Konfigurationseinstellungen oder Umgebungsvariablen
Der Adapter umfasst verschiedene Umgebungsvariablen. Diese Variablen und die zugehörigen Beschreibungen und Werte, sofern vorhanden, finden Sie in der Tabelle.
| Umgebungsvariable | Beschreibung | Standardwert | Erforderlich |
|---|---|---|---|
| _CEE_RUNOPTS | Language Environment-Laufzeitoptionen | Wie im Installationsscript definiert | Ja |
| _CEE_DMPTARG | Language Environment-Speicherauszugsadressen | /tmp | Ja |
| LIBPATH | Gibt die Position der DLL-Bibliothek (DLL - Dynamic Link Library) und der Dateien vom Typ .so an. |
KEINE | Ja |
| PDU_ENTRY_LIMIT | Gibt die maximale Anzahl von Accounts an, die im Hauptspeicher geführt werden. | 2000. Der Bereich liegt zwischen 50 und 3000. | Nein |
| PROTOCOL_DIR | Gibt die vollständig qualifizierte Position des Verzeichnisses an, in dem sich die Dateien vom Typ .so und .dll befinden. | LIBPATH | Nein |
| REGISTRY | Gibt die Position einer bestimmten Registry-Datei an. Der Registry-Pfad ist der vollständig qualifizierte Pfad zur Registry-Datei sowie deren eigentlicher Dateiname. Der Registry-Name setzt sich aus dem Namen des Adapters in Großbuchstaben gefolgt von dem an den Namen angehängten Dateierweiterungssuffix |
Aktuelles Arbeitsverzeichnis | |
ISIM_ADAPTER_CIPHER_LIST |
Definiert die zulässigen Verschlüsselungslisten. Eine Verschlüsselungsliste besteht aus mindestens einer Verschlüsselungszeichenfolge. Mehrere Zeichenfolgen werden durch Doppelpunkte getrennt. | HOCH | Ja |
Der Adapter besitzt mehrere Registry-Einstellungen. In der entsprechenden Tabelle sind diese Registry-Optionen mit Beschreibungen und den zugehörigen Werten (falls vorhanden) aufgeführt.
| Optionsattribut | Standardwert | Gültiger Wert | Funktion und Bedeutung | Erforderlich |
|---|---|---|---|---|
| DATADI | adapter_readwrite_home/data | adapter_readwrite_home/data | Gibt das Ausgangsverzeichnis des USS-Adapters mit Lese-/Schreibberechtigung an. Dieser Parameter muss das Ausgangsverzeichnis mit Lese-/Schreibberechtigung so angeben, wie es für 'USS Adapter read/write home' bei der Installation in der Anzeige der Parameter für die Plattenposition festgelegt wurde. Diese Position ist das Verzeichnis, in dem die Dateien registry.dat und UDF.dat gespeichert sind. | Ja |
| DEBUG | TRUE | TRUE oder FALSE | Wenn auf "TRUE" gesetzt, werden Warnmeldungen an den IBM® Security Identity Manager -Server für die Attribute zurückgesendet, für die die Anfrage zum Hinzufügen, Löschen oder Ändern erfolgreich mit dem Rückgabecode 0 ausgeführt wurde, aber Informationsmeldungen werden von RACF® zurückgesendet. Dies ist die Standardeinstellung. Wenn auf FALSE gesetzt, werden Warnmeldungen für die Attribute, für die die Anfrage zum Hinzufügen, Löschen oder Ändern erfolgreich mit dem Rückgabecode 0 ausgeführt wurde, NICHT an den IBM Security Identity Manager -Server zurückgesendet, aber Informationsmeldungen werden von RACF zurückgesendet. Diese Einstellung muss auf FALSCH gesetzt werden, wenn Sie zSecure Command Verifier im Debug-Modus verwenden. Sie kann sinnvoll sein, wenn Ihnen bereits bekannt ist, dass ein Konfigurationsproblem vorliegt, Sie aber darauf warten, dass das Problem behoben wird. Dies ist zum Beispiel der Fall, wenn Sie IKJ566441-Nachrichten empfangen und darauf warten, dass das TSO-Segment zum ISIAGNT-Account hinzugefügt wird. Dabei ist es immer noch möglich, Accounts zu verwalten; Datenabgleiche können hingegen nicht mehr durchgeführt werden. |
