セキュリティー・ソフトウェアによる認証

RACF は、いくつかの検査を実行することにより、証明書を認証し、関連付けられたユーザー ID を返します。他のセキュリティー製品では、この処理の方法が異なる場合があることに注意してください。認証 (照会モード) を行うために使用される initACEE 機能の詳細については、ご使用のセキュリティー製品の資料を参照してください。
  1. RACF は、DIGTCERT クラスに証明書が定義されているかどうかを検査します。定義されている場合、RACF は、この証明書の RACF データベースへの追加時に証明書に関連付けられたユーザー ID を返します。
    証明書は、以下の例に示すように、RACDCERT コマンドを使用して RACF に対して定義されます。
    RACDCERT ID(userid) ADD(dsn) TRUST WITHLABEL('label')
  2. 証明書が定義されていない場合、RACF は、DIGTNMAP クラスと DIGTCRIT クラスのいずれかまたは両方で、一致する証明書名フィルターが定義されているかどうかを検査します。定義されている場合、RACF は、最も正確に一致するフィルターに関連付けられたユーザー ID を返します。
    注: Developer for System z で使用する証明書には名前フィルターを使用しないことをお勧めします。これらのフィルターは、すべての証明書を単一のユーザー ID にマップするからです。その結果として、すべての Developer for System z ユーザーが、同じユーザー ID でログオンすることになります。
  3. 一致する名前フィルターがない場合、RACF は HostIdMappings 証明書拡張を見つけ、組み込みのユーザー ID とホスト名のペアを抽出します。HostIdMappings 拡張内で定義されているユーザー ID を検出して検証すると、RACF はそのユーザー ID を返します。
    ユーザー ID とホスト名のペアは、以下の条件がすべて真の場合に有効です。
    • この証明書への署名に使用された CA 証明書に、DIGTCERT クラスで HIGHTRUST のマークが付いていること。
    • 拡張に保管されたユーザー ID の長さが有効であること (1 から 8 文字)。
    • RSE デーモンに割り当てられたユーザー ID に、少なくとも、SERVAUTH クラスの IRR.HOST.hostname プロファイルに対する READ 権限があること。ここで、hostname は、拡張に保管されたホスト名です。これは通常、CDFMVS08.RALEIGH.IBM.COM などのドメイン・ネームです。
    ASN.1 構文での HostIdMappings 拡張の定義を以下に示します。
    id-ce-hostIdMappings OBJECT IDENTIFIER::= {1 3 18 0 2 18 1}
    HostIdMappings::= SET OF HostIdMapping
    HostIdMapping::= SEQUENCE{
       hostName        IMPLICIT[1] IA5String,
       subjectId         IMPLICIT[2] IA5String,
       proofOfIdPossession IdProof OPTIONAL
     }
     IdProof::= SEQUENCE{
       secret        OCTET STRING,
       encryptionAlgorithm OBJECT IDENTIFIER
     }
    注: HostIdMappings 拡張は、その HostIdMappings 拡張を含む証明書の有効期間の開始後にターゲット・ユーザー ID が作成された場合は、有効と認められません。したがって、HostIdMappings 拡張を含む証明書専用にユーザー ID を作成する場合は、証明書の要求を実行依頼する前に、そのユーザー ID を作成するようにしてください。

X.509 証明書、RACF で X.509 証明書を管理する方法、および証明書名フィルターを定義する方法の詳細については、「Security Server RACF セキュリティー管理者のガイド」(SA88-8613) を参照してください。RACDCERT コマンドの詳細については、「Security Server RACF コマンド言語解説書」(SA88-8617) を参照してください。