z/OS での Liberty 用の管理者ロールのマップ
z/OS® で Liberty 用に z/OS ユーザーを管理者ロールにマップするには、SAF 鍵リングおよび RACF® 許可を構成する必要があります。
このタスクについて
SAF 鍵リングおよび RACF 許可を使用する z/OS ユーザーについて、SSL 定義が SAF を指すようにする必要があり、管理者ロールは RACF で定義されます。
手順
- SAF を使用して SSL 定義を構成します。以下は、サンプル構成です。
<featureManager> <feature>zosSecurity-1.0</feature> <feature>restConnector-1.0</feature> </featureManager> <sslDefault sslRef="defaultSSLSettings" /> <ssl id="defaultSSLSettings" keyStoreRef="CellDefaultKeyStore" trustStoreRef="CellDefaultTrustStore" /> <keyStore id="CellDefaultKeyStore" location="safkeyring:///WASKeyring2048" type="JCERACFKS" password="keystorepassword" fileBased="false" readOnly="true" /> <keyStore id="CellDefaultTrustStore" location="safkeyring:///WASKeyring2048" type="JCERACFKS" password="truststorepassword" fileBased="false" readOnly="true" />
- RACF 許可を使用して管理者ロールを構成します。
ユーザーを管理者ロールに割り当てるには、ロールに関連付けられた SAF プロファイルに対するアクセス権限をユーザーに付与する必要があります。詳しくは、『Liberty: ロールを SAF プロファイルにマップする方法の制御』を参照してください。
デフォルトでは、管理者ロールの SAF プロファイル名は BBGZDFLT.com.ibm.ws.management.security.resource.Administrator です。このプロファイルは EJBROLE SAF クラスに存在している必要があり、また管理者ユーザーは、このプロファイルに対する READ 権限が付与されている必要があります。
以下に、ユーザー mstone1 用の RACF コマンドの例を示します。RDEFINE EJBROLE BBGZDFLT.com.ibm.ws.management.security.resource.Administrator UACC(NONE) PERMIT BBGZDFLT.com.ibm.ws.management.security.resource.Administrator ID(MSTONE1) ACCESS(READ) CLASS(EJBROLE)
親トピック: Liberty へのセキュア JMX 接続の構成
関連タスク:

ファイル名: twlp_sec_mapadmin_zos.html