一般的なパストークン構成

適切なパストークン構成は、インストール済み環境での必要性、そのセキュリティ要件、および管理者の便宜によって異なります。ここでは、一般的なインストール済み環境のためのパストークン構成の例をいくつか示します。

パストークンなし

最も安全性の高いオプションは、パストークン全体の無効化です。これは、ユーザーはセキュリティドメインに入るときに必ず明示的にサインオンする必要があることを意味します。管理者は MFDS と ESMAC に別々にログオンする必要があり、CICS トランザクションルーティングなどの目的のために、ユーザー ID がエンタープライズサーバーリージョン間のシステム間通信 (ISC) リンクを超えて自動的に転送されることはありません。

この構成では、パストークンが誤用される危険性はありません。

MFDS 管理 Web インターフェイスを使用して、MFDS リポジトリ内の各 Security Manager オブジェクトの ESF Manager 構成においてパストークンを無効にします。詳細については、「Passtoken Options for ESF Manager」を参照してください。

MFDS および ESMAC のためのパストークン

MFDS および ESMAC の管理インターフェイスのためにパストークンを有効にすると、特に、それら 2 つの機能に互いへのリンクが用意されて相互間の切り替えが容易になることから、管理者にとっては便利になることがあります。ESMAC はエンタープライズサーバーリージョン内の CAS の一部として実行されますが、MFDS はどのエンタープライズサーバーリージョンからも分離されているため、それらはそのようなリンクにかかわらず異なるセキュリティドメイン内にあります。そのため、パストークンがないと、管理者はそれぞれに別々にログインする必要があります。パストークンがあると、管理者は MFDS または ESMAC に接続してログインした後、アクセスできなくなることや再度ログインする必要なくそれら 2 つの間を移動できます。

MFDS および ESMAC では、必ず正常なパストークンが使用されるため、この機能は、より強力でより危険性の高い代理トークンを有効にすることなく有効にできます。詳細については、「パストークンへのアクセス」を参照してください。

注: Micro Focus では、代理パストークンは使用しないように推奨しています。代理パストークンには、代理パストークンを作成する権限があれば、誰でも代理パストークンによるサインオンを許可された他のユーザーを偽装できてしまうというセキュリティ上のリスクがあります。

MFDS および ESMAC のためのパストークンを有効にするには、パストークンサポートを使用するエンタープライズサーバーリージョンの ESF Manager 構成においてパストークンサポートを無効にしないでください。これは、リージョンの [Security] タブの [Configuration Information] フィールドで設定します。

注: パストークンサポートは、ESF Manager ではデフォルトで有効になっています。

MFDS および ESMAC でパストークンを使用するためには、MFDS および管理している ES リージョンで同じセキュリティ構成を使用する必要があります。たとえば、それら両方を、Default ES Security 構成を使用するように設定できます。

ESM 固有のアクションを実行して、管理ユーザーに正常なパストークンの生成およびサインオンを可能にする必要がある場合があります。MLDAP ESM モジュールで、ESMAC と MFDS とを簡単に切り替えられるようにする各管理ユーザーのために、LDAP リポジトリ内の次の属性を設定します。

microfocus-MFDS-User-CreateToken を "self"
microfocus-MFDS-User-UseToken を "self"

注: システムユーザー (SYSAD など) については、それらのユーザーを管理者 ID として使用する場合を除き、これを実行する必要はありません。管理者が実際に MFDS または ESMAC にサインインする際のユーザーアカウントについてのみ、それを実行する必要があります。

そのデフォルト構成では、MFDS でサインインは求められません。サインインしなかった場合は、ESMAC に切り替えたときにパストークンは生成されません。MFDS と ESMAC の間でパストークンを使用するには、MFDS を、管理サインオンが必要となるように構成してあることを確認してください。

ISC のためのパストークン

2 つのエンタープライズサーバーリージョン間でのトランザクションルーティングや関数シッピングなど、CICS 機能のために MTO システム間通信 (ISC) 機能を使用する顧客は、その目的のためにパストークンを有効にする必要がある場合があります。その場合、その 2 つの CICS リージョンでは、複数のセキュリティドメインにまたがる場合であっても、アプリケーションによって実行されるすべての操作に同じセキュリティコンテキストが適用されます。

パストークンは、MFE またはメインフレーム CICS など、エンタープライズサーバーリージョン以外のリージョンとの ISC 対話のためにはサポートされていないことに注意してください。

ISC パストークンは、必要に応じてシステムによって自動的に生成される代理パストークンです。それらは、必ずリージョンのシステムユーザー (そのリージョンの起動に使用されるユーザーアカウント) によって生成されます。

ISC パストークンを有効にするには、ISC パストークンサポートを使用する MFDS またはエンタープライズサーバーリージョンの ESF Manager 構成においてパストークンサポートを無効にしないでください。これは、リージョンの [Security] タブの [Configuration Information] フィールドで設定します。

注: パストークンサポートは、ESF Manager ではデフォルトで有効になっています。

また、次のことを可能にするために ESM 固有のアクションを実行する必要がある場合があります。

別のエンタープライズサーバーリージョンへの ISC 要求を行うリージョンの起動に使用されたユーザーアカウントによる、代理パストークンの生成。
別のリージョンでトランザクションを開始するなど、ISC 要求を引き起こすトランザクションを実行するユーザーアカウントの代理パストークンによるサインオン。

MLDAP ESM モジュールの場合は、次のことが必要となります。

リージョンの起動に使用されるすべてのユーザーアカウントについて、LDAP ユーザー属性 microfocus-MFDS-User-CreateToken を any に設定します。
ISC 要求を引き起こす可能性がある CICS トランザクションを実行するすべてのユーザーアカウントについて、LDAP ユーザー属性 microfocus-MFDS-User-UseToken を any に設定します。

複数のリージョンで異なる LDAP リポジトリが使用される場合、システムユーザーアカウント (トークンを生成するユーザーアカウント) は要求を開始するリージョンに属し、通常のユーザーアカウント (トークンを使用してサインオンされるユーザーアカウント) は要求を処理するリージョンに属すということに注意してください。

多要素認証のためのパストークン

多要素認証を利用してユーザー名とパスワードを入力せずにメインフレームにログオンする場合は、パストークンを有効にする必要があります。

多要素認証では、ログインに RACF 形式のパストークン (短いパストークン) を使用します。この短いパストークンはデジタル証明書アクセスサーバー (DCAS) で生成されます。このパストークンを使用することで、そのパストークンが生成されたエンタープライズサーバーリージョンで CICS にログオンできます。

パストークンを有効にするには、パストークンサポートを使用するエンタープライズサーバーリージョンの ESF Manager 構成においてパストークンサポートを無効にしないでください。これは、リージョンの [Security] タブの [Configuration Information] フィールドで設定します。

注: パストークンサポートは、ESF Manager ではデフォルトで有効になっています。

ESM 固有の構成を実行して、ユーザーにパストークンの生成およびサインオンを可能にする必要がある場合があります。MLDAP ESM モジュールで、多要素認証の使用を許可する各ユーザーについて、LDAP リポジトリ内の属性を次のように設定します。

microfocus-MFDS-User-CreateToken を "self"
microfocus-MFDS-User-UseToken を "self"