WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

z/OS System Authorization Facility 許可

このページを使用して、System Authorization Facility (SAF) および SAF 許可プロパティーを構成します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・レジストリー」の下の「カスタム」、「LDAP」、または「ローカル OS」をクリックします。
  3. 「追加プロパティー」の下の「z/OS SAF properties」をクリックします。

非認証ユーザー、SAF 許可、および SAF EJBROLE メッセージ抑止に共通のプロパティーは、 カスタム・プロパティーではなくなりました。

「構成」タブ

非認証ユーザー ID

SAF 許可の指定時またはローカル・オペレーティング・システム・レジストリーの構成時に、無保護サーブレット要求を表すために使用される MVS ユーザー ID を指定します。 このユーザー ID は、最大で 8 文字の長さである必要があります。

このプロパティー定義は、以下のインスタンスで使用されます。
  • 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
  • res-auth=container の場合に現在の ID を使用する z/OS コネクター (Customer Information Control System (CICS)、 Information Management System (IMS) など) を呼び出すための、無保護サーブレットの識別。
  • アプリケーション主導の Synch to OS Thread 機能が試行される場合。
詳しくは、インフォメーション・センターの以下の項目を参照してください。
  • 「application Synch to OS Thread Allowed」の理解
  • 「application Synch to OS Thread Allowed」を使用する時期
許可

Java 2 Platform, Enterprise Edition アプリケーションと、アプリケーション・サーバー・ランタイムに関連付けられた役割ベースの許可要求 (ネーミングおよび管理) の両方について、ユーザーの役割許可に SAF EJBROLE プロファイルが使用されることを指定します。

Lightweight Access Directory Protocol (LDAP) レジストリーまたはカスタム・レジストリーを構成し、 SAF 許可を指定している場合は、protected メソッドの実行には、ログインするたびに z/OS プリンシパルへのマッピングが必要です。
  • 認証メカニズムが Lightweight Third Party Authentication (LTPA) である場合は、 以下の構成エントリーをすべて更新して、有効な z/OS プリンシパル (WEB_INBOUND、RMI_INBOUND、 DEFAULT など) にマッピングを組み込むことをお勧めします。
  • 認証メカニズムが Simple WebSphere Authentication Mechanism (SWAM) である場合は、SWAM 構成エントリーを更新して、有効な z/OS プリンシパルへのマッピングを組み込む必要があります。
SMF 監査レコード計画

どのような場合に System Management Facility (SMF) に監査レコードが書き込まれるのかを決定します。各許可呼び出しでは、 RACF または同等の SAF ベースの製品は、権限チェックの結果を含む監査レコードを SMF に書き込むことができます。

WebSphere Application Server for z/OS は、SAF RACROUTE AUTH および RACROUTE FASTAUTH オペレーションを使用し、セキュリティー構成で指定された LOG オプションを渡します。オプションは DEFAULT、ASIS、NOFAIL、および NONE です。

このプロパティーを設定するには、管理コンソールで以下のステップを完了します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
  3. 新規」をクリックします。
  4. 名前」フィールドに、com.ibm.security.SAF.Authz.Log.Option と入力します。
  5. 」フィールドで、以下の値のいずれかを入力します。
    DEFAULT

    ユーザーが役割のセットの 1 つに該当する必要があるなど、複数の役割の制約が指定されている場合、最後の役割を除くすべての役割は、NOFAIL オプションによりチェックされます。 最後の役割は、ASIS オプションによりチェックされます。この方法では、許可が役割のいずれか 1 つに認可されている場合、WebSphere Application Server により許可の成功レコードが書き込まれます。これらの役割で許可が成功しない場合には、失敗レコードは書き込まれません。

    ASIS
    プロファイル内で指定された方法で、監査イベントが記録されることを指定します。または、SETROPTS オプションにより指定された方法で、 リソースを保護する監査イベントを指定します。
    NOFAIL
    失敗を記録しないことを指定します。許可の失敗メッセージは発行されませんが、 成功した許可監査レコードは書き込まれることがあります。
    NONE
    失敗も成功も記録しないことを指定します。

複数の SAF 許可呼び出しが行われた場合であっても、 失敗した J2EE 許可チェックに対して 1 つの許可失敗レコードのみが書き込まれます。 SAF RACROUTE AUTH および RACROUTE FASTAUTH の LOG オプションについて詳しくは、RACF または同等の SAF ベースの製品の資料を参照してください。

com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーに伴う com.ibm.security.SAF.Authz.Log.Option プロパティーは、ICH408I 失敗メッセージを制御するために使用することができます。




関連概念
System Authorization Facility のユーザー・レジストリー
関連タスク
リソースへのアクセスの許可
カスタム SAF EJB 役割マッパーの開発
関連資料
監査サポート
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/usec_safpropszos.html