WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

WebSphere Application Server をカスタマイズする際の Resource Access Control Facility のヒント

RACF (あるいはご使用のセキュリティー製品) で CBIND、SERVER、および STARTED クラスによるサーバー・リソースの保護に使用されるセキュリティー・メカニズムについて知っておくことは重要です。 この文書では、これらのメカニズムとあわせて、セキュリティー環境を管理する技法についても説明します。

RACF (あるいはご使用のセキュリティー製品) で CBINDSERVER、および STARTED クラスによるサーバー・リソースの保護に使用されるセキュリティー・メカニズムについて知っておくことは重要です。 この文書では、これらのメカニズムと、セキュリティー環境を管理するその他の技法について説明します。

本項の最初の部分では、以下のクラスを使用する WebSphere サーバーおよびリソースの保護に使用される RACF プロファイルの詳細について説明します。

次の部分では、セル内の他のサーバーで必要な RACF プロファイルおよび許可の追加について説明します。

最後の部分では、ユーザー、グループおよびプロファイルのテスト環境用最小セットを定義する方法について説明し ます (テスト環境では、個々のサーバーのセキュリティーは主な焦点や関心事ではありません)。

RACF プロファイル (CBINDSERVER、 および STARTED): WebSphere で使用される RACF プロファイルの基礎的な情報は、 System Authorization Facility のクラスおよびプロファイル に記載されています。 このセクションでは、CBINDSERVER、および STARTED クラスのプロファイルに関する追加情報について述べます。

ユーザー ID およびグループ ID: BBOCBRAJ ジョブは、WebSphere カスタマイズ・ダイアログの一部として RACF コマンドを生成し、そのコマンドによって BBOWBRAK ジョブが実行できます。 キー:
CR = コントローラー領域
SR = サーバント領域
CFG = 構成 (グループ)
server = サーバーのショート・ネーム
cluster = 汎用サーバーの (ショート) ネーム (クラスター遷移名ともいう)
まず、次のように、6 人のユーザーと 6 つのグループを定義します。 ここでは、そのユーザーとグループが後にさまざまな許可でどのように使用されるかをわかりやすくするために、 ユーザーとグループを記号で表します。
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>

WebSphere のサーバーおよびリソースを保護するために、許可やアクセス・レベルとあわせて使用される各種のプロファイルは、次のとおりです。

CBIND クラス・プロファイル: CBIND クラス・プロファイルはアプリケーション・サーバーとそのサーバー内のオブジェクトへのアクセスを保護するためのもので、次の 2 種類のフォーマットとレベルがあります。
CBIND クラス・プロファイル - 汎用サーバーへのアクセス
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)

CBIND クラス・プロファイル - サーバー内のオブジェクトへのアクセス
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)

SERVER クラス・プロファイル: SERVER クラス・プロファイルはサーバー・コントローラー領域へのアクセスを保護するためのもので、現時点では 2 種類のフォーマットがあります。 Dynamic Application Environment (DAE) のサポートが使用可能になっているかどうかによって、 単一フォーマットの SERVER プロファイルを定義する必要があります。 これは、WLM DAE APAR OW54622 (z/OS V1R2 以上に適用できます) を使用して行われます。

カスタマイズ・ダイアログでは、両方のフォーマットが事前定義されていますが、実行時に実際必要になるのは、そのうちの 1 つです。 必要なフォーマットは、WebSphere Application Server for z/OS Runtime が 、Dynamic Application Environment (DAE) サポートの可用性に基づいて、動的に決定します。
STARTED クラス・プロファイル: STARTED クラス・ プロファイルは、ユーザー ID とグループ ID を コントローラー領域やその他の STC に割り当てるために 使用されるもので、2 つのフォーマットがあります。 開始済みのタスクが MGCRE インターフェースで開始されたか、 アドレス・スペース作成 (ASCRE) インターフェース (Workload Manager (WLM) がサーバント領域の開始に使用したもの) で開始されたかによって、 そのフォーマットが決まります。
STARTED クラス・プロファイル - (MGCRE)
<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))

STARTED クラス・プロファイル - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))

IJP 用の STARTED クラス・プロファイル - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))

新規サーバーに対する新規ユーザー ID およびプロファイルの生成: 新規のアプリケーション・サーバーごとに固有のユーザー ID を使用する場合は、これらのユーザー、グループ、およびプロファイルを RACF データベースで定義する必要があります。

その方法の 1 つとして、ISPF カスタマイズ・ダイアログの ターゲット .DATA 区分データ・セット にある、BBOWBRAK メンバーのコピーを編集して、 以下のエントリーを新規のユーザー、グループ、 固有の New_server 名、 および New_cluster 名の プロファイルに変更する、というものがあります。
Minimalist Profile: RACF データ・セットでユーザー、グループ、およびプロファイルの数を最小限にとどめるために、1 つのユーザー ID と 1 つのグループ ID、および汎用性の高いプロファイルを使用して、同一セル内の複数のサーバーをカバーできるようにするものです。 以下は、T5CELL に 1 人のユーザー (T5USR)、1 つのグループ (T5GRP)、 および複数サーバーのセットを持つプロファイルの例です。ここには、T5SRV* で始まるサーバーのショート・ネームと、T5CL* で始まる汎用サーバー名が含まれています。 この手法は、統合 JMS プロバイダー (IJP) および Network Deployment (ND) の構成でも使用できます。
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */



関連タスク
CBIND を使用したクラスターへのアクセスの制御
関連資料
リソース・アクセス管理機能ツール
セキュリティーのチューニング・ヒント
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_racftips.html