前のトピック: サンプル: CA Top Secret を使用して CA Chorus for DB2 Database Management PassTicket を設定次のトピック: CA Chorus for DB2 Database Management 用の RRSAF 許可

セキュリティ要件についてPassTicket の構成サンプル: RACF を使用して CA Chorus for DB2 Database Management PassTicket を設定

サンプル: RACF を使用して CA Chorus for DB2 Database Management PassTicket を設定

IBM RACF を使用して、CA Chorus サーバおよびリモート システムに対して PassTicket を設定できます。 CA Chorus サーバおよびリモート システムについては、「PassTicket の設定」で説明しています。

注: これらの例はガイドラインとして提供されます。 PassTicket 設定に精通しているセキュリティ管理者のみが、このプロセスを実行するようにしてください。 これらのコマンドの使用に関する詳細については、IBM RACF の製品マニュアルを参照してください。

注: Passticket 設定を開始する前に、PassTicket リソース IRRPTAUTH に対して PTKTDATA クラスおよび所有権が定義されていないことを確認します。 それらが定義されている場合は、以下の手順 1 および手順 2 をスキップします。

例: IBM RACF を使用して CA Chorus サーバ システム用の PassTicket を設定

以下の手順に従います。

  1. 以下のコマンドを入力して、DB2TOOLS アプリケーションを定義します。 
    RDEFINE APPL DB2TOOLS UACC(NONE)
SETROPTS CLASSACT(APPL)

    注: 汎用ユーザ ID を実装する場合は、以下の追加のコマンドを指定します。

    SETROPTS GENERIC(PTKTDATA)
  2. 現在 PassTicket クラスがアクティブでない場合はアクティブにします。 
    SETROPTS CLASSACT(PTKTDATA) RACLIST(PTKTDATA)
  3. アプリケーション用のプロファイルを定義し、セッション キーを指定します。 
    RDEFINE PTKTDATA DB2TOOLS SSIGNON(KEYMASKED(FEDCBA9876543210)) APPLDATA('NO REPLAY PROTECTION')
RDEFINE PTKTDATA CHORWEBS SSIGNON(KEYMASKED(0123456789ABCDEF)) APPLDATA('NO REPLAY PROTECTION')
    DB2TOOLS および CHORWEBS

    PassTickets の検証に対して使用されるアプリケーション ID を定義します。 DB2TOOLS および CHORWEBS はデフォルト アプリケーション ID です。

    • DB2TOOLS は、CA Chorus UI および Quick Links モジュールから CA Database Management Solutions for DB2 for z/OS への CA Chorus for DB2 Database Management ユーザ アクセスを認証します。
    • CHORWEBS は、CA Chorus Investigator で Object Migrator 機能(マイグレート)への CA Chorus for DB2 Database Management ユーザ アクセスを認証します。 このアプリケーション ID およびセッション キーは、CA Chorus プラットフォーム PassTicket 設定の一環としてすでに定義されている場合があります。

      重要: KEYMASKED は 16 進数字を使用して暗号化キーを定義します(8 バイトまたは 64 バイトのキーを作成します)。 この値は例として使用されています。 サイト固有のキー値を使用してください。 キーはそれぞれ、すべてのシステムの設定で同じである必要があります。

    プロファイルとセッション キーが定義されます。

  4. CA Database Management Solutions for DB2 for z/OS へのアクセスを許可されている各ユーザに対して、プロファイルを定義して DB2TOOLS PassTicket セッション キー値へのアクセスを許可します。 
    RDEFINE PTKTDATA IRRPTAUTH.DB2TOOLS.* UACC(NONE)
PERMIT IRRPTAUTH.DB2TOOLS.* ID(stc-userid) CLASS(PTKTDATA) ACCESS(UPDATE)
    stc-userid

    your_chorus_hlq.CETJJCL の ETJI095x で作成された、スターティッド タスク ユーザ ID を指定します。 この ID は、任意のユーザのための PassTicket を生成できる必要があります。 デフォルト: CHORADM. このユーザは、CHORWEBS PassTicket へのアクセスを必要とします。

    この操作の代わりに、CA Chorus for DB2 Database Management 機能用のグループを作成できます。 以下に例を示します。

    ADDGROUP ETJDB2GR
CONNECT CHORUSR1 GROUP(ETJDB2GR)
CONNECT CHORUSR2 GROUP(ETJDB2GR)
...
CONNECT CHORUSRN GROUP(ETJDB2GR)

RDEFINE PTKTDATA IRRPTAUTH.DB2TOOLS.ETJDB2GR OWNER(stc-userid) UACC(NONE)
PERMIT IRRPTAUTH.DB2TOOLS.ETJDB2GR ID(stc-user) AC(UPDATE) CLASS(PTKTDATA)

    この例では、ETJDB2GR で CA Chorus for DB2 Database Management ユーザ用のグループを定義し、CHORUSRx でグループに特定のユーザを定義し、RDEFINE コマンドでグループ メンバに対して PassTicket 生成を有効にするためのリソースを定義し、PERMIT コマンドでグループ メンバに対して JBoss サーバ ユーザの DB2TOOLS への PassTicket の生成を有効にします。

