z/OS 用の Liberty でのアウトバウンド・サポートのための最適化されたローカル・アダプターの保護
Liberty サーバーからアウトバウンド呼び出しを行う WebSphere® Optimized Local Adapters (WOLA) 接続を保護します。
手順
- オプション: サーバー・サイドのセキュリティーをセットアップします。
- サーバー・セキュリティーが適用された z/OS® 上の Liberty サーバーを実行します。 詳しくは、『Liberty でのアプリケーションの許可の構成』および『z/OS 用 Liberty での z/OS 許可サービスの使用可能化』を参照してください。
- Liberty サーバーから顧客情報管理システム (CICS®) に呼び出しを行い、CICS リンク・サーバーでセキュリティーが使用可能になっている場合は、ターゲット CICS プログラムを実行するユーザー ID を選択します。
デフォルトでは、呼び出しサブジェクトは、ターゲット CICS プログラムを実行する MVS ユーザー ID を取得します。呼び出しサブジェクトは、最適化されたローカル・アダプター要求を行うアプリケーション・コンポーネントを実行するサブジェクトです。 多くの場合、このサブジェクトは、アプリケーション・デプロイメント記述子に構成されている run-as ID です。
以下の 3 つの方法で、呼び出しサブジェクトに代替サブジェクトを定義できます。- 接続ファクトリー構成で、authData エレメントにユーザー ID とパスワードを指定し、そのエレメントを connectionFactory エレメントで参照する。以下の例では、最適化されたローカル・アダプターの接続ファクトリーは、auth2 authData エレメントを参照しています。このエレメントは、ユーザー ID user2 とそれに関連付けられているパスワードを指定しています。
<connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2"> <properties.ola RegisterName="OLASERVER"/> </connectionFactory> <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>
接続ファクトリーの構成について詳しくは、JCA 接続ファクトリーの構成を参照してください。
- システム管理者は、最適化されたローカル・アダプターの接続ファクトリーでユーザー ID とパスワードを指定できます。詳しくは、『Liberty プロファイルでの最適化されたローカル・アダプターの接続ファクトリー・プロパティー』を参照してください。
- アプリケーション開発者は、最適化されたローカル・アダプターの接続ファクトリーから接続を取得する ConnectionSpec オブジェクトでユーザー ID とパスワードを指定できます。
セキュリティー・サービスは、指定されたユーザー ID とパスワードを使用して認証を試みます。認証が正常に行われた場合、新しいサブジェクトは、ターゲット CICS プログラムを実行する MVS ユーザー ID を取得します。
- 接続ファクトリー構成で、authData エレメントにユーザー ID とパスワードを指定し、そのエレメントを connectionFactory エレメントで参照する。以下の例では、最適化されたローカル・アダプターの接続ファクトリーは、auth2 authData エレメントを参照しています。このエレメントは、ユーザー ID user2 とそれに関連付けられているパスワードを指定しています。
- OTMA を使用して Liberty サーバーから IBM 情報管理システム (IMS) へ呼び出しを行っている場合、Liberty サーバーおよびアプリケーションの両方が sync-to-OS-thread を使用するように構成されていれば、Liberty サーバーは現行ユーザー ID を IMS 領域に伝搬することができます。IMSPBxxx PROCLIB メンバー内にオプション OTMASE=FULL が指定されて IMS 領域が実行している必要もあります。
- クライアント・サイドのセキュリティーをセットアップします。
- System Authorization Facility (SAF) で CBIND を使用可能にしている場合、最適化されたローカル・アダプターを使用するクライアントにアクセス権限を付与します。
- CBIND クラスに Liberty サーバーのプロファイルを定義します。プロファイル名は、BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3> です。
ここで、WOLA1、WOLA2、および WOLA3 は、
server.xml ファイル内の <zosLocalAdapters> エレメントで指定されている、最適化されたアダプター・グループ名の 3 つの部分です。SAF RDEFINE TSO コマンドを使用して、プロファイルを定義できます。例えば、以下のコマンドは、LIB1.LIB2.LIB3 という名前の WOLA グループのプロファイルを CBIND クラスに作成します。
rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
- プロファイルに対する読み取り権限を許可します。例えば、以下のコマンドでは、bbg.wola.lib1.lib2.lib3 プロファイルでユーザー名 username に対して読み取り権限を許可します。
permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
アスタリスクを使用して複数のプロファイルに対するアクセスをユーザーに許可することができます。 以下の例では、CBIND クラス内の bbg.wola で始まるすべてのプロファイルについて、読み取りアクセスをユーザー username に許可します。rdef cbind bbg.wola.* uacc(none) permit bbg.wola.* class(cbind) access(read) id(username)
SAF コマンドおよび構文について詳しくは、ご使用のバージョンの z/OS の資料を参照してください。
- CBIND クラスに Liberty サーバーのプロファイルを定義します。プロファイル名は、BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3> です。
ここで、WOLA1、WOLA2、および WOLA3 は、
server.xml ファイル内の <zosLocalAdapters> エレメントで指定されている、最適化されたアダプター・グループ名の 3 つの部分です。SAF RDEFINE TSO コマンドを使用して、プロファイルを定義できます。例えば、以下のコマンドは、LIB1.LIB2.LIB3 という名前の WOLA グループのプロファイルを CBIND クラスに作成します。
- セキュリティーが使用可能な状態で CICS リンク・サーバーを実行している場合、ユーザー ID アサーションを使用可能にするように CICS を構成します。
- 実行中の CICS 領域で、セキュリティーが有効になっていること、および EXEC CICS START の確認が有効になっていることを確認します。
- パラメーター SEC=YES を指定することによって、CICS 始動時にセキュリティーを使用可能にします。
- パラメーター XUSER=YES を指定することによって、始動時の EXEC CICS START 検査を使用可能にします。
CICS システム初期設定パラメーターについて詳しくは、ご使用のバージョンの CICS の資料を参照してください。
- リンク・サーバーのユーザー ID が EXEC CICS START TRAN('BBO#') USERID(<propagated_id>) コマンドを発行するのを許可する System Authorization Facility (SAF) SURROGAT クラス定義を作成します。以下の例では、ユーザー ID USER1 に対して定義された SURROGAT クラスを示しています。このクラスにより、ユーザー ID OLASERVE は、EXEC CICS START TRANS(BBO#) USERID(USER1) コマンドを実行し、ID USER1 で実行された、最適化されたローカル・アダプターの CICS リンク・トランザクションを処理できます。
RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE) SETROPTS RACLIST(SURROGAT) REFRESH
SURROGAT クラスの定義について詳しくは、ご使用のバージョンの CICS の資料を参照してください。
- 実行中の CICS 領域で、セキュリティーが有効になっていること、および EXEC CICS START の確認が有効になっていることを確認します。
- System Authorization Facility (SAF) で CBIND を使用可能にしている場合、最適化されたローカル・アダプターを使用するクライアントにアクセス権限を付与します。

ファイル名: twlp_dat_security_out.html