ca ldap server for z/osのご紹介
TRANSCRIPT
CA LDAP Server for z/OSのご紹介
日本 CA株式会社
2
LDAPとは ?
Lightweight Directory Access Protocol ディレクトリ・サービス (ユーザ IDなどの情報を管理するサービス )へアクセスする為のプロトコル
TCP/IPネットワーク上で稼動 一つの LDAPクライアントから LDAPサーバを通じて、複数のプラットフォームにあるディレクトリ・サービスへアクセス可能
3
LDAPのデータモデル
データはエントリ (entry)で表現されるエントリは様々な属性 (attribute)を持つ属性は属性型 (attribute type)及び属性値
(value)から成る – 例:属性型 電話番号、メールアドレス
– 属性値 03-xxxx-xxxx、 [email protected]
4
LDAPのデータモデル
エントリーは DIT (Directory Information tree)で管理される
○○ 株式会社
営業部 技術部 人事部
Aさん Bさん
5
LDAPのデータモデル
データの参照は,エントリに付与されたDN( Distinguished name:識別名)で行う
○○ 株式会社
営業部 技術部 人事部
Aさん Bさん
DN : Bさん、人事部、○○株式会社
6
LDAPのデータモデル
オブジェクトクラスエントリを定義する為に使える属性のセットを定義している
属性 属性
属性 属性
オブジェクトクラス
エントリ
7
CA LDAP Server for z/OSとは CA Top Secretや CA ACF2で管理されているユーザ IDやルールなどの情報を LDAPを通じてアクセス可能にする
CA Top Secret/CA ACF2で管理されるユーザID(ACID,LOGONID)に関する属性を定義するオブジェクトクラスを格納した DITを提供
CA Top Secret/CA ACF2の DBで認識されるフィールド名を分かりやすい名前に変換するUFN (User Friendly Name)を提供
8
DIT - CA Top Secret
9
DIT - CA ACF2
10
UFN – CA Top Secret
11
UFN – CA ACF2
12
CA Top Secretへのアクセス例
特定 ACID(TSTUSR5)の情報を参照 Windows XPより下記コマンドを実施 ldapsearch -D
cn=admuser,host=XE20,o=CAJ,c=jp -w password -x -h hostaddress -p 389 -b tssacid=TSTUSR5,tssadmingrp=acids,host=XE20,o=CAJ,c=jp -s base
次頁に実行結果
13
CA Top Secretへのアクセス例 ldif output version: 2
# # filter: (objectclass=*) # requesting: ALL #
# TSTUSR5, acids, XE20, CAJ, jp dn: tssacid=TSTUSR5,tssadmingrp=acids,host=XE20,o=CAJ,c=jp objectClass: tssacid Name: TEST USER 5 tssacid: TSTUSR5 User-Type: USER AcidRecordSize: 768 Department: SG5DEPT Division: SGDIV Zone: SGZONE Created-Date: 07.07.10 Modified-Date: 07.07.10 Modified-Time: 18:48 groupmemberOf: tssgroup=OMVSGRP,tssadmingrp=groups,host=XE20,o=CAJ,c=jp Console-Auth: Y Bypass-Dsn-Check: Y Last-Used-Date: 07.07.11 Last-Used-Time: 10:29 Last-Accessed-From-CPU: XE20 Last-Used-Facility: BATCH Last-Access-Count: 00011 OMVS-Dflt-Group: OMVSGRP OMVS-Home-Subdir: /u/dca/user02 OMVS-Program: /bin/sh TSO-Logon-Command: pdf TSO-Logon-Proc: PROC394 TSO-Region-Size: 4096 TSO-Options: NOMAIL,NONOTICES,NOOIDCARD TSO-User-Data: 0000 AdminAcid: REPORT
14
CA ACF2へのアクセス例
特定 LOGONID(TEST002)の情報を参照 Windows XPより下記コマンドを実施 ldapsearch -D
cn=admuser,host=XE10,o=CAJ,c=jp -w password -x -h hostaddress -p 389 -b acf2lid=TEST002,acf2admingrp=lids,host=XE10,o=CAJ,c=jp -s base
次頁に実行結果
15
CA ACF2へのアクセス例 ldif output version: 2
# # filter: (objectclass=*) # requesting: ALL #
# TEST002, lids, XE10, CAJ, jp dn: acf2lid=TEST002,acf2admingrp=lids,host=XE10,o=CAJ,c=jp objectClass: acf2lid acf2lid: TEST002 CICSAccess: Y GeneralTSOAccess: Y GeneralVMAccess: Y AccessCount: 0 AccessDate: 00/00/00 AccessTime: 00:00 KerberosVios: 0 InvalidPswdDate: 00/00/00 RecentPswdViolations: 0 PswdChgDateTime: 01/26/05-11:23 PswdViolations: 0 PasswordForExtract: Y PWP-DATE: 00/00/00 PWP-VIO: 0 TSOPrefix: TEST002 SecurityViolations: 0 LastUpdatedDateTime: 01/26/05-11:40 RuleKeyPrefix: TEST002 HomeDirectory: /u ShellProgram: /bin/sh NumericUserID: 110 FullName: ADMIN TEST UserIdentificationString:: ICAgICAgIFRFU1QwMDI=
16
その他 LDAPからのアクセス例
全ての ACID/LOGONID参照特定の属性を持つ ACID/LOGONID参照セキュリティ・ルール参照基本的に ACID/LOGONIDの属性は更新も可能だがセキュリティ・ルールは更新不可
17
CA LDAP Serverが提供するWindowsツール JXplorer – Javaで書かれたオープンソースの LDAPブラウザ
Command Line Utilities – ldapsearch,ldapadd,ldapmodify,ldapdeleteなど
SDK(Software Development Kits) – USS,Windows,Linux,Solaris,HP-UX,AIX向けのアプリケーション開発用
18
Jxplorerの画面 (CA Top Secret)
19
CA LDAP Serverの導入
CA Top Secret/CA ACF2の導入テープに付属のCD-ROMを使用
Windows上で導入Wizardを使用するので容易 関連ファイルが z/OS(USS)にコピーされる CA LDAP Serverが USS環境で稼動できるよう、 CA Top Secret/CA ACF2においてセキュリティ定義が必要
詳細は Getting startedを参照