![[IBM i]](ngibmi.gif)
MQ 認証情報オブジェクトの変更 (CHGMQMAUTI)
- 実行可能な場所
- すべての環境 (*ALL)
- スレッド・セーフ
- はい
MQ 認証情報オブジェクトの変更 (CHGMQMAUTI) コマンドは、既存の MQ 認証情報オブジェクトの指定された属性を変更します。
パラメーター
| キーワード | 説明 | 選択 | 注 |
|---|---|---|---|
| AINAME (AINAME) | 認証情報名 | 文字値 | 必須、キー、定位置 1 |
| MQMNAME | メッセージ・キュー・マネージャー名 | 文字値、*DFT | オプション、キー、定位置 2 |
| authType | 認証情報タイプ | *CRLLDAP、*OCSP、*IDPWOS、*IDPWLDAP | オプショナル, 定位置 3 |
| CONNAME | 接続名 | 文字値、*SAME | オプショナル, 定位置 4 |
| text | テキスト '記述' | 文字値、*SAME、*NONE | オプショナル, 定位置 5 |
| ユーザー名 | ユーザー名 | 文字値、*SAME、*NONE | オプショナル, 定位置 6 |
| PASSWORD | ユーザー・パスワード | 文字値、*SAME、*NONE | オプショナル, 定位置 7 |
| OCSPURL | OCSP応答側URL | 文字値、*SAME | オプショナル, 定位置 8 |
| CHCKCLNT | 認証検査が必要です。 | *ASQMGR, *REQUIRED, *REQADM | オプショナル, 定位置 9 |
| CHCKLOCL | 認証検査が必要です。 | *NONE、*OPTIONAL、*REQUIRED、*REQADM | オプショナル, 定位置 10 |
| FAILDELAY | 障害の遅延 | 整数値 | オプショナル, 定位置 11 |
| BASEDNU | ベース・ユーザー DN | 文字値、*SAME | オプション、定位置 12 |
| ADOPTCTX | コンテキスト採用 | 整数値 | オプション、定位置 13 |
| CLASSUSER | LDAP オブジェクト・クラス | 文字値、*SAME | オプション、定位置 14 |
| USERFIELD | LDAP ユーザー・レコード | 文字値、*SAME | オプション、定位置 15 |
| SHORTUSER | ユーザー・レコード | 文字値、*SAME | オプション、定位置 16 |
| SECCOMM | LDAP 通信 | 文字値、*SAME | オプション、定位置 17 |
| AUTHORMD | 許可方式 | 文字値、 *OS、*SEARCHGRP、*SEARCHUSR![[V9.0.5 2018 年 3 月]](ng905.gif) 、*SRCHGRPSN |
オプション、定位置 18 |
| BASEDNG | グループのベース DN | 文字値、*SAME | オプション、定位置 19 |
| CLASSGRP | グループのオブジェクト・クラス | 文字値、*SAME | オプション、定位置 20 |
| FINDGRP | グループ・メンバーシップを検索する属性 | 文字値、*SAME | オプション、定位置 21 |
| GRPFIELD | グループの単純名 | 文字値、*SAME | オプション、定位置 22 |
| NESTGRP | グループ・ネスティング | *NO *YES | オプション、定位置 23 |
| AUTHENMD | 認証方式 | *OS 変更不可 | オプション、定位置 24 |
認証情報名 (AINAME)
変更する認証情報オブジェクトの名前です。
指定できる値は以下のとおりです。
- authentication-information-name
- 認証情報オブジェクトの名前を指定します。 最大ストリング長は 48 文字です。
メッセージ・キュー・マネージャー名 (MQMNAME)
キュー・マネージャーの名前。
指定できる値は以下のとおりです。
- *DFT
- デフォルト・キュー・マネージャーを使用します。
- キュー・マネージャー名
- 既存のメッセージ・キュー・マネージャーの名前です。 最大ストリング長は 48 文字です。
コンテキストの採用 (ADOPTCTX)
- YES
- パスワードにより妥当性検査が正常に行われた、MQCSP 構造内に示されたユーザー ID は、このアプリケーションに使用するコンテキストとして採用されます。 したがって、このユーザー ID は、 IBM® MQ リソースを使用する許可のために検査される資格情報になります。
指定されたユーザー ID が LDAP ユーザー ID であり、オペレーティング・システムのユーザー ID を使用して許可検査が行われる場合、LDAP のユーザー・エントリーに関連付けられた SHORTUSR が実行される許可検査の資格情報として採用されます。
- NO
- 認証は MQCSP 構造内のユーザー ID とパスワードに対して実行されますが、資格情報が 将来の使用のために採用されることはありません。 許可は、アプリケーションが実行されているユーザー ID を使用して実行されます。
