
z/OS용 Liberty에서 아웃바운드 지원을 위한 최적화 로컬 어댑터 보안
Liberty 서버에서 아웃바운드 호출을 작성하는 WebSphere® 최적화 로컬 어댑터(WOLA) 연결을 보호합니다.
프로시저
- 옵션: 서버 측 보안을 설정하십시오.
- 서버 보안을 사용하여 z/OS®에서 Liberty 서버를 실행하십시오. 자세한 정보는 Liberty에서 애플리케이션에 대한 권한 구성 및 z/OS용 Liberty에서 z/OS 권한 부여 서비스 사용의 내용을 참조하십시오.
- Liberty 서버에서
CICS®(Customer Information Control System)로 호출 중이며
CICS 링크 서버에서 보안이 사용되는 경우에는 대상 CICS 프로그램을 실행할 사용자 ID를 선택하십시오.
기본적으로 호출 주제는 대상 CICS 프로그램을 실행하는 MVS 사용자 ID를 얻습니다. 호출 주제는 최적화 로컬 어댑터 요청을 작성하는 애플리케이션 컴포넌트를 실행하는 주제입니다. 많은 경우에 이 주제는 애플리케이션 배치 디스크립터에서 구성된 실행 도구 ID입니다.
세 가지 방법으로 호출 주제의 대체 주제를 정의할 수 있습니다.- 연결 팩토리 구성에서 authData 요소에 사용자 ID 및 비밀번호를 지정하고
connectionFactory 요소에서 해당 요소를 참조합니다. 다음 예제에서 최적화 로컬 어댑터 연결 팩토리는
user2의 사용자 ID 및 연관된 비밀번호를 지정하는
auth2 authData 요소를 참조합니다.
<connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2"> <properties.ola RegisterName="OLASERVER"/> </connectionFactory> <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>
연결 팩토리 구성에 대한 자세한 정보는 JCA 연결 팩토리 구성의 내용을 참조하십시오.
- 시스템 관리자는 최적화 로컬 어댑터 연결 팩토리에 사용자 ID와 비밀번호를 제공할 수 있습니다. 추가 정보는 Liberty의 최적화 로컬 어댑터에 대한 연결 팩토리 특성의 내용을 참조하십시오.
- 애플리케이션 개발자는 최적화 로컬 어댑터 연결 팩토리로부터 연결을 얻는 ConnectionSpec 오브젝트에 사용자 ID와 비밀번호를 제공할 수 있습니다.
보안 서비스는 제공된 사용자 ID와 비밀번호로 인증하려고 시도합니다. 인증이 성공하면 새 주제는 대상 CICS 프로그램을 실행하는 MVS 사용자 ID를 얻습니다.
- 연결 팩토리 구성에서 authData 요소에 사용자 ID 및 비밀번호를 지정하고
connectionFactory 요소에서 해당 요소를 참조합니다. 다음 예제에서 최적화 로컬 어댑터 연결 팩토리는
user2의 사용자 ID 및 연관된 비밀번호를 지정하는
auth2 authData 요소를 참조합니다.
- OTM을 사용하여 Liberty 서버에서 IBM IMS(Information Management System)로 호출 중인 경우, Liberty 서버와 애플리케이션이 둘 다 sync-to-OS-thread를 사용하도록 구성되어 있으면 Liberty 서버는 현재 사용자 ID를 IMS 리젼에 전파할 수 있습니다. 또한 IMS 리젼은 IMSPBxxx PROCLIB 멤버에서 OTMASE=FULL 옵션으로 실행 중이어야 합니다.
- 클라이언트 측 보안을 설정하십시오.
- CBIND가 SAF(System Authorization Facility)에서 사용으로 설정된 경우,
최적화 로컬 어댑터를 사용할 클라이언트에 액세스 권한을 부여하십시오.
- CBIND 클래스에서 Liberty 서버의 프로파일을 정의하십시오. 프로파일 이름은 BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>입니다.
여기서 WOLA1, WOLA2 및 WOLA3은 server.xml 파일의
<zosLocalAdapters> 요소에 지정된 최적화 어댑터 그룹 이름의 세 파트입니다. SAF RDEFINE TSO 명령을 사용하여 프로파일을 정의할 수 있습니다. 예를 들어, 다음 명령은
WOLA 그룹을 위해 CBIND 클래스에 LIB1.LIB2.LIB3이라는 프로파일을 작성합니다.
rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
- 프로파일에 대해 READ 액세스를 허용하십시오. 예를 들어, 다음 명령은
bbg.wola.lib1.lib2.lib3 프로파일에서 username 사용자 이름에 대해 읽기 액세스를
허용합니다.
permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
별표(*)를 사용하여 사용자에게 여러 프로파일에 대한 액세스를 허용할 수 있습니다. 다음 예제는 CBIND 클래스에서 bbg.wola로 시작하는 모든 프로파일에 대해 username 사용자에게 READ 액세스를 허용합니다.rdef cbind bbg.wola.* uacc(none) permit bbg.wola.* class(cbind) access(read) id(username)
SAF 명령 및 구문에 대한 자세한 정보는 해당 z/OS 버전의 문서를 참조하십시오.
- CBIND 클래스에서 Liberty 서버의 프로파일을 정의하십시오. 프로파일 이름은 BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>입니다.
여기서 WOLA1, WOLA2 및 WOLA3은 server.xml 파일의
<zosLocalAdapters> 요소에 지정된 최적화 어댑터 그룹 이름의 세 파트입니다. SAF RDEFINE TSO 명령을 사용하여 프로파일을 정의할 수 있습니다. 예를 들어, 다음 명령은
WOLA 그룹을 위해 CBIND 클래스에 LIB1.LIB2.LIB3이라는 프로파일을 작성합니다.
- 보안을 사용하여 CICS 링크 서버를 실행 중인 경우, 사용자 ID 어설션을 사용하도록 CICS를 구성하십시오.
- CICS 리젼이 보안이 설정되고
EXEC CICS START 검사가 설정된 상태로
실행 중인지 확인하십시오.
- 매개변수 SEC=YES를 지정하여 CICS 시작 시 보안을 사용으로 설정하십시오.
- 매개변수 XUSER=YES를 지정하여 시작 시 EXEC CICS START 검사를 사용으로 설정하십시오.
CICS 시스템 초기화 매개변수에 대한 자세한 정보는 해당 CICS 버전의 문서를 참조하십시오.
- 링크 서버의 사용자 ID가 EXEC CICS START TRAN('BBO#') USERID(<propagated_id>) 명령을 실행하도록 허용하는
SAF(System Authorization Facility) SURROGAT 클래스 정의를 작성하십시오. 다음 예제는 USER1 사용자 ID에 대해 정의된 SURROGAT 클래스를 나타냅니다. 이 클래스는 사용자 ID OLASERVE가 EXEC CICS START TRANS(BBO#) USERID(USER1) 명령을 실행하고 USER1 ID로 실행되는 최적화 로컬 어댑터 CICS 링크 트랜잭션을 처리할 수 있게 해줍니다.
RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE) SETROPTS RACLIST(SURROGAT) REFRESH
SURROGAT 클래스 정의에 대한 자세한 정보는 해당 CICS 버전의 문서를 참조하십시오.
- CICS 리젼이 보안이 설정되고
EXEC CICS START 검사가 설정된 상태로
실행 중인지 확인하십시오.
- CBIND가 SAF(System Authorization Facility)에서 사용으로 설정된 경우,
최적화 로컬 어댑터를 사용할 클라이언트에 액세스 권한을 부여하십시오.

파일 이름: twlp_dat_security_out.html