクトリ接続を設定します。
注:
負荷分散とフェールオーバはこの LDAP サーバではサポートされていません。
以下の手順に従います。
  1. [インフラストラクチャ]-[ディレクトリ]をクリックします。
  2. [ユーザ ディレクトリ]を選択します。
  3. [ユーザ ディレクトリの作成]をクリックします。
  4. [一般]および[ディレクトリのセットアップ]の領域に必要な接続情報を入力します。
  5. [LDAP 設定]領域の[LDAP 検索]および[LDAP ユーザ DN ルックアップ設定]を設定します。
    [最大時間]には「100」を入力します。ポリシー サーバが、この LDAP サーバからデータを取得するのにこれだけの時間を必要とします。
  6. 管理者認証情報領域で以下を実行します: (オプション)[ユーザ属性]領域で
    Single Sign-On
    用に予約されているユーザ ディレクトリ プロファイル属性を指定します。
    1. [認証情報が必要]オプションを選択します。
    2. [ユーザ名]に管理者の完全な DN を入力します。
    3. [パスワード]に管理者パスワードを入力します。TSS ではユーザ ストアへの匿名のバインドが許可されません。
  7. (オプション)[属性マッピング リスト]領域の[作成]をクリックして、ユーザ属性マッピングを設定します。
  8. [サブミット]をクリックします。
    ユーザ ディレクトリ接続が作成されます。
    注:
    新規ユーザ ディレクトリ接続は、ポリシー サーバが管理上の変更を適用するまで(デフォルトでは 60 秒ごと)、ポリシー サーバに使用可能になりません。これは、ユーザ ディレクトリ接続が変更された場合も同様です。
CA LDAP Server r15 for z/OS (ACF2) バックエンド セキュリティ オプション
このセクションでは、ポリシー サーバでユーザ ストアとして CA LDAP Server r15 for z/OS (ACF2) を設定するのに必要な設定について説明します。
ACF2 オブジェクト クラス階層
以下の図は、CA ACF2 ディレクトリ情報ツリー(DIT)内のオブジェクト クラス エントリの階層を示しています。この図では、各オブジェクト クラスについて説明しています。
ACF2 objectclass hierarchy
オブジェクト クラス host
CA ACF2 データベースに関するオブジェクト クラス階層へのアクセスを開始するために使用されるオブジェクト クラス。
オブジェクト クラス acf2admingrp
host の下のオブジェクト クラス階層にブランチを作成するために使用されるオブジェクト クラス。
値は以下のとおりです。
    • lids
    • groups
    • rules
オブジェクト クラス acf2lid
LID レコード フィールド(ユーザ レコード)にアクセスするために使用されるオブジェクト クラス。acf2lid は、追加、変更、削除が可能な唯一のオブジェクト クラスです。他のオブジェクト クラス オブジェクトはすべて読み取り専用です。
オブジェクト クラス acf2lidgrp
CA ACF2 内のグループをエミュレートするために使用されるオブジェクト クラス。
オブジェクト クラス acf2ruletype
ルール タイプのようにグループ化するために使用されるオブジェクト クラス。acf2ruletype オブジェクト クラスは読み取り専用なので、変更、追加、削除はできません。
ACF2 用のポリシー サーバ レジストリ エントリの設定
CA LDAP Server r15 for z/OS (ACF2) には、他の LDAP サーバとは異なるオブジェクト クラスのセットが含まれます。ポリシー サーバから CA LDAP サーバへのユーザ ディレクトリ接続を設定する前に、LDAP ネームスペースで特定のポリシー サーバ レジストリ エントリに ACF2 オブジェクト クラスを追加します。以下のポリシー サーバ レジストリ エントリのデフォルト値に対する代替値を代入します。
  • registry_entry_home
          以下のレジストリ エントリの場所を指定します。
          HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Ds.
