CA LDAP Server for z/OSのご紹介 日本CA株式会社 LDAPとは? Lightweight Directory Access Protocol ディレクトリ・サービス(ユーザIDなどの情報を管理 するサービス)へアクセスする為のプロトコル TCP/IPネットワーク上で稼動 一つのLDAPクライアントからLDAPサーバを通じて、 複数のプラットフォームにあるディレクトリ・サービス へアクセス可能 2 LDAPのデータモデル データはエントリ(entry)で表現される エントリは様々な属性(attribute)を持つ 属性は属性型(attribute type)及び属性値 (value)から成る 例:属性型 – 電話番号、メールアドレス 属性値 – 03-xxxx-xxxx、[email protected] 3 LDAPのデータモデル エントリーはDIT (Directory Information tree) で管理される ○○株式会社 営業部 技術部 人事部 Aさん Bさん 4 LDAPのデータモデル データの参照は,エントリに付与されたDN (Distinguished name:識別名)で行う ○○株式会社 営業部 技術部 人事部 Aさん DN : Bさん、人事部、○○株式会社 Bさん 5 LDAPのデータモデル オブジェクトクラス エントリを定義する為に使える属性のセットを 定義している エントリ 属性 属性 属性 属性 オブジェクト クラス 6 CA LDAP Server for z/OSとは CA Top SecretやCA ACF2で管理されているユー ザIDやルールなどの情報をLDAPを通じてアクセス 可能にする CA Top Secret/CA ACF2で管理されるユーザ ID(ACID,LOGONID)に関する属性を定義するオブ ジェクトクラスを格納したDITを提供 CA Top Secret/CA ACF2のDBで認識されるフィー ルド名を分かりやすい名前に変換するUFN (User Friendly Name)を提供 7 DIT - CA Top Secret 8 DIT - CA ACF2 9 UFN – CA Top Secret 10 UFN – CA ACF2 11 CA Top Secretへのアクセス例 特定ACID(TSTUSR5)の情報を参照 Windows XPより下記コマンドを実施 ldapsearch -D cn=admuser,host=XE20,o=CAJ,c=jp -w password -x -h hostaddress -p 389 -b tssacid=TSTUSR5,tssadmingrp=acids,host=XE2 0,o=CAJ,c=jp -s base 次頁に実行結果 12 CA Top Secretへのアクセス例 ldif output version: 2 # # filter: (objectclass=*) # requesting: ALL # # TSTUSR5, acids, XE20, CAJ, jp dn: tssacid=TSTUSR5,tssadmingrp=acids,host=XE20,o=CAJ,c=jp objectClass: tssacid Name: TEST USER 5 tssacid: TSTUSR5 User-Type: USER AcidRecordSize: 768 Department: SG5DEPT Division: SGDIV Zone: SGZONE Created-Date: 07.07.10 Modified-Date: 07.07.10 Modified-Time: 18:48 groupmemberOf: tssgroup=OMVSGRP,tssadmingrp=groups,host=XE20,o=CAJ,c=jp Console-Auth: Y Bypass-Dsn-Check: Y Last-Used-Date: 07.07.11 Last-Used-Time: 10:29 Last-Accessed-From-CPU: XE20 Last-Used-Facility: BATCH Last-Access-Count: 00011 OMVS-Dflt-Group: OMVSGRP OMVS-Home-Subdir: /u/dca/user02 OMVS-Program: /bin/sh TSO-Logon-Command: pdf TSO-Logon-Proc: PROC394 TSO-Region-Size: 4096 TSO-Options: NOMAIL,NONOTICES,NOOIDCARD TSO-User-Data: 0000 AdminAcid: REPORT 13 CA ACF2へのアクセス例 特定LOGONID(TEST002)の情報を参照 Windows XPより下記コマンドを実施 ldapsearch -D cn=admuser,host=XE10,o=CAJ,c=jp -w password -x -h hostaddress -p 389 -b acf2lid=TEST002,acf2admingrp=lids,host=XE10, o=CAJ,c=jp -s base 次頁に実行結果 14 CA ACF2へのアクセス例 ldif output version: 2 # # filter: (objectclass=*) # requesting: ALL # # TEST002, lids, XE10, CAJ, jp dn: acf2lid=TEST002,acf2admingrp=lids,host=XE10,o=CAJ,c=jp objectClass: acf2lid acf2lid: TEST002 CICSAccess: Y GeneralTSOAccess: Y GeneralVMAccess: Y AccessCount: 0 AccessDate: 00/00/00 AccessTime: 00:00 KerberosVios: 0 InvalidPswdDate: 00/00/00 RecentPswdViolations: 0 PswdChgDateTime: 01/26/05-11:23 PswdViolations: 0 PasswordForExtract: Y PWP-DATE: 00/00/00 PWP-VIO: 0 TSOPrefix: TEST002 SecurityViolations: 0 LastUpdatedDateTime: 01/26/05-11:40 RuleKeyPrefix: TEST002 HomeDirectory: /u ShellProgram: /bin/sh NumericUserID: 110 FullName: ADMIN TEST UserIdentificationString:: ICAgICAgIFRFU1QwMDI= 15 その他LDAPからのアクセス例 全てのACID/LOGONID参照 特定の属性を持つACID/LOGONID参照 セキュリティ・ルール参照 基本的にACID/LOGONIDの属性は更新も 可能だがセキュリティ・ルールは更新不可 16 CA LDAP Serverが提供する Windowsツール JXplorer – Javaで書かれたオープンソース のLDAPブラウザ Command Line Utilities – ldapsearch,ldapadd,ldapmodify,ldapdelete など SDK(Software Development Kits) – USS,Windows,Linux,Solaris,HP-UX,AIX向 けのアプリケーション開発用 17 Jxplorerの画面(CA Top Secret) 18 CA LDAP Serverの導入 CA Top Secret/CA ACF2の導入テープに付属の CD-ROMを使用 Windows上で導入Wizardを使用するので容易 関連ファイルがz/OS(USS)にコピーされる CA LDAP ServerがUSS環境で稼動できるよう、CA Top Secret/CA ACF2においてセキュリティ定義が 必要 詳細はGetting startedを参照 19
© Copyright 2024 ExpyDoc