認証方式 (AUTHENMD)
- *OS
- オペレーティング・システム・グループを使用して、ユーザーに関連付けられた許可を判別します。
*OS は認証方式を設定する目的でのみ使用できます。
この属性は、AUTHTYPE が *IDPWOS の場合にのみ有効です。
許可方式 (AUTHORMD)
- *OS
- オペレーティング・システム・グループを使用して、ユーザーに関連付けられた許可を判別します。
これは、 IBM MQ が以前に動作した方法であり、デフォルト値です。
- *SEARCHGRP
- LDAP リポジトリーのグループ項目に、そのグループに属するすべてのユーザーの識別名をリストする属性が含まれます。 メンバーシップは、 FINDGRPで定義された属性によって示されます。 この値は通常 member または uniqueMember です。
- *SEARCHUSR
- LDAP リポジトリーのユーザー項目に、指定のユーザーが属するすべてのグループの識別名をリストする属性が含まれます。 照会する属性は、 FINDGRP 値 (通常は memberOf) によって定義されます。
- *SRCHGRPSN
- LDAP リポジトリーのグループ項目に、そのグループに属するすべてのユーザーの短いユーザー名をリストする属性が含まれます。 短いユーザー名を含むユーザー・レコード内の属性は、 SHORTUSRで指定します。メンバーシップは、 FINDGRPで定義された属性によって示されます。 この値は通常 memberUid です。注: この許可方式は、すべてのユーザーの短縮名が異なる場合にのみ使用してください。
多くの LDAP サーバーはグループ・メンバーシップの判別にグループ・オブジェクトの属性を使用するため、この値を SEARCHGRP に設定する必要があります。
Microsoft Active Directory は通常、グループ・メンバーシップをユーザー属性として保管します。 IBM Tivoli Directory Server は、両方の方式をサポートします。
一般に、ユーザー属性によってメンバーシップを取得する方が、ユーザーをメンバーとしてリストするグループを検索するよりも高速です。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
認証情報タイプ (AUTHTYPE)
認証情報オブジェクトのタイプです。 デフォルト値はありません
指定できる値は以下のとおりです。
- *CRLLDAP
- 認証情報オブジェクトのタイプは CRLLDAP です。
- *OCSP
- 認証情報オブジェクトのタイプは OCSPURL です。
- *IDPWOS
- 接続認証のユーザー ID およびパスワードの検査は、オペレーティング・システムを使用して実行されます。
- *IDPWLDAP
- 接続認証のユーザー ID およびパスワードの検査は、LDAP サーバーを使用して実行されます。
グループのベース DN (BASEDNG)
グループ名を検出できるようにするために、このパラメーターを基本 DN とともに設定して、LDAP サーバー内でグループを検索する必要があります。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
ベース・ユーザー DN (BASEDNU)
短いユーザー名属性を検出できるようにするため ( SHORTUSR を参照) LDAP サーバー内のユーザーを検索するには、このパラメーターに基本 DN を設定する必要があります。 この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
クライアント検査 (CHCKCLNT)
ローカルでバインドされたすべての接続で接続認証検査が必要とされるか、MQCSP 構造でユーザー ID とパスワードが提供される場合にのみ検査されるか。
- *ASQMGR
- 接続が許可されるには、キュー・マネージャーで定義されている接続認証要件を満たしている必要があります。 CONNAUTH フィールドで 認証情報オブジェクトが提供され、CHCKCLNT の値が *REQUIRED である場合、有効なユーザー ID およびパスワードが指定されない限り、接続は 失敗します。 CONNAUTH フィールドで認証情報オブジェクトが提供されない、または CHCKCLNT の値が *REQUIRED ではない場合、 ユーザー ID およびパスワードは必要ありません。
- *REQUIRED
- すべてのアプリケーションが有効なユーザー ID とパスワードを提供する必要があります。
- *REQDADM
- 特権ユーザーは有効なユーザー ID とパスワードを指定する必要がありますが、非特権ユーザーは *OPTIONAL 設定と同じように扱われます。
ローカル検査 (CHCKLOCL)
ローカルでバインドされたすべての接続で接続認証検査が必要とされるか、MQCSP 構造でユーザー ID とパスワードが提供される場合にのみ検査されるか。
- *NONE (*NONE)
- 検査をオフにします。