  • default_value
          レジストリ エントリのデフォルト値を指定します。
  • replacement_value
          レジストリ エントリの ACF2 オブジェクト クラスが含まれる新しい値を指定します。
  • registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,group
class_filters_replacement_value:
class_filters_default_value,*
  • registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,group
group_class_filters_replacement_value:
group_class_filters_default_value,*
  • registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit,groupOfNames,groupOfUniqueNames,group
policy_class_filters_replacement_value:
policy_class_filters_default_value,*
  • registry_entry_home\PolicyResolution
    このレジストリ エントリに以下の ACF2 オブジェクト クラスを追加します。
    ACF2 オブジェクト クラス
    レジストリ キー タイプ
    Data
    acf2lid
    REG_DWORD
    0x00000001(1)
    acf2admingrp
    REG_DWORD
    0x00000002(2)
    eTACFLidName
    REG_DWORD
    0x00000001(1)
  • registry_entry_home\Debug
    UNIX で、このレジストリ エントリに以下の ACF2 オブジェクト クラスを追加します。
    ACF2 オブジェクト クラス
    レジストリ キー タイプ
    Data
    LDAPPingTimeout=
    REG_DWORD
    300;
    注:
    このレジストリ キーの値は、CA LDAP Server r15 for z/OS (ACF2) のレスポンス時間に基づいて変更できます。
CA LDAP Server r15 for z/OS (RACF) バックエンド セキュリティ オプション
このセクションでは、ポリシー サーバでユーザ ストアとして CA LDAP Server r15 for z/OS (RACF) を設定するのに必要な設定について説明します。
RACF ネームスペース階層
以下の図は、RACF ディレクトリ情報ツリー(DIT)内のネームスペース エントリの階層を示しています。この図では、各ネームスペースについて説明しています。RACF ネームスペース階層は ACF2 オブジェクト クラス階層に似ています。
RACF namespace hierarchy
ACF2 サーバに似ているので、階層内の上位 4 つのエントリはサーバによって予約済みで、読み取り専用で、生成されます。これらの予約済みエントリは、RACF ユーザ、グループおよび接続を階層的に表すためのものです。
RACF 用のポリシー サーバ レジストリ エントリの設定
CA LDAP Server r15 for z/OS (RACF) には、他の LDAP サーバとは異なるオブジェクト クラスのセットが含まれます。ポリシー サーバから CA LDAP サーバへのユーザ ディレクトリ接続を設定する前に、LDAP ネームスペースで特定のポリシー サーバ レジストリ エントリに RACF オブジェクト クラスを追加します。以下のポリシー サーバ レジストリ エントリのデフォルト値に対する代替値を代入します。
  • registry_entry_home
以下のレジストリ エントリの場所を指定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Ds.
default_value
レジストリ エントリのデフォルト値を指定します。
replacement_value
レジストリ エントリの RACF オブジェクト クラスが含まれる新しい値を指定します。
  • registry_entry_home\ClassFilters
class_filters_default_value:
organization,organizationalUnit,groupOfNames,groupOfUniqueNames,group
class_filters_replacement_value:
class_filters_default_value,*
  • registry_entry_home\GroupClassFilters
group_class_filters_default_value:
groupOfNames,groupOfUniqueNames,group
group_class_filters_replacement_value:
group_class_filters_default_value,*
  • registry_entry_home\PolicyClassFilters
policy_class_filters_default_value:
organizationalPerson,inetOrgPerson,organization,organizationalUnit,groupOfNames,groupOfUniqueNames,group
policy_class_filters_replacement_value:
policy_class_filters_default_value,*
  • registry_entry_home\PolicyResolution
    このレジストリ エントリに以下の RACF オブジェクト クラスを追加します。
    RACF オブジェクト クラス
    レジストリ キー タイプ
    Data
    eTRACUserid
    REG_DWORD
    0x00000001(1)
    eTRACAdminGrp
    REG_DWORD
    0x00000002(2)
  • registry_entry_home\Debug
    UNIX で、このレジストリ エントリに以下の RACF オブジェクト クラスを追加します。
    RACF オブジェクト クラス
    レジストリ キー タイプ
    Data
    LDAPPingTimeout=
    REG_DWORD
    300;
    注:
    このレジストリ キーの値は、CA LDAP Server r15 for z/OS (RACF) のレスポンス時間に基づいて変更できます。
ポリシー サーバから CA LDAP Server for z/OS への接続の設定
ポリシー サーバから CA LDAP Server for z/OS (RACF) または CA LDAP Server for z/OS (ACF2) へのディレクトリ接続を設定するには、管理 UI で既存ユーザ ディレクトリ オブジェクトを開きます。
以下の手順に従います。
注:
フェールオーバは、この LDAP サーバ ではサポートされていません。
  1. [ユーザ ディレクトリ]ダイアログ ボックスが表示されます。
  2. [ディレクトリのセットアップ]で、ネームスペースとして LDAP を選択します。
  3. ご使用の LDAP ディレクトリの接続情報を入力します。
  4. [LDAP 検索]セクションの[最大時間]フィールドで、値を 300 秒に指定します。
    注:
    ポリシー サーバがこの LDAP サーバからデータを取得するのに時間がかかるため、タイムアウトの時間は長く設定する必要があります。
  5. [証明と接続]で、ポリシー サーバがこの LDAP サーバに接続するために使用する管理者認証情報を指定します。
    重要:
    必ず管理者認証情報を指定する必要があります。それは、CA LDAP Server r15 for z/OS (RACF) および CA LDAP Server r15 for z/OS (ACF2) でのユーザ ストアへの匿名バインドが許可されていないためです。