各コントローラー、サーバント、およびクライアントは、それぞれ独自の MVS ユーザー ID を備えている必要があります。 要求が、クライアントからクラスターへ、 またはクラスターからクラスターへ送られるときに、WebSphere Application Server for z/OS は、 要求と共にユーザー識別 (クライアントまたはクラスター) を渡します。 このように、ユーザー識別のために各要求が実行され、 システムは、ユーザー識別がこのような要求を行う権限を持っているかどうかを確認します。 この項の表には、SAF および SAF 以外の許可の概要を示します。
コントローラーとサーバントはそれぞれ、 開始済みタスクの定義の一部として割り当てられる、 有効な MVS ユーザー ID の下で実行されなければなりません。 この MVS ユーザー ID は、 有効な UNIX システム・サービスのユーザー識別 (UID) を持ち、 有効な MVS および UNIX システム・サービスのグループ識別 (GID) を持つ、 セル内のすべてのサーバーに共通の WebSphere 構成グループに関連付けられている必要があります。
制御 | 許可 |
---|---|
DATASET クラス | データ・セットへのアクセス |
DSNR クラス | DB2 へのアクセス |
FACILITY クラス (BPX.WLMSERVER) | BPX.WLMSERVER プロファイルにアクセスして、サーバントの作業負荷マネージャー (WLM) 別プログラム管理を実行します。 このアクセスがなければ、クラス分けは実行できません。 |
FACILITY クラス (IMSXCF.OTMACI) | Open Transaction Manager Access (OTMA) for Information Management System (IMS) へのアクセスおよび BPX.WLMSERVER プロファイルへのアクセス |
HFS ファイル許可 | Hierarchical File System (HFS) ファイルへのアクセス |
LOGSTRM クラス | ログ・ストリームへのアクセス |
OPERCMDS クラス | startServer.sh シェル・スクリプト および Integral JMSProvider へのアクセス |
SERVER クラス | サーバントによる、コントローラーへのアクセス |
STARTED クラス | プロシージャーを開始するためにユーザー ID (およびオプションでグループ ID) を関連付ける |
SURROGAT クラス (*.DFHEXCI) | EXCI for Customer Information Control System (CICS) へのアクセス |
カスタマイズ・ダイアログおよび RACF カスタマイズ・ジョブは、 これらを *'ed プロファイル用の初期サーバー設定にセットアップします。
J2EE アプリケーションによってアクセスされるその他のすべての MVS サブシステム・リソースに対する MVS SAF 許可は通常、サーバントの MVS ユーザー ID の識別を使用して実行されることに注意してください。 詳しくは、Java 2 Platform, Enterprise Edition ID および オペレーティング・システム・スレッド ID を参照してください。
FACILITY クラスの BPX.WLMSERVER プロファイルは、アドレス・スペース を許可するために使用され、サーバー領域でワークロード管理を実行する ワークロード管理 (WLM) と連動する言語環境 (LE) ラ ンタイム・サービスを使用します。 これらの LE ランタイム・サービスは WebSphere Application Server が 別プログラムから種別情報を抽出し、別プログラムと作業との関連付けを管 理するために使用します。 コントローラーからサーバントへ渡されなかったサーバー領域作業の WLM 別プログラムの操作には、未許可のインターフェースが使われるため、 WebSphere Application Server のサーバントでは、このプロファイルに 対する読み取りアクセスが許可されていなければなりません。 この許可がなくては、java.lang.SecurityException で WLM 別プ ログラムを作成、削除、結合、あるいはそのままにしようとしても失敗します。
グローバル・セキュリティーが使用可能である場合は、 暗号化およびメッセージ保護で SSL が有効でなければなりません。 さらに、J2EE と管理クライアントの認証および権限も使用可能です。
グローバル・セキュリティーが使用可能であるときは、SSL サービスで 必要な FACILITY クラス権限および SAF 鍵リングの定義が必要です。
要求が、クライアントから WebSphere Application Server へ、 またはクラスターからクラスターへ送られる場合、WebSphere Application Server for z/OS は、 要求と共にユーザー識別 (クライアントまたはクラスター) を渡します。 したがって、各要求はユーザー識別の代わりに実行され、システムは、そのユーザー識別がそのような要求を行う権限を持っているかどうかを検査します。 この説明の表には、SAF を使用する z/OS 固有の権限の概要を示します。
制御 | 許可 |
---|---|
CBIND クラス | クラスターへのアクセス |
EJBROLE または GEJBROLE クラス | エンタープライズ Bean のメソッドへのアクセス |
FACILITY クラス (IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING) | SSL 鍵リング、証明書、およびマッピング |
FACILITY クラス (IRR.RUSERMAP) | Kerberos クレデンシャル |
PTKTDATA クラス | シスプレックスで使用可能なパスチケット |
OS スレッド識別を RunAs 識別に設定する | J2EE 以外のリソースの開始識別を使用可能にするために使用される J2EE クラスター・プロパティー |