- *OPTIONAL
- アプリケーションからユーザー ID とパスワードが提供された場合、それらが有効なペアであることを確認します。ただし、それらの提供は必須ではありません。 このオプションは、例えばマイグレーションの際に役立つ場合があります。
- *REQUIRED
- すべてのアプリケーションが有効なユーザー ID とパスワードを提供する必要があります。
- *REQDADM
- 特権ユーザーは有効なユーザー ID とパスワードを指定する必要がありますが、非特権ユーザーは *OPTIONAL 設定と同じように扱われます。
クラス・グループ (CLASSGRP)
LDAP リポジトリー内のグループ・レコードで使用する LDAP オブジェクト・クラス。この値がブランクの場合には、groupOfNames が使用されます。
他に通常使用される値には、groupOfUniqueNames や group があります。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
クラス・ユーザー (CLASSUSR)
LDAP リポジトリー内のユーザー・レコードで使用する LDAP オブジェクト・クラス。
ブランクの場合、値は通常必要とされる値である inetOrgPerson にデフォルト設定されます。
Microsoft Active Directoryの場合、必要な値は多くの場合 userです。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
接続名 (CONNAME)
オプションのポート番号を持つ、LDAP サーバーが稼働しているホストの DNS 名または IP アドレス。 デフォルトのポート番号は 389 です。 DNS 名または IP アドレスにデフォルトはありません。
このフィールドは *CRLLDAP または *IDPWLDAP 認証情報オブジェクトにのみ有効です (必須である場合)。
IDPWLDAP 認証情報オブジェクトとともに使用する場合は、 接続名のコンマ区切りのリストにすることができます。
指定できる値は以下のとおりです。
- *SAME
- 接続名は、元の認証情報オブジェクトから未変更のままです。
- 接続名
- オプションのポート番号を持つ、ホストの完全修飾 DNS 名または IP アドレスを指定します。 最大ストリング長は 264 文字です。
障害の遅延 (FAILDELAY)
接続認証にユーザーIDとパスワードが提供されたものの、そのユーザーIDまたは パスワードが誤っていたために認証が失敗する場合、失敗がアプリケーションに 戻される前に、ここで指定した秒数の遅延が生じます。
これは、失敗を受信した後に、アプリケーションが単純に再試行を繰り返してビジー・ループになるのを 回避するのに役立ちます。
値は 0 から 60 秒の範囲でなければなりません。 デフォルト値は 1 です。
この属性は、AUTHTYPE が *IDPWOS および *IDPWLDAP の場合にのみ有効です。
グループ・メンバーシップ属性 (FINDGRP)
グループ・メンバーシップを判別するために LDAP 項目内で使用される属性の名前。AUTHORMD = *SEARCHGRPの場合、この属性は通常、 member または uniqueMemberに設定されます。
AUTHORMD = *SEARCHUSRの場合、この属性は通常 memberOfに設定されます。
AUTHORMD = *SRCHGRPSNの場合、この属性は通常 memberUidに設定されます。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
グループの単純名 (GRPFIELD)
値がブランクの場合、 setmqaut のようなコマンドはグループの修飾名を使用する必要があります。 値は完全な識別名、または単一の属性のいずれかにできます。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
グループ・ネスティング (NESTGRP)
- *NO
- 最初に見つかったグループのみが、許可の対象となります。
- *YES
- ユーザーが属するグループすべてを列挙するために、グループ・リストは再帰的に検索されます。
グループの識別名は、 AUTHORMDで選択された許可方式に関係なく、グループ・リストを再帰的に検索するときに使用されます。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
OCSP 応答側 URL (OCSPURL)
証明書の失効の検査に使用される OCSP 応答側の URL。 これは、OCSP 応答側のホスト名とポート番号を含む HTTP URL でなければなりません。 OCSP 応答側がポート 80 を使用する場合 (これは HTTP のデフォルトです)、ポート番号は省略できます。
このフィールドは OCSP 認証情報オブジェクトにのみ有効です。
指定できる値は以下のとおりです。
- *SAME
- OCSP 応答側 URL は未変更です。
- OCSP-Responder-URL
