Konfigurációs megjegyzések

Az illesztő képes egyszerre több kérést kezelni. Ismerje meg, hogyan dolgoz fel az illesztő adott jellemzőketat és kéréseket, és hogyan kommunikál a z/OS rendszerrel egyes kérések feldolgozása során.

Zóna, osztály és részleg módosítása

A fiókok módosításakor módosíthatja a zóna, osztály és részleg értékét. Az illesztő egy MOVE parancsot hajt végre az értékek minden módosításakor. Több érték egyetlen kérésben való módosítása több MOVE paranccsal jár, eggyel-eggyel minden értékhez kapcsolódóan:
MOVE ACID(USER) ZONE(ZONEA)
MOVE ACID(USER) DIVISION(USFAC)
MOVE ACID(USER) DEPT(HR)
Megjegyzés:
  • Az ACID TYPE hozzáfűzése a parancsokhoz nem történik meg.
  • Az értékmódosítások feldolgozása véletlenszerű sorrendben történik.

Így megadhatók nem kompatibilis értékek, például egy olyan ACID áthelyezésére irányuló kérés egy osztályba vagy részlegbe, mely ACID nem tartozik ehhez az osztályhoz. Az ACID-típus is változhat a MOVE parancs végrehajtása miatt. Az ACID-típusoknak megadott TYPE értékkel nem rendelkező ACID-azonosítóra irányuló MOVE parancs végrehajtásakor történő változásaival kapcsolatos további információért tekintse meg a CA Top Secret termékdokumentációját.

Az Identity kiszolgáló frissíti azt a fiókot, amelyre vonatkozóan a rendszer végrehajtotta a módosítási kérést. A frissítés az egyes értékmódosítások visszaadott eredményén alapul. Nem jelenti az ACID azon módosításait, amelyek a MOVE parancs eredményei.

Annak biztosításához, hogy az Identity kiszolgáló a tényleges, aktuális ACID-definíciókat tükrözze, hajtsa végre a módosított fiók egyeztetését közvetlenül egy zóna, osztály vagy részleg módosítását követően.

Egyetlen fiók egyeztetését a rendszer fiókkeresési kérésként értelmezi, és a megadott ACID adatainak gyűjtésével jár. Keresés kéréséhez adjon meg keresési szűrőt az egyeztetéshez. A szűrőt egy önálló eruid értékre irányuló egyeztetési lekérdezésként kell megadni.

A JOHND nevű fiók egyeztetésének végrehajtásához használja az alábbi lekérdezést:
A következő szűrőnek megfelelő fiókok egyeztetése:
(eruid=JOHND)

A keresési kérés keresésspecifikus APPC tranzakciót indít a keresési szűrőben megadott ACID adatainak az összegyűjtéséhez. A frissített fiókadatokat az Identity kiszolgáló számára adja vissza.

Megjegyzés: A keresési kéréssel lekért tényleges értékek a kérés végrehajtásához használt ACID felügyeleti hatóköréről függenek (ADAPTERID vagy SURROGAT). Az egyes ACID-típusok által a felügyeleti hatókörükben listázható adatokkal kapcsolatos további információért tekintse meg a CA Top Secret termékdokumentációját.
Az ACID keresési tranzakciója az alábbi követelményeket támasztja:
  1. A DSEXEC beállítás és hlq.EXEC érték megléte az illesztő-nyilvántartásban. Az illesztő telepítésekor a rendszer automatikusan a nyilvántartási fájlba írja ezt az értéket.
  2. Egy új sablontag megléte a hlq.EXEC adatkészletben: TSSLOKU. Az illesztő telepítésekor a rendszer automatikusan létrehozza ezt a tagot.
  3. Az LSAVE és a köztes adathalmazra vonatkozóan létrehozási, frissítési és törlési tranzakciót lehetővé tevő engedélyek.

