
z/OS 用 Liberty での z/OS 許可サービスの使用可能化
z/OS® 上の Liberty により、ご使用のアプリケーションで、System Authorization Facility (SAF) 許可、ワークロード・マネージャー (WLM)、リソース・リカバリー・サービス (RRS)、および SVCDUMP を対象に z/OS 許可サービスを利用できるようになります。アプリケーションでこれらのサービスが必要な場合、Liberty エンジェル・プロセスをセットアップし、Liberty サーバーでこれらのサービスを使用するためのアクセス権限を付与します。
このタスクについて
z/OS 許可サービスを使用するために、RACF® などの SAF セキュリティー製品を使用して、以下のタイプのプロファイルをセットアップできます。
- Liberty サーバーまたは Liberty エンジェル・プロセスを z/OS 始動タスクとして実行することを計画している場合は、SAF STARTED プロファイルが必要となります。Liberty エンジェル・プロセスについて詳しくは、 『z/OS でのプロセス・タイプ』を参照してください。
- ご使用のアプリケーションのために、Liberty サーバーがいずれかの z/OS 許可サービスにアクセスすることを計画している場合は、SAF SERVER プロファイルが必要となります。各サービスについての説明については、以下の内容をご覧ください。
注: Liberty サーバーを始動タスクとして実行する計画がなく、いずれの許可サービスも使用する計画がない場合は、RACF をセットアップする必要はありません。
手順
- 以下のように、Liberty エンジェル・プロセスおよびサーバー・プロセスの PROC 用の STARTED プロファイルを作成します。このアクションにより、エンジェルおよび Liberty サーバーを始動タスクとして実行できるようになります。
- エンジェルがユーザー ID WLPUSER0 で実行されるようにするには、以下のようにします。
rdef started bbgzangl.* uacc(none) stdata(user(WLPUSER0) group(wasuser) privileged(no) trusted(no) trace(yes))
- BBGZSRV というプロシージャー名で実行されるサーバーがユーザー ID WLPUSER1 で実行されるようにするには、以下のようにします。
rdef started bbgzsrv.* uacc(none) stdata(user(WLPUSER1) group(wasuser) privileged(no) trusted(no) trace(yes))
- エンジェルがユーザー ID WLPUSER0 で実行されるようにするには、以下のようにします。
- エンジェル・プロセス用の SERVER プロファイルを作成し、ユーザー ID WLPUSER1 を許可します。
このアクションにより、Liberty サーバーはエンジェル・プロセスへのアクセス権限を付与されます。この権限は、z/OS 許可サービスに必要となります。名前のないエンジェル・サーバー・プロファイルを作成し、WLPUSER1 として実行されているサーバーがそのエンジェル・サーバーに接続できるようにするには、次のコマンドを実行します。
RDEF SERVER BBG.ANGEL UACC(NONE) PERMIT BBG.ANGEL CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
名前付きのエンジェル・サーバー・プロファイルを作成し、WLPUSER1 として実行されているサーバーがそのエンジェル・サーバーに接続できるようにするには、次のコマンドを実行します。
namedAngelName 変数に指定するプロファイル名は、新しいエンジェルの名前です。RDEF SERVER BBG.ANGEL.namedAngelName UACC(NONE) PERMIT BBG.ANGEL.namedAngelName CLASS(SERVER) ACCESS(READ) ID(WLPUSER1)
ヒント: BBG.ANGEL.* などの総称プロファイルを使用して、複数のエンジェルへのユーザー ID アクセスを認可することができます。
- 許可されたモジュール BBGZSAFM 用の SERVER プロファイルを作成し、プロファイルに対して Liberty サーバーの始動タスクのユーザー ID を許可します。
このアクションにより、Liberty サーバーは z/OS 許可サービスを使用できるようになります。WLPUSER1 として実行されているサーバーが、許可されたモジュールにアクセスできるようにするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- z/OS プラットフォームで提供された、許可された個別サービス用の SERVER プロファイルを作成します。これらのプロファイルにより、サーバーが、許可された個別のサービスを呼び出せるようになります。これらのサービスは、以下のように、機能別にグループ化されています。
- SAF 許可ユーザー・レジストリー・サービスおよび SAF 許可サービス (SAFCRED) を使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.SAFCRED UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.SAFCRED CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- WLM サービス (ZOSWLM) を使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSWLM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSWLM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- RRS トランザクション・サービス (TXRRS) を使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.TXRRS UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.TXRRS CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- SVCDUMP サービス (ZOSDUMP) を使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSDUMP UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSDUMP CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 最適化されたローカル・アダプター・サービスを使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.LOCALCOM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.LOCALCOM CLASS(SERVER) ACCESS(READ) ID(wlpuser1) RDEF SERVER BBG.AUTHMOD.BBGZSAFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.WOLA CLASS(SERVER)ACCESS(READ) ID(wlpuser1)
- IFAUSAGE サービス (PRODMGR) を使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.PRODMGR UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.PRODMGR CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- AsyncIO サービス (ZOSAIO) を使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSAIO UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSAIO CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- SAF 許可ユーザー・レジストリー・サービスおよび SAF 許可サービス (SAFCRED) を使用可能にするには、次のようにします。
- 許可されたクライアント・モジュール BBGZSCFM 用の SERVER プロファイルを作成し、そのプロファイルに対して Liberty サーバーの始動タスクのユーザー ID を許可します。このアクションにより、Liberty サーバーは z/OS 許可クライアント・サービスをロードできるようになります。 WLPUSER1 として実行されているサーバーが、許可されたクライアント・モジュールにアクセスできるようにするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSCFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- z/OS プラットフォームで提供された、許可された個別クライアント・サービス用の SERVER プロファイルを作成します。これらのプロファイルにより、クライアントは、サーバーによって提供されている許可された個別のサービスを呼び出すことができます。 これらのサービスは、以下のように、機能別にグループ化されています。
- 最適化されたローカル・アダプター・サービスを使用可能にするには、次のようにします。
RDEF SERVER BBG.AUTHMOD.BBGZSCFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM.WOLA CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 最適化されたローカル・アダプター・サービスを使用可能にするには、次のようにします。
サブトピック
WZSSAD を使用した z/OS セキュリティー・リソースへのアクセス
WLP z/OS システム・セキュリティー・アクセス・ドメイン (WZSSAD) では、Liberty サーバーに付与された権限を指示します。これらの権限によって、サーバーがユーザーの認証と許可を行う際に、どの System Authorization Facility (SAF) アプリケーション・ドメインおよびリソース・プロファイルの照会を許されるかを制御します。z/OS 上の Liberty の非同期 TCP/IP ソケット I/O の使用可能化
z/OS 上の Liberty の非同期 TCP/IP ソケット I/O (AsyncIO) サービスを使用して、オペレーティング・システム・レベルで非同期入出力パッケージの基本的な機能を提供できます。AsyncIO on z/OS サービスは、ネイティブ・サービスを使用して、多くの環境においてパフォーマンスおよびスケーラビリティーを向上させます。SAF レジストリーが使用する無許可サービス
System Authorization Facility (SAF) レジストリーは、 LE (Language Environment®) で提供される C 環境の多くの無許可サービスを使用します。System Authorization Facility (SAF) 非認証ユーザーのセットアップ
SAF ユーザー・レジストリーを使用している場合、非認証状態を表す SAF ユーザー ID を指定する必要があります。非認証ユーザー ID の名前は、server.xml 内の SAFCredentials エレメントの unauthenticatedUser 属性で指定されています。SAF レジストリーでこのユーザー ID を正しく定義することが重要です。RACF SAF ユーザー・レジストリーを使用している場合、非認証ユーザー (デフォルトでは WSGUEST) は、他のユーザー ID が接続されていない固有のデフォルト・グループ (DFLTGRP)、OMVS セグメント (TSO セグメントではない)、およびオプション NOPASSWORD、NOOIDCARD、RESTRICTED を必要とします。RACF ではなく、別の SAF ユーザー・レジストリーがある場合、その SAF レジストリーで提供されている、これらの RACF オプションと同等のユーザー ID オプションを探してください。コンポーネントが REST ハンドラー・フレームワークを使用するときに必要な SAF 許可
REST ハンドラー・フレームワーク上に構築された Liberty コンポーネントと共に System Authorization Facility (SAF) を使用する z/OS ユーザーは、allAuthenticatedUsers 許可を付与する必要があります。
親トピック: Liberty でのリソースへのアクセスの許可
関連概念:

ファイル名: twlp_config_security_zos.html