  5. CA Database Management Solutions for DB2 for z/OS へのアクセスを許可されている各 CA Chorus for DB2 Database Management ユーザに対して、DB2TOOLS アプリケーションへのアクセスを許可します。 
    PERMIT DB2TOOLS CLASS(APPL) ID(stc-userid) ACCESS(READ)
PERMIT DB2TOOLS CLASS(APPL) ID(useridn)
    useridn

    アクセスをリクエストしているユーザのユーザ ID を指定します。

  6. CHORWEBS アプリケーションを定義します。 
    RDEFINE APPL CHORWEBS UACC(READ)
SETROPTS CLASSACT(APPL)

    注: この手順は CA Chorus インストールでの PassTicket 設定中にすでに実行されている場合があります。

  7. CA Chorus for DB2 Database Management の Object Migrator 機能へのアクセスを許可されている各ユーザに対し、プロファイルを定義し、CHORWEBS PassTicket セッション キー値へのアクセスを許可します。 
    RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.* UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.* CLASS(PTKTDATA) ID(stc-userid) ACCESS(UPDATE)
    stc-userid

    「CA Chorus ユーザ ID の作成」で作成したスターティッド タスク ユーザ ID を参照します。 このユーザ ID は、任意のユーザに対して PassTicket の生成が可能である必要があります。

    注: この手順は CA Chorus インストールでの PassTicket 設定中にすでに実行されている場合があります。

  8. Object Migrator スターティッド タスク ID に対して CHORWEBS PassTicket セッション キー値へのアクセスを許可します。 
    PERMIT IRRPTAUTH.CHORWEBS.* CLASS(PTKTDATA) ID(ofa-stc-userid) ACCESS(UPDATE)
    ofa-stc-userid

    Object Migrator 機能に使用される Object Framework Services エージェント(OFA)スターティッド タスク(デフォルトでは OFAPROC)に関連付けられているユーザ ID を指定します。 このスターティッド タスクは、「CA Database Management Solutions for DB2 for z/OS Implementation Guide」で説明されているような OFS エージェント(OFA)の設定中に作成されます。 インストール後に CA Chorus for DB2 Database Management に追加の設定を行う必要があります。 この設定は「CA Chorus Manual Configuration Guide」で説明されています。

  9. Object Migrator 機能へのアクセスを許可されている各ユーザに対して、プロファイルを定義し、CHORWEBS PassTicket セッション キー値へのアクセスを許可します。 
    RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.useridn UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.useridn CLASS(PTKTDATA) ID(useridn) ACCESS(UPDATE)
  10. CHORWEBS アプリケーションへのアクセスを許可します。 
    PERMIT CHORWEBS CLASS(APPL) ID(stc-userid) ACCESS(READ)
PERMIT CHORWEBS CLASS(APPL) ID(useridn)

    注: この手順は CA Chorus インストールでの PassTicket 設定中にすでに実行されている場合があります。

  11. 以下のコマンドで APPL クラスと PTKTDATA クラスをリフレッシュします。 
    SETROPTS RACLIST(APPL) REFRESH
SETROPTS RACLIST(PTKTDATA) REFRESH

例: IBM RACF を使用して CA Chorus リモート システム用の PassTicket を設定

以下の手順に従います。

  1. 以下のコマンドを入力して、DB2TOOLS アプリケーションを定義します。 
    RDEFINE APPL DB2TOOLS UACC(NONE)
SETROPTS CLASSACT(APPL)
  2. 以下のコマンドを入力して PassTicket クラスをアクティブ化します。 
    SETROPTS CLASSACT(PTKTDATA) RACLIST(PTKTDATA)
  3. 以下のコマンドを入力して、アプリケーション用のプロファイルを定義し、セッション キーを指定します。 
    RDEFINE PTKTDATA DB2TOOLS SSIGNON(KEYMASKED(FEDCBA9876543210)) APPLDATA('NO REPLAY PROTECTION')
RDEFINE PTKTDATA CHORWEBS SSIGNON(KEYMASKED(0123456789ABCDEF)) APPLDATA('NO REPLAY PROTEcTION')

    セッション キーが定義されます。

  4. CA Database Management Solutions for DB2 for z/OS へのアクセスを許可されている各ユーザに対し、DB2TOOLS アプリケーションへのアクセスを許可します。 
    PERMIT DB2TOOLS CLASS(APPL) ID(stc-userid) ACCESS(READ)
PERMIT DB2TOOLS CLASS(APPL) ID(userid1)
PERMIT DB2TOOLS CLASS(APPL) ID(userid2)
 ...
PERMIT DB2TOOLS CLASS(APPL) ID(useridn)
  5. Object Migrator スターティッド タスク用の CHORWEBS PassTicket セッション キー値へのアクセスを許可します。 
    RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.* UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.* CLASS(PTKTDATA) ID(ofa-stc-userid) ACCESS(UPDATE)
  6. Object Migrator 機能へのアクセスを許可されている各 CA Chorus for DB2 Database Management ユーザに対して、CHORWEBS PassTicket セッション キー値へのアクセスを許可します。 
    RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.userid UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.userid CLASS(PTKTDATA) ID(userid) ACCESS(UPDATE)
  7. APPL クラスと PTKTDATA クラスをリフレッシュします。 
    SETROPTS RACLIST(APPL) REFRESH
SETROPTS RACLIST(PTKTDATA) REFRESH