Jelszókifejezések

A Top Secret for z/OS Adapter 6.0.8-as és újabb változatai támogatják a Top Secret-jelszókifejezéseket. A Top Secret esetében a jelszókifejezés egy olyan hitelesítési mechanizmus, amely lehetővé teszi, hogy a titkos karakterlánc 9–100 karakter hosszú legyen. A jelszavaknak az Identity kiszolgáló alkalmazásban történő beállításakor a legfeljebb nyolc karakter hosszú karakterláncokat a rendszer jelszóként, a nyolc karakternél hosszabb karakterláncokat pedig jelszókifejezésként kezeli a rendszer.

A jelszavak érvénytelennek minősülnek, ha a következő karakterek bármelyikét tartalmazzák: , ) ( { } ' " és szóköz

A jelszókifejezések érvénytelennek minősülnek, ha a következő karakterek bármelyikét tartalmazzák: , ) ( { } ' "

Ha az illesztő a fenti érvénytelen karakterek bármelyikét észleli, hibát ad vissza az Identity kiszolgáló alkalmazásnak.

Fiókhozzáadáskor:

Új fióknak az Identity kiszolgáló alkalmazásban való kérésekor az illesztő jelszóként értelmezi a 8 karakternél rövidebb jelszókarakterláncokat, így továbblép, és létrehozza a kért fiókot egy jelszóval. A 8 karakternél hosszabb jelszókarakterláncokat jelszókifejezésként értékeli. Ebben a forgatókönyvben az illesztő alapértelmezés szerint létrehoz egy véletlenszerű jelszót egy általános, beépített konfigurációs karakterlánccal. Ha a fiók kérésekor a PHRASEONLY jellemző értéke TRUE volt, a rendszer nem hoz létre jelszót, függetlenül attól, hogy mi a PASSGEN beállítás értéke.

Ez az általános konfigurációs karakterlánc a következő: CnccSCNS

A jelszólétrehozó ezzel a konfigurációs karakterlánccal hoz létre egy véletlenszerű jelszót az alábbi táblázatban foglaltak szerint:
1. Táblázat A jelszólétrehozó konfigurációs karakterláncai
Karakter Leírás
C Véletlenszerű nagybetűs karakter (nem magánhangzó)
c Véletlenszerű kisbetűs karakter (nem magánhangzó)
v Véletlenszerű kisbetűs magánhangzó (a, e, i, o, u és y)
V Véletlenszerű nagybetűs magánhangzó (A, E, I, O, U és Y)
N Véletlenszerű szám
s Véletlenszerű speciális karakter
Bármilyen egyéb karakter Adott formájában használható (például: nemzeti karakterek)

Az adapter belsőleg biztosítja, hogy nem hozza létre ugyanazokat a karaktereket egymás után.

A beépített karakterlánc az új PWD_CONFIG nyilvántartás-beállítással módosítható.

A PWD_CONFIG lehetővé teszi legfeljebb 5, vesszővel elválasztott karakterlánc használatát, amelyeket a rendszer véletlenszerűen választ ki véletlenszerű jelszavak létrehozásához.

Az egyes karakterláncok hosszúságának 4 és 8 karakter között kell lennie. Ha rövidebb karakterlánc lett megadva, az illesztő hibát jelent, és egy másik karakterlánccal próbálkozik. Ha hosszabb karakterlánc lett megadva, az illesztő csak az első 8 karaktert használja jelszó létrehozásához.

A konfigurációs karakterlánc nem tartalmazhatja a következő nem módosítható, fenntartott szavakat: APPL APR ASDF AUG BASIC CADAM DEC DEMO FEB FOCUS GAME IBM JAN JUL JUN LOG MAR MAY NET NEW NOV OCT PASS ROS SEP SIGN SYS TEST TSO VALID VTAM XXX 1234.

