OpenFrame TACFの環境設定
本章では、OpenFrame TACFの環境設定項目について説明します。
1. 概要
OpenFrame TACF(以下、TACF)の運用に必要な設定は、openframe_tacf.confの各セクション(SECTION)のキー(KEY)の「VALUE」項目に設定し、ofconfigツールを使用して保存します。
|
デフォルト値が「(NONE)」であるキー項目が一部あります。そのキー項目の値(VALUE項目)を「(NONE)」に指定した場合の動作については備考欄を参照してください。 |
以下は、各サブジェクトのセクションの説明です。各セクションのキー項目の値の詳細ついては、各節を参照してください。
-
OpenFrame TACFで使用する一般的な設定を行います。
セクション 説明 TACFの動作に必要な基本情報を設定します。
ユーザーが属しているグループだけでなく、すべてのグループに対してリソースへの権限をチェックするかどうかを設定します。
RACFのオプション設定コマンドであるSETROPTSの機能を設定します。
2. tacf
OpenFrame TACFで使用する一般的な設定を保存します。
2.1. TACF_DEFAULT
TACFの動作に必要な基本情報を設定します。
2.1.1. HISTORY_COUNT
パスワード履歴の最大数を指定します。
パスワードの変更時に以前のパスワードを再使用できないように、パスワードの変更履歴を保存することができます。設定値を超えた場合は、最も古い履歴から削除されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
数値 |
デフォルト値 |
20 |
有効な値 |
1~2147438647 |
備考 |
1以上の整数を指定できます。1未満の整数を指定すると、1に設定されます。 |
2.1.2. UTIL_DIRECTORY
tacfcopyの実行によって作成される出力ファイルを出力するディレクトリを設定します。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
文字列 |
デフォルト値 |
${OPENFRAME_HOME}/temp |
有効な値 |
|
備考 |
実際のディレクトリを設定します。 |
2.1.3. PASSWORD_INTERVAL
デフォルト値として使用されるパスワードの変更間隔(日単位)を設定します。新しいユーザーの登録時にパスワードの変更間隔を指定しなかった場合、この値がデフォルト値として使用されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
数値 |
デフォルト値 |
30 |
有効な値 |
0~2147438647 |
備考 |
0以上の整数を指定できます。ユーザー・パスワードを定期的に変更しない場合は、0に設定します。 |
2.1.4. MAX_RETRY_COUNT
ログインの最大試行回数を設定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
数値 |
デフォルト値 |
10 |
有効な値 設定値 値の範囲 |
1~2147438647 |
備考 |
1以上の整数を指定できます。指定された試行回数内にログインが成功しない場合は、ACCOUNT_LOCK_PERIODに設定された一定期間の間ユーザー・アカ ウントがロック状態になります。 |
2.1.5. LOCK_PERIOD_UNIT
MAX_RETRY_COUNTに設定された最大試行回数を超えた場合、アカウント・ロック期間の単位(時間または分)を設定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
文字列 |
デフォルト値 |
HOUR |
有効な値 |
HOUR、MINUTE |
備考 |
時間または分単位で設定します。 |
2.1.6. ACCOUNT_LOCK_PERIOD
認証に失敗したユーザー・アカウントをロックする期間をLOCK_PERIOD_UNITに指定された単位(時間または分)で設定します。
アカウントのロックは、ACCOUNT_LOCK_PERIODに設定された時間が経過すると、自動的に解除されます。LOCK_PERIOD_UNITが設定されていない場合は、時間単位で適用されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
数値 |
デフォルト値 |
24 |
有効な値 |
0~2147438647 |
備考 |
0以上の整数を指定できます。0に設定すると、この機能は無効になります。 |
2.1.7. RETRY_RESET_PERIOD
ユーザー・アカウントのログイン再試行回数を0に初期化する時間を設定します。
ログイン再試行回数は、RETRY_RESET_PERIODに設定された時間が経過すると、0に再設定されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
数値 |
デフォルト値 |
3 |
有効な値 |
0~2147438647 |
備考 |
0以上の整数を指定できます。0に設定すると、この機能は無効になります。 |
2.1.8. EXPIRE_WARNING_DAYS
ユーザーがシステムに接続した際、パスワードの変更を促す警告メッセージが表示される日数を指定します。
最終変更日が5日であり、変更間隔が10日の場合、パスワードの有効期限は15日になります。警告日数を3日に設定した場合は、12日から15日までの3日間、パスワードを変更するように警告が表示されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
数値 |
デフォルト値 |
0 |
有効な値 |
0~2147438647 |
備考 |
0以上の整数を指定できます。0に設定すると、この機能は無効になります。 |
2.2. AUTH_OPTION
TACFのユーザーは、デフォルトで属するグループのほか、TACFに登録された1つ以上のグループに属することができます。したがって、ユーザーがグループのメンバーとして特定のリソースに対して権限を持つ場合、ユーザーのデフォルト・グループだけでなく、ユーザーが属するすべてのグループに対して、そのリソースへの権限をチェックするように指定できます。AUTH_OPTIONでは、ユーザーが属するグループ・リストへのチェックとリソース権限に関する処理オプションを設定します。
2.2.1. OPTION_LGP
特定のデータセットへのアクセス権限をチェックする際、ユーザーのデフォルト・グループだけでなく、ユーザーが属するすべてのグループに対してチェックします。マルチノード環境ではすべてのノードの設定が一致する必要があります。
| 項目 | 説明 |
|---|---|
パラメータ・タイプ |
ブール値 |
デフォルト値 |
NO |
有効な値 |
YES、NO |
備考 |
|
2.3. SETROPTS
RACFのオプション設定コマンドであるSETROPTSの機能を設定します。現在TACFでは、PROTECTALLとMIXEDCASEオプションのみサポートしています。