- OCSP 応答側 URL です。 最大ストリング長は 256 文字です。
セキュア・コマンド (SECCOMM)
- YES
- LDAP サーバーへの接続は TLS を使用して安全に行われます。
使用される証明書は、キュー・マネージャーのデフォルト証明書で、キュー・マネージャー・オブジェクトの CERTLABL で指定されます。ブランクの場合は、 要件を理解するためのデジタル証明書ラベルで説明されている証明書です。
証明書は、キュー・マネージャー・オブジェクトの SSLKEYR で指定された鍵リポジトリーに置かれます。 IBM MQ と LDAP サーバーの両方でサポートされる CipherSpec がネゴシエーションされます。
キュー・マネージャーが SSLFIPS(YES) または SUITEB 暗号仕様を使用するよう構成されている場合、これは LDAP サーバーへの接続において同様に考慮されます。
- ANON
- LDAP サーバーへの接続は、SECCOMM(YES) と同様に TLS を使用して安全に行われますが、違いが 1 つあります。
証明書は LDAP サーバーに送信されません。接続は匿名で行われます。 この設定を使用するには、キュー・マネージャー・オブジェクトの SSLKEYR で指定された鍵リポジトリーに、デフォルトとしてマークされた証明書が含まれていないことを確認してください。
- NO
- LDAP サーバーへの接続は TLS を使用しません。
短いユーザー名 (SHORTUSR)
IBM MQで短いユーザー名として使用されるユーザー・レコード内のフィールド。
- LDAP 認証が有効であるが、LDAP 権限が有効ではない場合、これは許可検査のオペレーティング・システムのユーザー ID として使用されます。 この場合、属性はオペレーティング・システムのユーザー ID を表す必要があります。
- LDAP 認証と権限の両方が有効で、メッセージ内のユーザー ID を使用しなければならない場合、これは LDAP ユーザー名を再発見するためのメッセージに付随するユーザー ID として使用されます。
例えば、別のキュー・マネージャーにおいて、またはレポート・メッセージの書き込み時などです。 この場合、属性はオペレーティング・システムのユーザー ID を表す必要はありませんが、固有のストリングでなければなりません。 この目的として使用できる属性の良い例としては、従業員シリアル番号があります。
この属性は、AUTHTYPE が *IDPWLDAP であり、必須である場合にのみ有効です。
テキスト '記述' (TEXT)
認証情報オブジェクトの短いテキスト説明です。
注 : フィールド長は 64 バイトであり、システムが 2 バイト文字セット (DBCS) を使用している場合、最大文字数が少なくなります。
指定できる値は以下のとおりです。
- *SAME
- テキスト・ストリングは未変更です。
- *NONE 値
- テキストはブランク・ストリングに設定されます。
- description
- ストリングは最大 64 文字までの長さで、アポストロフィで囲みます。
ユーザー名 (USERNAME)
ディレクトリーにバインドされているユーザーの識別名。 デフォルト・ユーザー名はブランクです。
このフィールドは *CRLLDAP または *IDPWLDAP 認証情報オブジェクトにのみ有効です。
指定できる値は以下のとおりです。
- *SAME
- ユーザー名は未変更です。
- *NONE 値
- ユーザー名はブランクです。
- LDAP-user-name
- LDAP ユーザーの識別名を指定します。 最大ストリング長は 1024 文字です。
ユーザー・フィールド (USRFIELD)
認証のためにアプリケーションによって提供された user ID に、LDAP user record 内のフィールドの修飾子が含まれていない場合、つまり、「=」記号が含まれていない場合、この属性は、指定された user ID を解釈するために使用される LDAP user record 内のフィールドを識別します。
このフィールドは、ブランクにすることができます。 この場合、非修飾ユーザー ID は SHORTUSR パラメーターを使用して指定されたユーザー ID を解釈します。
このフィールドの内容は、アプリケーションによって提供される値とともに「=」記号で連結され、LDAP ユーザー・レコード内に配置される完全なユーザー ID を形成します。 例えば、アプリケーションがfredのユーザーを提供し、このフィールドの値がcnの場合、LDAP リポジトリーでcn=fredが検索されます。
この属性は、AUTHTYPE が *IDPWLDAP の場合にのみ有効です。
ユーザー・パスワード (PASSWORD)
LDAP ユーザーのパスワード。
このフィールドは *CRLLDAP または *IDPWLDAP 認証情報オブジェクトにのみ有効です。
指定できる値は以下のとおりです。
- *SAME
- パスワードは未変更です。
- *NONE 値
- パスワードはブランクです。
- LDAP-password
- LDAP ユーザー・パスワード。 最大ストリング長は 32 文字です。