WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

z/OS セキュリティー・オプション

z/OS 用のアプリケーション・サーバーに指定するセキュア管理、アプリケーション、およびインフラストラクチャー・オプションを決定するには、このページを使用します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「追加プロパティー」の下の「z/OS security options」をクリックします。
この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
  3. 「追加プロパティー」の下の「z/OS security options」をクリックします。

初めてセキュリティーの構成を行うときには、変更を行う前に、『セキュア管理、アプリケーション、およびインフラストラクチャーの構成』に記載されたステップを実行してください。セキュリティーを構成した後で、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 セキュア管理、アプリケーション、およびインフラストラクチャーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を減少させることができます。

「構成」タブ

OS スレッドの同期サポート

アプリケーションがこの機能を要求するようコーディングされている場合、 オペレーティング・システムのスレッド識別が、アプリケーション・サーバーのランタイムで 使用される Java 2 Platform、Enterprise Edition (J2EE) 識別と同期化できるかどうかを示します。

オペレーティング・システム識別と J2EE 識別を同期化すると、オペレーティング・システム識別は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans (EJB) ファイルでの代行 RunAs 識別と同期化されます。 この同期化または関連とは、サーバー領域識別ではなく、呼び出し元またはセキュリティー役割識別が、 ファイルへのアクセスなどの z/OS システム・サービス要求に使用されることを意味します。

この機能をアクティブにするために、以下の条件をすべて true にする必要があります。
  • 「Sync to OS thread allowed」値は true です。
  • アプリケーションは、デプロイメント記述子内に、true に設定される com.ibm.websphere.security.SyncToOSThread の env-entry を組み込みます。
  • 構成されたレジストリーはローカル OS です。
これらの条件が true の場合、OS スレッド識別は最初、 Web または EJB 要求の認証呼び出し元に設定されます。 J2EE 識別が変更されると、OS スレッドは変更されます。J2EE 識別は、デプロイメント記述子 の RunAs 仕様か、またはプログラマチック WSSubject.doAs() 要求のいずれか によって、変更することができます。
注: サーブレットがセキュリティー制約なしでデプロイされると、OS スレッドは、 ローカル OS レジストリー定義 (com.ibm.security.SAF.unauthenticated) 内の構成された非認証 ID プロパティーの値に設定されることに注意してください。

デフォルト設定である「OS スレッドへの同期の許可」値が false の場合は、 インストール済みアプリケーションのデプロイメント記述子のデプロイメント記述子設定の オペレーティング・システム・スレッドで ID を変更する機能は使用不可です。 サーバーが同期化を使用可能にするように構成されておらず、 アプリケーションのデプロイメント記述子 com.ibm.websphere.security.SyncToOSThread が true に設定されている場合、 警告 BBOJ0080W (「EJB が SyncToOSThread オプションを要求したが、サーバーが SyncToOSThread オプションに対応していない」という内容) が発行されます。

スレッド識別サポートを使用する J2EE コネクター・アーキテクチャー (J2CA) コネクターは、 すべてスレッド識別をサポートしている必要があります。 顧客情報管理システム (CICS)、情報管理システム (IMS)、および DB2 は、スレッド識別をサポートします。 CICS および IMS では、ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと 同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。 DB2 では、常にスレッド識別がサポートされます。 コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。

データ型 ブール
デフォルト 使用不可
範囲 使用可能または使用不可

重要: このオプションは、セキュリティー監査に使用される SMF 80 のレコード数を著しく増加させます。 また、セキュリティー監査が SMF 80 のレコードに対してオンにされると、DASD の使用量は著しく増加します。




関連概念
Java 2 Platform, Enterprise Edition ID および オペレーティング・システム・スレッド ID
Application Synch to OS Thread Allowed
接続マネージャー RunAs ID の使用可能化およびシステム・セキュリティー
「application Synch to OS Thread Allowed」を使用する時期
「Synch to OS Thread Allowed」オプションの設定に関する考慮事項
Java スレッド ID とオペレーティング・システム・スレッド ID
関連タスク
Lightweight Directory Access Protocol クライアントのための Secure Sockets Layer の構成
レルムのセキュリティーの使用可能化
関連資料
管理コンソールのボタン
管理コンソールの有効範囲設定
管理コンソールの設定の変更
グローバル・セキュリティーの設定
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/usec_zos_globalsec.html