DCAS/RACF/JDBC Credential Mapper プラグインの DCAS パラメーター
必須の DCAS パラメーター: Credential Mapper プラグインで DCAS サーバーに安全に接続するには、以下のパラメーターをいくつか組み合わせることが必要です。
- CMPI_DCAS_TRUSTSTORE
- このパラメーターには、ZIETrans DCAS クライアント証明書と DCAS サーバー証明書をルックアップするために使用する鍵ストア・ファイルの名前が記述されています。CMPI_DCAS_USE_DEFAULT_TRUSTSTORE が true に設定されている場合は、このパラメーターによって指定される鍵ストア・ファイルの代わりに、JSSE のデフォルトの鍵ストア・ファイルが使用されます。
- CMPI_DCAS_TRUSTSTORE_PASSWORD
- このパラメーターには、CMPI_DCAS_TRUSTSTORE で指定されている鍵ストア・ファイルのパスワードが記述されています。
- CMPI_DCAS_TRUSTSTORE_TYPE
- このパラメーターには、CMPI_DCAS_TRUSTSTORE で指定されている鍵ストア・ファイルのタイプが記述されています。有効値は pkcs12、jceks、および jks です。
- CMPI_DCAS_USE_DEFAULT_TRUSTSTORE
- このパラメーターは、ZIETrans DCAS クライアント証明書と DCAS サーバー証明書をルックアップするために JSSE のデフォルトの鍵ストア・ファイルを使用するかどうかを示します。デフォルトは false です。true に指定すると、CMPI_DCAS_TRUSTSTORE パラメーターによって指定される鍵ストア・ファイルの代わりにこの鍵ストア・ファイルが使用されます。 注: JSSE デフォルトの鍵ストア・ファイルの検索順序は、以下のとおりです。
- javax.net.ssl.trustStore システム・プロパティーで指定した場所
- <java-home>/lib/security/jssecacerts,
- <java-home>/lib/security/cacerts
以下のパラメーターは、JDBC データベース Credential Mapper とともに機能するように 設計されています。このタイプのネットワーク・アクセス可能なデータベースを使用すると、ユーザーのネットワーク ID をホスト ID に柔軟かつ安全に 関連付けることができます。関連したアクセス情報をすべて格納することによって、既存のデータベースへのアクセスを構成することも、新規作成されたデータベースを指すこともできます。データベースのセキュリティーのレベルは、データベース・ベンダーによって異なります。
- CMPI_DCAS_DB_ADDRESS
- これは、データベースのアドレスを表す URL ストリングです。
- CMPI_DCAS_DB_NET_DRIVER
- このストリングは、ネットワーク・データベース・ドライバーとして機能する クラスの名前を含みます。例えば、このストリングは COM.ibm.db2.jdbc.net.DB2Driver となります。このクラスの場所は既存のクラス・パスにあると想定されます。
- CMPI_DCAS_DB_USERID
- これは、データベースにアクセスするときに使用するユーザー・アカウントの ID です。
- CMPI_DCAS_DB_CASE_SENSITIVE
- このパラメーターでは、DCAS プラグインでユーザーのアプリケーション ID とネットワーク ID を小文字に変換し、lcase() メソッドを使用して HCM データベースに SQL 照会を行うかどうかを指定します。lcase() メソッドをサポートしない SQL アプリケーションを使用する場合、このパラメーターを true に設定する必要があります。
- CMPI_DCAS_DB_PASSWORD
- これは、データベースにアクセスするときに使用するユーザー・アカウントのパスワードです。
- CMPI_DCAS_DB_TABLE
- このエントリーは、必要な照会に使用されるテーブルを識別します。
以下の 4 つのパラメーター値は、Credential Mapper データベースの列名に一致し、列の内容を明確に示さなければなりません。IBM® DB2® などの一部のデータベースでは、データベースの 4 つの列見出しはすべて大文字にする必要があります (例: NETWORKID、HOSTADDRESS、APPLICATIONID、HOSTID)。
- CMPI_DCAS_DB_NETID_COL_NAME
- このエントリーは、ネットワーク ID 値 (NETWORKID) を含む列の名前を識別します。
- CMPI_DCAS_DB_HOSTADDR_COL_NAME
- このエントリーは、ホスト・アドレス値 (HOSTADDRESS) を含む列の名前を 識別します。
- CMPI_DCAS_DB_HOSTAPP_COL_NAME
- このエントリーは、ホスト・アプリケーション値 (APPLICATIONID) を含む列の名前を 識別します。 注: アプリケーション ID は 3270 ホスト・タイプの場合にのみ 使用されます。
- CMPI_DCAS_DB_HOSTID_COL_NAME
- このエントリーは、ユーザーのホスト識別値 (HOSTID) を含む列の名前を 識別します。
上記のパラメーターによって指定された情報に基づいて、データベースの SQL 照会を作成して ホスト ID を取得できます。この照会は、ネットワーク ID、ホスト・アドレス、およびホスト・アプリケーションを照会のキーとして使用します。結果は ホスト識別の列で示されます。照会が正常に終了すると、DCAS サーバーの呼び出しが実行され、パスチケットが要求されます。
オプションの DCAS パラメーター: 以下の DCAS パラメーターはオプションです。
- CMPI_DCAS_DB_PRESERVE_WHITESPACE
- このパラメーターは、信任状要求パラメーターから空白文字を除去するかどうかを示します。true の場合は、空白文字を除去しません。デフォルトは false です。
- CMPI_DCAS_HOST_ADDRESS
- デフォルト DCAS ホスト・アドレスは、ZIETrans 接続に指定された宛先ホストに基づいて判別されます。
- CMPI_DCAS_HOST_PORT
- DCAS ホスト・アドレスは、要求で指定された宛先ホストに基づいて 判別されます。デフォルトのポート・アドレスとしては 8990 が使用されますが、このパラメーターを使用してオーバーライドできます。
- CMPI_DCAS_NO_FIPS
- このパラメーターを true に設定すると、FIPS セキュリティー・プロバイダーを使用しないことが指定されます。代わりに、デフォルトのセキュリティー・プロバイダーが使用されます。デフォルトは false です。
- CMPI_DCAS_REQUEST_TIMEOUT
- このパラメーターは、パスチケット要求タイムアウトを ms (ミリ秒) 単位で 指定します。これは、マクロ・タイムアウト値よりも小さくしてください。デフォルトは、50000 です。
- CMPI_DCAS_TRACE_LEVEL
- このパラメーターは、DCAS プラグインのトレース・レベルを指定します。トレース・メッセージは ZIETrans トレース・ファイルに記録されます。トレース・レベル値には、以下の設定があります。
- 0 = なし: トレースなしこれはデフォルトです。
- 1 = 最小: API、パラメーター、戻り値、およびエラーをトレースします。
- 2 = 通常: 最小のトレースに加え、内部 API、パラメーター、および通知メッセージもトレースします。
- 3 = 最大: Normal に加え Java™ 例外をトレースします。
- CMPI_DCAS_USE_NETID_AS_HOSTID
- true に設定すると、ホスト ID を対象とするデータベース検索はスキップされます。このパラメーターは、ネットワーク ID が RACF® ID である場合にも使用します。デフォルトは false です。
- CMPI_DCAS_VERIFY_SERVER_NAME
- このパラメーターは、証明書の検証に加えて証明書のサーバー・ホスト名も検査する必要があるかどうかを示します。デフォルトは false です。