少なくとも、RACDCERT コマンドを使用して、
すべてのワークステーション・クライアント証明書を RACF® に登録する必要があります。
これによって、ログオンしようとするユーザーの ID に証明書が関連付けられます。2 層のソリューションでは、証明書がクライアントから TN3270E Telnet サーバーに渡されます。3 層のソリューションでは、証明書がクライアントから中層 Telnet サーバーに渡され、次に DCAR に渡され、さらに DCAS に渡されます。
ユーザーがアクセスを試みるアプリケーション ID ごとに、RACF PTKTDATA プロファイルを作成することも必要です。PTKTDATA プロファイルによって、DCAS または z/OS® TN3270E Telnet サーバーはそのアプリケーションのパスチケットおよびユーザー ID を入手することができます。3 層のソリューションでは、DCAS がパスチケットおよびユーザー ID を DCAR に戻さなければなりません。
Host On Demand の場合、プロファイル名のアプリケーション ID 部分は、Host On Demand の高速ログオン・アプリケーション ID ポップアップ・ウィンドウで構成されている ID と同じでなければなりません。ほとんどの場合、
ユーザーがログオンに使用するアプリケーション名は、RACF PTKTDATA クラス・プロファイル
のアプリケーション ID 部分と一致します。
ただし、TSO およびその他の一部のアプリケーションでは、それらの名前と ID が一致しないことがあります。
- TSO 用に VTAM® 総称リソースを使用する場合は、SYS1.PARMLIB の TSOKEYxx メンバー内に定義されている TCASGNAM を使用して、RACF プロファイルのアプリケーション名の部分を定義します。
- VTAM 総称リソースを使用しない場合は、RACF プロファイル上でアプリケーション名を TSO として定義します。
- TSO アプリケーション・ログオンの構成を行う場合には、パスチケット・プロファイルでフォーマット TSO<SID> を使用し、SID には SYS1.PARMLIB の SMFPRMxx メンバーで定義した SMF システム ID を使用します。(例えば SID が 3390 であれば、プロファイルには TSO3390 と入力します。)
詳しくは、z/OS Security Server RACF セキュリティー管理者のガイドを参照してください。
共用ユーザー ID が許可されているアプリケーション (同じユーザー ID で複数のユーザー要求が同時にアプリケーションにアクセスできるもの) では、PTKTDATA プロファイルに RDEFINE コマンドで APPLDATA('NO REPLAY PROTECTION') オプションを指定しなければなりません。
これにより、
パスチケットの再生に対するデフォルトの RACF 保護はバイパスされます。