パスチケットの使用

ZCC サーバー は、認証されたクライアントにパスチケットを使用するように構成できます。

この機能を利用するには、クライアントは最初に有効なユーザー ID とパスワードまたはパスフレーズを使用して認証を受ける必要があります。認証が成功すると、サーバーは要求しているクライアント用のパスチケットを生成して使用します。このような要求は、PASSTK 構成パラメーターにより指定された期間 (分単位) 有効です。

パスチケットの使用を有効にするには、以下の手順を実行します。
  1. ZCC サーバー 構成ファイルで PASSTK パラメーターを指定します。このパラメーターの説明については、構成ファイル・キーワードの説明を参照してください。
  2. ZCC サーバー は、APF 許可で実行する必要があります。APF 認証およびパスチケットの詳細については、RACF または使用するセキュリティー製品の同等の資料を参照してください。
  3. パスチケットは、APPLID に関連付けて生成されます。ZCC の場合、デフォルトの APPLID は HFIAPPL です。

    APPL クラスがアクティブである場合、接続ユーザーは APPL クラスの関連する APPLID リソース名に対する読み取りアクセス権限を持っている必要があります。APPLID リソース名は、ZCC サーバー 構成ファイルの APPLID パラメーターによってオーバーライドできます。この場合、構成された APPLID リソース名に対して許可検査が実行されます。

  4. パスチケットを作成するには、サーバーが開始したタスク・ユーザー ID が以下の権限を持っている必要があります。
    SETROPTS CLASSACT(PTKTDATA) 
    SETROPTS RACLIST(PTKTDATA) 
    RDEF PTKTDATA HFIAPPL SSIGNON(KEYMASKED(yourmaskvalue)) 
    RDEF PTKTDATA IRRPTAUTH.HFIAPPL.* UACC(NONE) 
    PERMIT IRRPTAUTH.HFIAPPL.* ID(your.userid) ACCESS(UPDATE) CLASS(PTKTDATA) 
    SETR RACLIST(PTKTDATA) REFRESH
    
    サーバーが必要な権限を持っている場合は、開始時にメッセージ HFI0052I が生成されます。それ以外の場合は、メッセージ HFI0050S が生成されます。
注: この機能は、主に多元的認証 (MFA) クライアントを手助けするために存在します。MFA 環境では、パスチケットを使用するための追加の許可が必要な場合があります。IBM® Z Multi-Factor Authentication または同等の MFA 製品の資料で、パスチケットを使用した MFA の使用に関する説明を参照してください。