Továbbá a következő karaktereket sem: , ) ( { } ' "

Ha az illesztő fenntartott szót talál a konfigurációs karakterláncban, hibát jelent. Ilyen hiba beérkezését követően az illesztő megkísérel kiválasztani egy másik véletlenszerű konfigurációs karakterláncot. Két sikertelen kísérlet után az illesztő abbahagyja a feldolgozást, és hibát ad vissza. Az illesztő a bejelentkezési azonosító első négy karakterét vizsgálja fenntartott szóként az általa feldogozott kérésben. Vagyis az illesztő akkor is hibát jelent, ha a bejelentkezési azonosító első négy karaktere a konfigurációs karakterlánc része. A fenntartott szavak és a rövid bejelentkezési azonosító ellenőrzése nem tesz különbséget a kis- és nagybetűk között.

A fenntartott szavak és a rövid bejelentkezési azonosító ellenőrzését a rendszer megismétli a létrehozott jelszóra vonatkozóan. Ha az illesztő azt észleli, hogy a létrehozott jelszónak részét képezi egy fenntartott szó és/vagy rövid bejelentkezési azonosító, abbahagyja a feldolgozást, és hibát ad vissza.

Az új RESWORD nyilvántartás-beállítás lehetővé teszi több fenntartott szó megadását.

A RESWORD nyilvántartás-beállítás értékében található, vesszővel tagolt karakterláncot a rendszer hozzáadja a nem módosítható, fenntartott szavak listájához a kérés feldolgozása során.

További információ a nyilvántartás-beállítások hozzáadásával vagy módosításával kapcsolatban: Nyilvántartási beállítások módosítása.

Fiókmódosításkor:

A jelszókifejezések a meglévő fiókokra irányuló módosítási kérések során módosíthatók/adhatók hozzá. Amikor egy kezdeti jelszókifejezést ad hozzá egy meglévő fiókhoz, ne felejtsen el gondoskodni arról, hogy a felhasználó jogosult legyen jelszókifejezések használatára. Ezt a jelszókifejezésnek a fiókűrlapon TRUE értékűre állításával teheti meg, amikor jelszókifejezéssel rendelkező új felhasználót igényel az Identity kiszolgáló alkalmazásban. Amikor jelszókifejezést módosít/ad hozzá egy meglévő fiók esetében, a jelszókifejezés alapértelmezés szerint le fog járni. A jelszókifejezés (más néven jelszó) lejárata az új PHRASEEXPIRE nyilvántartás-beállítással vezérelhető.

Ez a beállítás az illesztő telepítési menüjében érhető el, ahogy a képen látható, és az agentCfg eszközzel módosítható.

A PHRASEEXPIRE 2 értéket támogat: TRUE és FALSE.
  • A TRUE érték beállítása esetén a jelszavak lejárnak.
  • A FALSE érték beállítása esetén a jelszavak nem járnak le.
------------------- ISIM CA-TopSecret Adapter Customization -------------------
Option                                          ===>
Adapter specific parameters
Name of adapter instance                        ===> ISIAGNT
Name of Started Task JCL procedure name         ===> ISIAGNT
IP Communications Port Number                   ===> 45598
Note: The adapter will always require access to ports 44970 through 44994.
These ports are implicitly reserved.
Adapter authentication ID (internal)            ===> agent
Adapter authentication password (internal)      ===> agent
PDU backlog limit                               ===> 1000
Do you want passwords set as expired?           ===> TRUE 	(True, False)
Do you want passphrases set as expired?         ===> TRUE  (True, False)
Do you use SYS1.BRODCAST in the environment?    ===> TRUE 	(True, False)
CA-Top Secret SCA ACID for ISIM adapter         ===> ISIAGNT
Password for the ITIM adapter ACID              ===>
CA-Top Secret Default Group ACID for adapter    ===> OMVSGRP
OMVS UID to be assigned to ACID (non-zero)      ===> 45598

További információ a nyilvántartás-beállítások hozzáadásával vagy módosításával kapcsolatban: Nyilvántartási beállítások módosítása.