CA LDAP Server for z/OSのご紹介

CA LDAP Server for
z/OSのご紹介
日本CA株式会社
LDAPとは?




Lightweight Directory Access Protocol
ディレクトリ・サービス(ユーザIDなどの情報を管理
するサービス)へアクセスする為のプロトコル
TCP/IPネットワーク上で稼動
一つのLDAPクライアントからLDAPサーバを通じて、
複数のプラットフォームにあるディレクトリ・サービス
へアクセス可能
2
LDAPのデータモデル
データはエントリ(entry)で表現される
 エントリは様々な属性(attribute)を持つ
 属性は属性型(attribute type)及び属性値
(value)から成る
 例：属性型 – 電話番号、メールアドレス
属性値 – 03-xxxx-xxxx、[email protected]

3
LDAPのデータモデル

エントリーはDIT (Directory Information tree)
で管理される
○○株式会社
営業部
技術部
人事部
Aさん
Bさん
4
LDAPのデータモデル

データの参照は，エントリに付与されたDN
（Distinguished name：識別名）で行う
○○株式会社
営業部
技術部
人事部
Aさん
DN : Bさん、人事部、○○株式会社
Bさん
5
LDAPのデータモデル
オブジェクトクラス
 エントリを定義する為に使える属性のセットを
定義している

エントリ
属性
属性
属性
属性
オブジェクト
クラス
6
CA LDAP Server for z/OSとは



CA Top SecretやCA ACF2で管理されているユー
ザIDやルールなどの情報をLDAPを通じてアクセス
可能にする
CA Top Secret/CA ACF2で管理されるユーザ
ID(ACID,LOGONID)に関する属性を定義するオブ
ジェクトクラスを格納したDITを提供
CA Top Secret/CA ACF2のDBで認識されるフィー
ルド名を分かりやすい名前に変換するUFN (User
Friendly Name)を提供
7
DIT - CA Top Secret
8
DIT - CA ACF2
9
UFN – CA Top Secret
10
UFN – CA ACF2
11
CA Top Secretへのアクセス例




特定ACID(TSTUSR5)の情報を参照
Windows XPより下記コマンドを実施
ldapsearch -D
cn=admuser,host=XE20,o=CAJ,c=jp -w
password -x -h hostaddress -p 389 -b
tssacid=TSTUSR5,tssadmingrp=acids,host=XE2
0,o=CAJ,c=jp -s base
次頁に実行結果
12
CA Top Secretへのアクセス例

ldif output version: 2

#
# filter: (objectclass=*)
# requesting: ALL
#

































# TSTUSR5, acids, XE20, CAJ, jp
dn: tssacid=TSTUSR5,tssadmingrp=acids,host=XE20,o=CAJ,c=jp
objectClass: tssacid
Name: TEST USER 5
tssacid: TSTUSR5
User-Type: USER
AcidRecordSize: 768
Department: SG5DEPT
Division: SGDIV
Zone: SGZONE
Created-Date: 07.07.10
Modified-Date: 07.07.10
Modified-Time: 18:48
groupmemberOf: tssgroup=OMVSGRP,tssadmingrp=groups,host=XE20,o=CAJ,c=jp
Console-Auth: Y
Bypass-Dsn-Check: Y
Last-Used-Date: 07.07.11
Last-Used-Time: 10:29
Last-Accessed-From-CPU: XE20
Last-Used-Facility: BATCH
Last-Access-Count: 00011
OMVS-Dflt-Group: OMVSGRP
OMVS-Home-Subdir: /u/dca/user02
OMVS-Program: /bin/sh
TSO-Logon-Command: pdf
TSO-Logon-Proc: PROC394
TSO-Region-Size: 4096
TSO-Options: NOMAIL,NONOTICES,NOOIDCARD
TSO-User-Data: 0000
AdminAcid: REPORT
13
CA ACF2へのアクセス例




特定LOGONID(TEST002)の情報を参照
Windows XPより下記コマンドを実施
ldapsearch -D
cn=admuser,host=XE10,o=CAJ,c=jp -w
password -x -h hostaddress -p 389 -b
acf2lid=TEST002,acf2admingrp=lids,host=XE10,
o=CAJ,c=jp -s base
次頁に実行結果
14
CA ACF2へのアクセス例

ldif output version: 2

#
# filter: (objectclass=*)
# requesting: ALL
#






























# TEST002, lids, XE10, CAJ, jp
dn: acf2lid=TEST002,acf2admingrp=lids,host=XE10,o=CAJ,c=jp
objectClass: acf2lid
acf2lid: TEST002
CICSAccess: Y
GeneralTSOAccess: Y
GeneralVMAccess: Y
AccessCount: 0
AccessDate: 00/00/00
AccessTime: 00:00
KerberosVios: 0
InvalidPswdDate: 00/00/00
RecentPswdViolations: 0
PswdChgDateTime: 01/26/05-11:23
PswdViolations: 0
PasswordForExtract: Y
PWP-DATE: 00/00/00
PWP-VIO: 0
TSOPrefix: TEST002
SecurityViolations: 0
LastUpdatedDateTime: 01/26/05-11:40
RuleKeyPrefix: TEST002
HomeDirectory: /u
ShellProgram: /bin/sh
NumericUserID: 110
FullName: ADMIN TEST
UserIdentificationString:: ICAgICAgIFRFU1QwMDI=
15
その他LDAPからのアクセス例
全てのACID/LOGONID参照
 特定の属性を持つACID/LOGONID参照
 セキュリティ・ルール参照
 基本的にACID/LOGONIDの属性は更新も
可能だがセキュリティ・ルールは更新不可

16
CA LDAP Serverが提供する
Windowsツール
JXplorer – Javaで書かれたオープンソース
のLDAPブラウザ
 Command Line Utilities –
ldapsearch,ldapadd,ldapmodify,ldapdelete
など
 SDK(Software Development Kits) –
USS,Windows,Linux,Solaris,HP-UX,AIX向
けのアプリケーション開発用

17
Jxplorerの画面(CA Top Secret)
18
CA LDAP Serverの導入





CA Top Secret/CA ACF2の導入テープに付属の
CD-ROMを使用
Windows上で導入Wizardを使用するので容易
関連ファイルがz/OS(USS)にコピーされる
CA LDAP ServerがUSS環境で稼動できるよう、CA
Top Secret/CA ACF2においてセキュリティ定義が
必要
詳細はGetting startedを参照
19

Download Report