一般的なパストークン構成

適切なパストークン構成は、インストール済み環境での必要性、そのセキュリティ要件、および管理者の便宜によって異なります。ここでは、一般的なインストール済み環境のためのパストークン構成の例をいくつか示します。

パストークンなし

最も安全性の高いオプションは、パストークン全体の無効化です。これは、ユーザーはセキュリティドメインに入るときに必ず明示的にサインオンする必要があることを意味します。管理者は MFDS と ESMAC に別々にログオンする必要があり、CICS トランザクションルーティングなどの目的のために、ユーザー ID が ES リージョン間のシステム間通信 (ISC) リンクを超えて自動的に転送されることはありません。

しかしながら、この構成では、パストークンが誤用される危険性はありません。

MFDS 管理 GUI を使用して、MFDS リポジトリ内の各 “Security Manager” オブジェクトの ESF Manager 構成においてパストークンを無効にします。「ESF Manager のパストークンオプション)」を参照してください。

MFDS および ESMAC のためのパストークン

MFDS および ESMAC の管理インターフェイスのためにパストークンを有効にすると、特に、それら 2 つの機能に互いへのリンクが用意されて相互間の切り替えが容易になることから、多くの管理者にとっては便利になります。ESMAC は Enterprise Server リージョン内の CAS の一部として実行されますが、MFDS はどの Enterprise Server リージョンからも分離されているため、それらはそのようなリンクにかかわらず異なるセキュリティドメイン内にあります。そのため、パストークンがないと、管理者はそれぞれに別々にログインする必要があります。パストークンがあると、管理者は MFDS または ESMAC に接続してログインした後、アクセスできなくなることや再度ログインする必要なくそれら 2 つの間を移動できます。

MFDS および ESMAC では、必ず正常なパストークンが使用されるため、この機能は、より強力な (より危険性の高い) 代理トークンを有効にすることなく有効にできます。

MFDS および ESMAC のためのパストークンを有効にするには、MFDS、またはこの機能が必要な ES リージョンのための ESF Manager 構成 (「セキュリティマネージャー」の「カスタム構成」の項) においてパストークンサポートを無効にしないでください。パストークンサポートは、ESF Manager ではデフォルトで有効になっています。

MFDS および ESMAC でパストークンを使用するためには、MFDS および管理している ES リージョンで同じセキュリティ構成を使用する必要があります。たとえば、それら両方を、Default ES Security 構成を使用するように設定できます。

ESM 固有のアクションを実行して、管理ユーザーに正常なパストークンの生成およびサインオンを可能にする必要がある場合があります。MLDAP ESM Module で、ESMAC と MFDS とを簡単に切り替えられるようにする各管理ユーザーのために、LDAP リポジトリ内の次の属性を設定します。

microfocus-MFDS-User-CreateToken >self
microfocus-MFDS-User-UseToken >self

注: システムユーザー (SYSAD など) については、それらのユーザーを管理者 ID として使用する場合を除き、これを実行する必要はありません。管理者が実際に MFDS または ESMAC にサインインする際のユーザーアカウントについてのみ、それを実行する必要があります。

そのデフォルト構成では、MFDS でサインインは求められません。サインインしなかった場合は、 ESMAC に切り替えたときにパストークンは生成されません。MFDS と ESMAC の間でパストークンを使用するには、MFDS を、管理サインオンが必要となるように構成してあることを確認してください。

ISC のためのパストークン

2 つの Enterprise Server リージョン間でのトランザクションルーティングや関数シッピングなど、CICS 機能のために MTO システム間通信 (ISC) 機能を使用する顧客は、その目的のためにパストークンを有効にする必要がある場合があります。その場合、その 2 つの CICS リージョンでは、複数のセキュリティドメインにまたがる場合であっても、アプリケーションによって実行されるすべての操作に同じセキュリティコンテキストが適用されます。

パストークンは、MFE またはメインフレーム CICS など、Enterprise Server 以外のリージョンとの ISC 対話のためにはサポートされていないことに注意してください。

ISC パストークンは、必要に応じてシステムによって自動的に生成される代理パストークンです。それらは、必ずリージョンのシステムユーザー (そのリージョンの起動に使用されるユーザーアカウント) によって生成されます。

ISC パストークンを有効にするためには、MFDS、またはこの機能が必要な Enterprise Server リージョンのための ESF Manager 構成 (「セキュリティマネージャー」の「カスタム構成」の項) においてパストークンサポートを無効にしないでください。パストークンサポートは、ESF Manager ではデフォルトで有効になっています。

また、次のことを可能にするために ESM 固有のアクションを実行する必要がある場合があります。

別の Enterprise Server リージョンへの ISC 要求を行っているリージョンの起動に使用されたユーザーアカウントによる、代理パストークンの生成
ISC 要求を引き起こすトランザクション (たとえば、別のリージョンでトランザクションを開始することによって起こる) を実行するユーザーアカウントのための、代理パストークンによるサインオン

MLDAP ESM Module の場合は、次のことが必要となります。

リージョンの起動に使用されるすべてのユーザーアカウントについて、LDAP ユーザー属性 microfocus-MFDS-User-CreateToken を any に設定します。
ISC 要求を引き起こす可能性がある CICS トランザクションを実行するすべてのユーザーアカウントについて、LDAP ユーザー属性 microfocus-MFDS-User-UseToken を any に設定します。

複数のリージョンで異なる LDAP リポジトリが使用される場合、システムユーザーアカウント (トークンを生成するユーザーアカウント) は要求を開始するリージョンに属し、通常のユーザーアカウント (トークンを使用してサインオンされるユーザーアカウント) は要求を処理するリージョンに属すということに注意してください。