For z/OS platforms

z/OS での SAF レジストリーのアクティブ化および構成

System Authorization Facility (SAF) レジストリーは、セキュリティー関連の機能 (ユーザーの認証、ユーザー、グループ、またはユーザーに関連付けられたグループに関する情報の取得など) を実行するために必要な情報を保持します。SAF レジストリーのアクティブ化および構成は、構成ファイル server.xml を使用して行います。また、SAF 許可を使用するよう Liberty サーバーを構成することもできます。

このタスクについて

server.xml ファイルに適切な機能を追加することによって、以下のタスクを実行できます。
  • SAF ユーザー・レジストリーをアクティブ化します。
  • 許可サービスを使用するように SAF ユーザー・レジストリーを構成します。
  • SAF ユーザー・レジストリーをアプリケーションで使用可能にします。
  • SAF ユーザー・レジストリーを構成します。
デフォルトでは、SAF レジストリーは、無許可の UNIX System Services (USS) を使用して認証を実行します。 パフォーマンスを向上させるために、SAFCRED リソースを構成して、許可 SAF サービスを使用可能にすることもできます。詳しくは、『z/OS 用 Liberty での z/OS 許可サービスの使用可能化』を参照してください。

SAF 許可を使用するよう Liberty サーバーを構成する方法について詳しくは、Liberty でのアプリケーションの許可の構成を参照してください。

注:

LDAP レジストリーと、基本レジストリーまたは SAF レジストリーを使用する場合、ユーザー・レジストリーは自動的に統合されます。 Liberty では、1 つのみのレルムがサポートされます。1 次レルムが特定された状態で統合リポジトリーを指定しないと、定義されたユーザー・レジストリーの 1 つから、いずれかのレルム名が使用されます。

複数のレジストリーを使用していて、ユーザーのレルム名に基づいたアクションを実行する場合は、primaryRealm 属性が定義された federatedRepository を定義してください。

手順

  1. SAF ユーザー・レジストリーをアクティブ化します。 zosSecurity-1.0 フィーチャーを server.xml ファイルに追加します。
    <feature>zosSecurity-1.0</feature> 
    注: デフォルトでは、SAF ユーザー・レジストリーは、無許可の UNIX System Services サービス (__passwd など) を使用して認証を実行します。
  2. パフォーマンス向上のため、SAF ユーザー・レジストリーを構成し、SAFCRED リソースの構成によって initACEE などの許可サービスを使用して認証を実行するようにします。詳しくは、『z/OS 用 Liberty での z/OS 許可サービスの使用可能化』を参照してください。
  3. Web アプリケーション用の servlet-3.0 フィーチャーまたは EJB アプリケーション用の ejbLite-3.1 フィーチャーとともに、フィーチャー appSecurity-2.0 を追加して、アプリケーション・セキュリティーを使用可能にします。
    <feature>zosSecurity-1.0</feature>
    <feature>appSecurity-2.0</feature>
    <feature>servlet-3.0</feature>
    <feature>ejbLite-3.1</feature>
  4. server.xml ファイルに safRegistry エレメントを追加して、SAF レジストリーを構成します。
    <safRegistry id="saf" realm="myrealm" />
    safRegistry エレメントには以下の属性があります。
    ID
    このレジストリー・インスタンスを一意的に識別する ID。この ID は、任意のものにすることができますが、基本レジストリーや LDAP レジストリーなどの構成されている他のレジストリーについて、固有でなければなりません。この ID を使用して、 server.xml ファイルの他のエレメントでこのレジストリー・インスタンスを参照することができます。
    realm
    SAF レジストリーに関連付けられたレルム。レルムを指定しなかった場合は、デフォルトはシスプレックス名 (ECVTSPLX) です。サーバーが SAFCRED リソースを使用する権限を備えている場合は、デフォルト・レルムは、REALM クラスの SAFDFLT プロファイルにある APPLDATA フィールドを抽出することで、SAF 製品から読み取られます。 このフィールドが空の場合は、デフォルト・レルムが使用されます。

トピックのタイプを示すアイコン タスク・トピック

ファイル名: twlp_config_zos_saf.html