CA LDAP Server for z/OS のご紹介

1. CA LDAP Server for z/OSのご紹介 日本CA株式会社

2. LDAPとは? • Lightweight Directory Access Protocol • ディレクトリ・サービス(ユーザIDなどの情報を管理するサービス)へアクセスする為のプロトコル • TCP/IPネットワーク上で稼動 • 一つのLDAPクライアントからLDAPサーバを通じて、複数のプラットフォームにあるディレクトリ・サービスへアクセス可能

3. LDAPのデータモデル • データはエントリ(entry)で表現される • エントリは様々な属性(attribute)を持つ • 属性は属性型(attribute type)及び属性値(value)から成る • 例：属性型 – 電話番号、メールアドレス 　　 属性値 – 03-xxxx-xxxx、example@ca.com

4. エントリーはDIT (Directory Information tree)で管理される LDAPのデータモデル

5. データの参照は，エントリに付与されたDN（Distinguished name：識別名）で行う LDAPのデータモデル DN : Bさん、人事部、○○株式会社

6. LDAPのデータモデル • オブジェクトクラス • エントリを定義する為に使える属性のセットを定義している エントリ オブジェクト クラス 属性 属性 属性 属性

7. CA LDAP Server for z/OSとは • CA Top SecretやCA ACF2で管理されているユーザIDやルールなどの情報をLDAPを通じてアクセス可能にする • CA Top Secret/CA ACF2で管理されるユーザID(ACID,LOGONID)に関する属性を定義するオブジェクトクラスを格納したDITを提供 • CA Top Secret/CA ACF2のDBで認識されるフィールド名を分かりやすい名前に変換するUFN (User Friendly Name)を提供

8. DIT - CA Top Secret

9. DIT - CA ACF2

10. UFN – CA Top Secret

11. UFN – CA ACF2

12. CA Top Secretへのアクセス例 • 特定ACID(TSTUSR5)の情報を参照 • Windows XPより下記コマンドを実施 • ldapsearch -D cn=admuser,host=XE20,o=CAJ,c=jp -w password -x -h hostaddress -p 389 -b tssacid=TSTUSR5,tssadmingrp=acids,host=XE20,o=CAJ,c=jp -s base • 次頁に実行結果

13. CA Top Secretへのアクセス例 • ldif output version: 2 • # • # filter: (objectclass=*) • # requesting: ALL • # • # TSTUSR5, acids, XE20, CAJ, jp • dn: tssacid=TSTUSR5,tssadmingrp=acids,host=XE20,o=CAJ,c=jp • objectClass: tssacid • Name: TEST USER 5 • tssacid: TSTUSR5 • User-Type: USER • AcidRecordSize: 768 • Department: SG5DEPT • Division: SGDIV • Zone: SGZONE • Created-Date: 07.07.10 • Modified-Date: 07.07.10 • Modified-Time: 18:48 • groupmemberOf: tssgroup=OMVSGRP,tssadmingrp=groups,host=XE20,o=CAJ,c=jp • Console-Auth: Y • Bypass-Dsn-Check: Y • Last-Used-Date: 07.07.11 • Last-Used-Time: 10:29 • Last-Accessed-From-CPU: XE20 • Last-Used-Facility: BATCH • Last-Access-Count: 00011 • OMVS-Dflt-Group: OMVSGRP • OMVS-Home-Subdir: /u/dca/user02 • OMVS-Program: /bin/sh • TSO-Logon-Command: pdf • TSO-Logon-Proc: PROC394 • TSO-Region-Size: 4096 • TSO-Options: NOMAIL,NONOTICES,NOOIDCARD • TSO-User-Data: 0000 • AdminAcid: REPORT

14. CA ACF2へのアクセス例 • 特定LOGONID(TEST002)の情報を参照 • Windows XPより下記コマンドを実施 • ldapsearch -D cn=admuser,host=XE10,o=CAJ,c=jp -w password -x -h hostaddress -p 389 -b acf2lid=TEST002,acf2admingrp=lids,host=XE10,o=CAJ,c=jp -s base • 次頁に実行結果

15. CA ACF2へのアクセス例 • ldif output version: 2 • # • # filter: (objectclass=*) • # requesting: ALL • # • # TEST002, lids, XE10, CAJ, jp • dn: acf2lid=TEST002,acf2admingrp=lids,host=XE10,o=CAJ,c=jp • objectClass: acf2lid • acf2lid: TEST002 • CICSAccess: Y • GeneralTSOAccess: Y • GeneralVMAccess: Y • AccessCount: 0 • AccessDate: 00/00/00 • AccessTime: 00:00 • KerberosVios: 0 • InvalidPswdDate: 00/00/00 • RecentPswdViolations: 0 • PswdChgDateTime: 01/26/05-11:23 • PswdViolations: 0 • PasswordForExtract: Y • PWP-DATE: 00/00/00 • PWP-VIO: 0 • TSOPrefix: TEST002 • SecurityViolations: 0 • LastUpdatedDateTime: 01/26/05-11:40 • RuleKeyPrefix: TEST002 • HomeDirectory: /u • ShellProgram: /bin/sh • NumericUserID: 110 • FullName: ADMIN TEST • UserIdentificationString:: ICAgICAgIFRFU1QwMDI=

16. その他LDAPからのアクセス例 • 全てのACID/LOGONID参照 • 特定の属性を持つACID/LOGONID参照 • セキュリティ・ルール参照 • 基本的にACID/LOGONIDの属性は更新も可能だがセキュリティ・ルールは更新不可

17. CA LDAP Serverが提供するWindowsツール • JXplorer – Javaで書かれたオープンソースのLDAPブラウザ • Command Line Utilities – ldapsearch,ldapadd,ldapmodify,ldapdeleteなど • SDK(Software Development Kits) – USS,Windows,Linux,Solaris,HP-UX,AIX向けのアプリケーション開発用

18. Jxplorerの画面(CA Top Secret)

19. CA LDAP Serverの導入 • CA Top Secret/CA ACF2の導入テープに付属のCD-ROMを使用 • Windows上で導入Wizardを使用するので容易 • 関連ファイルがz/OS(USS)にコピーされる • CA LDAP ServerがUSS環境で稼動できるよう、CA Top Secret/CA ACF2においてセキュリティ定義が必要 • 詳細はGetting startedを参照