Ja. |
| DSJOB | 'hlq'.CNTL | Alle Datensätze, auf die die RACF-ID des Adapters Zugriff hat und optional die RACF-ID SURROGAT, in der die RECJOB-JCL gespeichert ist | Gibt den Datensatz an, in dem sich RECOJOB befindet. | Ja |
| ISIMEXIT | 'hlq'.EXEC | Alle Datensätze, auf die die RACF-ID des Adapters Zugriff hat und optional die RACF-ID SURROGAT, in der die REXX-Scripts ISIMEXIT/ISIMEXEC gespeichert sind | Der Adapter verwendet diesen Wert, um die REXX-Scripts ISIMEXIT/ISIMEXEC zu initialisieren. | Ja |
| LABELATTR | Nicht zutreffend | Sie
können jedes Attribut angeben, das einen Zeichenfolgewert enthält. Zum Beispiel |
Der Wert des in diesem Feld angegebenen Attributs wird in den Wert des Attributs
erracacclabel kopiert. Sie
können jedes Attribut angeben, das einen Zeichenfolgewert enthält.Zum Beispiel |
Nein |
| OPMODE | FULL | FULL READ-ONLY READ-ONLY-PWD |
Der Wert, der in diesem Feld angegeben wird, bestimmt die
Operationen, die der Adapter unterstützt. Gültige Optionen:
|
Nein |
| PASSEXPIRE | TRUE | TRUE, FALSE oder TRUEADD | Dieses Attribut gibt die Standardaktion an, die der Adapter ausführen soll, wenn er eine Änderungsanforderung für ein Kennwort bzw. eine Kennphrase erhält. Der Wert TRUE gibt an, dass Kennwörter und Kennphrasen als abgelaufen festgelegt werden müssen. Der Wert FALSE gibt an, dass Kennwörter und Kennphrasen als nicht abgelaufen festgelegt werden müssen. Wenn der Wert TRUEADD festgelegt wird, wird ein Kennwort oder eine Kennphrase für einen neuen Benutzer auf EXPIRED gesetzt. Ein Kennwort oder eine Kennphrase wird für ein vorhandenes Benutzerasset als nicht abgelaufen festgelegt. In jedem dieser Fälle ist bei Zugriff auf das Profil der Klasse FACILITY die Berechtigung vom Typ READ (Lesen) oder UPDATE (Aktualisieren) erforderlich. Hinweis: Bei Übergabe des RACF®-Attributs 'erRacuNoexpire' mit den Werten TRUE oder FALSE an den Adapter wird diese Adapteroption (PASSEXPIRE) ignoriert. Es wird die Einstellung des Attributs 'erRacuNoexpire' verwendet. | Nein |
| RACFRC | 60 | Eine beliebige Ganzzahl mit dem Mindestwert 3 | Die Zeitdauer in Sekunden, die der Adapter auf die Beendigung der Verarbeitung des RECOJOB-Jobs wartet. | Ja |
| RECOSAVE | 'hlq'.SAVE | Alle Datensätze, auf die die RACF-ID des Adapters Zugriff hat, und optional die RACF-ID SURROGAT | Gibt den Datensatz an, in dem RECOJOB die temporären Ergebnisse des Datenabgleichs speichert. Der Adapter greift auf diese Datensätze zu, sobald der Status von RECOJOB die Verarbeitungsbeendigung angibt. Die Ergebnisse werden erfasst und weiterverarbeitet. | Ja |
| SCOPING | Ohne | TRUE oder FALSE | Für 'Scoping' wird automatisch der Wert TRUE festgelegt, wenn der Dateiname für den VSAM-Datensatz, der zum Ausführen von bereichsorientierten Datenabgleichen erforderlich ist, während der Installation konfiguriert wird. Siehe "Versöhnungsprozessor" in der Übersicht. | Nein |
| SHORTCONNECT | FALSE | TRUE oder FALSE | Dieses Attribut wird standardmäßig nicht bereitgestellt. Sie können es über das Adapterkonfigurationstool als nicht verschlüsselte Registry-Einstellung
