OpenFrame TACFの環境設定

本章では、OpenFrame TACFの環境設定項目について説明します。

1. 概要

OpenFrame TACF(以下、TACF)の運用に必要な設定は、openframe_tacf.confの各セクション(SECTION)のキー(KEY)の「VALUE」項目に設定し、ofconfigツールを使用して保存します。

デフォルト値が「(NONE)」であるキー項目が一部あります。そのキー項目の値(VALUE項目)を「(NONE)」に指定した場合の動作については備考欄を参照してください。

以下は、各サブジェクトのセクションの説明です。各セクションのキー項目の値の詳細ついては、各節を参照してください。

  • tacf

    OpenFrame TACFで使用する一般的な設定を行います。

    セクション 説明

    TACF_DEFAULT

    TACFの動作に必要な基本情報を設定します。

    AUTH_OPTION

    ユーザーが属しているグループだけでなく、すべてのグループに対してリソースへの権限をチェックするかどうかを設定します。

    SETROPTS

    RACFのオプション設定コマンドであるSETROPTSの機能を設定します。

2. tacf

OpenFrame TACFで使用する一般的な設定を保存します。

2.1. TACF_DEFAULT

TACFの動作に必要な基本情報を設定します。

2.1.1. HISTORY_COUNT

パスワード履歴の最大数を指定します。

パスワードの変更時に以前のパスワードを再使用できないように、パスワードの変更履歴を保存することができます。設定値を超えた場合は、最も古い履歴から削除されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

数値

デフォルト値

20

有効な値

1~2147438647

備考

1以上の整数を指定できます。1未満の整数を指定すると、1に設定されます。

2.1.2. UTIL_DIRECTORY

tacfcopyの実行によって作成される出力ファイルを出力するディレクトリを設定します。

項目 説明

パラメータ・タイプ

文字列

デフォルト値

${OPENFRAME_HOME}/temp

有効な値

備考

実際のディレクトリを設定します。

2.1.3. PASSWORD_INTERVAL

デフォルト値として使用されるパスワードの変更間隔(日単位)を設定します。新しいユーザーの登録時にパスワードの変更間隔を指定しなかった場合、この値がデフォルト値として使用されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

数値

デフォルト値

30

有効な値

0~2147438647

備考

0以上の整数を指定できます。ユーザー・パスワードを定期的に変更しない場合は、0に設定します。

2.1.4. MAX_RETRY_COUNT

ログインの最大試行回数を設定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

数値

デフォルト値

10

有効な値 設定値 値の範囲

1~2147438647

備考

1以上の整数を指定できます。指定された試行回数内にログインが成功しない場合は、ACCOUNT_LOCK_PERIODに設定された一定期間の間ユーザー・アカ ウントがロック状態になります。

2.1.5. LOCK_PERIOD_UNIT

MAX_RETRY_COUNTに設定された最大試行回数を超えた場合、アカウント・ロック期間の単位(時間または分)を設定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

文字列

デフォルト値

HOUR

有効な値

HOUR、MINUTE

備考

時間または分単位で設定します。

2.1.6. ACCOUNT_LOCK_PERIOD

認証に失敗したユーザー・アカウントをロックする期間をLOCK_PERIOD_UNITに指定された単位(時間または分)で設定します。

アカウントのロックは、ACCOUNT_LOCK_PERIODに設定された時間が経過すると、自動的に解除されます。LOCK_PERIOD_UNITが設定されていない場合は、時間単位で適用されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

数値

デフォルト値

24

有効な値

0~2147438647

備考

0以上の整数を指定できます。0に設定すると、この機能は無効になります。

2.1.7. RETRY_RESET_PERIOD

ユーザー・アカウントのログイン再試行回数を0に初期化する時間を設定します。

ログイン再試行回数は、RETRY_RESET_PERIODに設定された時間が経過すると、0に再設定されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

