一連の特定のユーザーに対して TN3270 ELF による DCAS を使用するリージョンのほかに、一部の少数のユーザーのサインオンに DCAS の形式 2 の要求を使用する特殊なアプリケーションがあるとします。ELF ユーザーには、すべてのユーザーに O=My Company Inc (組織要素) および OU=ELF Users (組織単位) をサブジェクト DN に含む個人証明書が発行されています。したがって、これらのユーザーについては、クライアント証明書のサブジェクト名に含まれるそれらの要素で認識できます。
一方、特殊なアプリケーションについては、会社のクライアント証明書があれば誰でも DCAS を使用できますが、SPECAPP ユーザー グループのメンバーであるユーザー ID のパスチケットの作成だけに制限されます。
この場合、クライアント承認チェックを有効にして、DCASCCRT リソース クラスに次の規則を作成します。
| 規則の名前 | アクセス制御エントリ | 説明 |
|---|---|---|
| **/O=My Company Inc/OU=ELF Users/** | allow:*:read | このパターンに名前が一致するクライアント証明書で DCAS に接続するすべてのユーザーに形式 1 の要求を許可します。 |
| **/O=My Company Inc/** | allow:SPECAPP group:control | 会社が発行したクライアント証明書を持つすべてのユーザーに SPECAPP グループのユーザー ID のパスチケットの作成を許可します。 |
DCASCCRT クラスの規則を作成するには、ある程度の計画が必要になりますが、許可される DCAS 要求のパラメーターを細かく制御できます。
説明:
この設定を使用して、ユーザーのパスチケットを要求する前に DCAS で通常行われるオプションのクライアント承認チェックを有効にすることができます。この機能を使用するには、check user authorization 設定も有効にする必要があります (デフォルトでは有効になっています)。
DCAS サービスの主な機能は、外部セキュリティ機能にユーザーのパスチケット (一時パスワード) を作成するように求めることです。DCAS のユーザー承認チェック (デフォルトで有効) では、セキュリティ システムを照会し、要求によって識別されたユーザーがパスチケットの使用を許可されているかどうかを確認します。一方、クライアント承認チェック (この設定で有効化) では、クライアントから DCAS リスナーに接続の一部として送信された証明書が DCAS の使用を許可されているかどうかを確認します。
言い換えると、クライアント承認では DCAS 要求を行うことができるクライアントを制限し、ユーザー承認では要求の対象となるユーザーを制限します。クライアント承認チェックは、要求されたユーザーの名前で行われるため、特定のクライアントによって要求が行われた場合にパスチケットを付与できるユーザーの制限にも使用できます。
この設定が有効になっている場合、DCAS はパスチケットを要求する前に、要求のユーザー ID を使用して ESF 承認要求を行います。リソース名はクライアント証明書のサブジェクト識別名で、リソース クラスは DCASCCRT です。形式 1 (ELF) の要求の場合はこのリソースに対する読み取りアクセス、形式 2 (メインフレーム用自動サインオン) の要求の場合は制御アクセスが必要であり、ユーザーにそれらのアクセスがない場合は DCAS 要求が拒否されます。この設定が有効で、DCASCCRT リソース クラスが存在しない場合は、すべての DCAS 要求が拒否されます。
DCASCCRT リソース クラスは、Enterprise Server に付属のサンプルの LDAP セキュリティ定義では定義されていません。この承認チェックを有効なものにするには、DCASCCRT クラスを定義し、適切なリソース アクセス規則を作成する必要があります。
DCAS セキュリティを追加するには、このオプションを有効にし、環境に合わせて PTKTDATA リソース クラスの規則を構成します。詳細については、「DCAS セキュリティ」を参照してください。