どのような場合に System Management Facility (SMF) に監査レコードが書き込まれるのかを決定します。各許可呼び出しでは、
RACF または同等の SAF ベースの製品は、権限チェックの結果を含む監査レコードを SMF に書き込むことができます。
WebSphere Application Server for z/OS は、SAF RACROUTE AUTH および RACROUTE FASTAUTH オペレーションを使用し、セキュリティー構成で指定された LOG オプションを渡します。オプションは DEFAULT、ASIS、NOFAIL、および NONE です。
このプロパティーを設定するには、管理コンソールで以下のステップを完了します。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
- 「新規」をクリックします。
- 「名前」フィールドに、com.ibm.security.SAF.Authz.Log.Option と入力します。
- 「値」フィールドで、以下の値のいずれかを入力します。
- DEFAULT
ユーザーが役割のセットの 1 つに該当する必要があるなど、複数の役割の制約が指定されている場合、最後の役割を除くすべての役割は、NOFAIL オプションによりチェックされます。
最後の役割は、ASIS オプションによりチェックされます。この方法では、許可が役割のいずれか 1 つに認可されている場合、WebSphere Application Server により許可の成功レコードが書き込まれます。これらの役割で許可が成功しない場合には、失敗レコードは書き込まれません。
- ASIS
- プロファイル内で指定された方法で、監査イベントが記録されることを指定します。または、SETROPTS オプションにより指定された方法で、
リソースを保護する監査イベントを指定します。
- NOFAIL
- 失敗を記録しないことを指定します。許可の失敗メッセージは発行されませんが、
成功した許可監査レコードは書き込まれることがあります。
- NONE
- 失敗も成功も記録しないことを指定します。
複数の SAF 許可呼び出しが行われた場合であっても、
失敗した J2EE 許可チェックに対して 1 つの許可失敗レコードのみが書き込まれます。
SAF RACROUTE AUTH および RACROUTE FASTAUTH の LOG オプションについて詳しくは、RACF または同等の SAF ベースの製品の資料を参照してください。
com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーに伴う com.ibm.security.SAF.Authz.Log.Option プロパティーは、ICH408I 失敗メッセージを制御するために使用することができます。