hinzufügen. Wenn SHORTCONNECT auf TRUE festgelegt wird, enthalten die CONNECT-Einträge nicht LOGON COUNT, CREATION DATE und LASTLOGON DATE. Diese Einstellung ermöglicht die Verwendung eines einfachen String-Vergleichs und verringert die Notwendigkeit der CUSTOM JOIN DIRECTIVE. 1 |
Nein |
JOBCHAR |
Ohne | Ein Zeichen [A-Z] | Sofern definiert, ist dies der zum Befehl TSO SUBMIT hinzugefügte JOBCHAR-Wert, mit dem die RECOJOB-Verarbeitung initialisiert wird. | Nein |
| Agent_UserLookup _MaxThreads |
3 | größer-gleich 1 | Anzahl von Threads, die für die Verarbeitung von LOOKUP-Transaktionen verfügbar sind. | Nein |
|
TRUE | TRUE oder FALSE | Wenn der Wert für DELEXP nicht festgelegt oder auf FALSE festgelegt ist,
werden die Exportdaten gelöscht, sobald der Datenabgleich abgeschlossen ist. |
Nein |
LOKUSAVE |
'hlq'.LSAVE | Alle Datensätze, auf die die RACF-ID des Adapters Zugriff hat, und optional die RACF-ID SURROGAT | Speichert die temporären Suchergebnisse des einzelnen Accounts. | Ja |
CONGRP |
FALSE | TRUE oder FALSE | Steuert die Weiterleitung von Änderungsoperationen (MODIFY) mit ISIMEXIT, die sich auf Verbindungsgruppen beziehen. | Nein |
PROFDEL |
FALSE | TRUE oder FALSE | Bei Angabe von TRUE versucht der Adapter, das Dateiprofil zu löschen, bevor der Account gelöscht wird. | Nein |
TSOCMD |
TRUE | TRUE oder FALSE | Mit diesem Attribut wird definiert, ob TSOCMD oder IRXEXEC zum Aufrufen von ISIMEXIT verwendet wird. Geben Sie TRUE an, um tsocmd zu verwenden, bzw. FALSE, damit IRXEXEC verwendet wird. |
Ja |
SSLMODE |
ATTLS | ATTLS, NONE | SSL verwenden oder nicht | Nein |
TLSVER |
VERSION1 | VERSION1, VERSION2 | AT-TLS-Version | Nein |
TIMEOUT |
Nicht zutreffend | beliebig numerisch | Es wird eine Sekunde gewartet, bevor neue Authentifizierungsversuche zugelassen werden. | Nein |
MFAILED |
Nicht zutreffend | beliebig numerisch | Maximale Anzahl fehlgeschlagener Anmeldeversuche, bevor der TIMEOUT für den Dienst eingestellt wird. | Nein |
<CONNECT_ENTRY name="CONENTRY">
<ADSP>FALSE</ADSP><AUDITOR>FALSE
</AUDITOR><AUTHORITY>USE
</AUTHORITY><DATE>200312101200Z
</DATE><GRPACC>FALSE</GRPACC>
<LAST_DATE>200312101200Z
</LAST_DATE><LOGON_COUNT>0
</LOGON_COUNT><OPERATIONS>FALSE
</OPERATIONS><OWNER>CONENTRY
</OWNER><RESUME_DATE>
200312101200Z</RESUME_DATE>
<REVOKE_DATE>200312101200Z
</REVOKE_DATE>
<REVOKED>FALSE</REVOKED>
<SPECIAL>FALSE</SPECIAL><UACC>
NONE</UACC></CONNECT_ENTRY>Diese Option spricht eine Problemstellung der Richtlinienimplementierung an, die bei der Erstellung einer Einrichtungsrichtlinie für RACF-Accounts auftritt. Wenn zwischen der Richtlinienversion eines Verbindungseintrags und dem Wert in 'erRacConXML' ein direkter Vergleich von Zeichenfolgen durchgeführt wird, meldet die Richtlinie eine Diskrepanz. Diese Diskrepanz ergibt sich aus dem transienten Verhalten des Erstellungsdatums, dem Zeitpunkt (Datum und Uhrzeit) der letzten Anmeldung und den Angaben für ein in der Zukunft liegendes Widerrufs- und Wiederaufnahmedatum. Wenn diese Option aktiviert ist, werden diese dynamischen Attribute übergangen. Die Widerrufs- und Wiederaufnahmedaten werden übergangen, um zu verhindern, dass ein RACF-Benutzer aufgrund von Diskrepanzen zwischen dem Verbindungseintrag und der Richtlinie per Wiederaufnahme (RESUME) reaktiviert wird.