数値

デフォルト値

3

有効な値

0~2147438647

備考

0以上の整数を指定できます。0に設定すると、この機能は無効になります。

2.1.8. EXPIRE_WARNING_DAYS

ユーザーがシステムに接続した際、パスワードの変更を促す警告メッセージが表示される日数を指定します。

最終変更日が5日であり、変更間隔が10日の場合、パスワードの有効期限は15日になります。警告日数を3日に設定した場合は、12日から15日までの3日間、パスワードを変更するように警告が表示されます。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

数値

デフォルト値

0

有効な値

0~2147438647

備考

0以上の整数を指定できます。0に設定すると、この機能は無効になります。

2.1.9. EXPIRE_INIT_PASSWORD

初期パスワードを破棄するかどうかを設定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

ブール値

デフォルト値

YES

有効な値

YES、NO

備考

  • YES : 初期パスワードを破棄します。

  • NO : 初期パスワードを破棄しません。

2.1.10. RESTRICTED_LOGIN

tacfmgrへのログイン権限レベルを設定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

ブール値

デフォルト値

NO

有効な値

YES、NO

備考

  • YES : 特別な権限を持つユーザーのみログインできます。

  • NO : 一般ユーザーもログインできます。

2.2. AUTH_OPTION

TACFのユーザーは、デフォルトで属するグループのほか、TACFに登録された1つ以上のグループに属することができます。したがって、ユーザーがグループのメンバーとして特定のリソースに対して権限を持つ場合、ユーザーのデフォルト・グループだけでなく、ユーザーが属するすべてのグループに対して、そのリソースへの権限をチェックするように指定できます。AUTH_OPTIONでは、ユーザーが属するグループ・リストへのチェックとリソース権限に関する処理オプションを設定します。

2.2.1. OPTION_LGP

特定のデータセットへのアクセス権限をチェックする際、ユーザーのデフォルト・グループだけでなく、ユーザーが属するすべてのグループに対してチェックします。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

ブール値

デフォルト値

NO

有効な値

YES、NO

備考

  • YES : ユーザーが属するグループ・リストをチェックします。

  • NO : ユーザーが属するグループ・リストはチェックしません。

2.2.2. ENABLE_UNIFYDS

UNIFYDSクラスを使用した権限チェックを実行するかどうかを指定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

ブール値

デフォルト値

NO

有効な値

YES、NO

備考

  • YES : UNIFYDSクラスを使用した権限チェックを実行します。

  • NO : UNIFYDSクラスを使用した権限チェックを実行しません。

2.2.3. SECURITY_MODE

リソース権限のチェック・モードを指定します。リソースへの権限チェックに失敗した場合の処理方法を指定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

文字列

デフォルト値

NORMAL

有効な値

NORMAL、WARN

備考

  • NORMAL : リソースへの権限がない場合は失敗として処理します。

  • WARN : リソースへの権限がなくても、ログに警告メッセージのみ記録して処理します。

2.3. SETROPTS

RACFのオプション設定コマンドであるSETROPTSの機能を設定します。現在TACFでは、PROTECTALLとMIXEDCASEオプションのみサポートしています。

2.3.1. PROTECTALL

TACFにプロファイルが登録されていないすべてのデータセットに対してアクセスを制限するかどうかを指定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

ブール値

デフォルト値

NO

有効な値

YES、NO

備考

  • YES : TACFにプロファイルが登録されていないすべてのデータセットへのアクセスを制限します。

  • NO : TACFにプロファイルが登録されていないすべてのデータセットへのアクセスを許可します。

2.3.2. MIXEDCASE

ユーザーIDとパスワードの大文字と小文字を区別するかどうかを指定します。マルチノード環境ではすべてのノードの設定が一致する必要があります。

項目 説明

パラメータ・タイプ

ブール値

デフォルト値

YES

有効な値

YES、NO

備考

  • YES : ユーザーIDとパスワードの大文字と小文字を区別します。

  • NO : ユーザーIDとパスワードの大文字と小文字を区別しません。