RACF (あるいはご使用のセキュリティー製品) で CBIND、SERVER、および STARTED クラスによるサーバー・リソースの保護に使用されるセキュリティー・メカニズムについて知っておくことは重要です。 この文書では、これらのメカニズムとあわせて、セキュリティー環境を管理する技法についても説明します。
RACF (あるいはご使用のセキュリティー製品) で CBIND、SERVER、および STARTED クラスによるサーバー・リソースの保護に使用されるセキュリティー・メカニズムについて知っておくことは重要です。 この文書では、これらのメカニズムと、セキュリティー環境を管理するその他の技法について説明します。
次の部分では、セル内の他のサーバーで必要な RACF プロファイルおよび許可の追加について説明します。
最後の部分では、ユーザー、グループおよびプロファイルのテスト環境用最小セットを定義する方法について説明し ます (テスト環境では、個々のサーバーのセキュリティーは主な焦点や関心事ではありません)。
RACF プロファイル (CBIND、SERVER、 および STARTED): WebSphere で使用される RACF プロファイルの基礎的な情報は、 System Authorization Facility のクラスおよびプロファイル に記載されています。 このセクションでは、CBIND、SERVER、および STARTED クラスのプロファイルに関する追加情報について述べます。
CR = コントローラー領域 SR = サーバント領域 CFG = 構成 (グループ) server = サーバーのショート・ネーム cluster = 汎用サーバーの (ショート) ネーム (クラスター遷移名ともいう)
<CR_userid> <CR_groupid>, <CFG_groupid> <SR_userid> <SR_groupid>, <CFG_groupid> <demn_userid> <demn_groupid>, <CFG_groupid> <admin_userid> <CFG_groupid> <client_userid> <client_groupid> <ctracewtr_userid> <ctracewtr_groupid>
WebSphere のサーバーおよびリソースを保護するために、許可やアクセス・レベルとあわせて使用される各種のプロファイルは、次のとおりです。
CBIND クラス・プロファイル - 汎用サーバーへのアクセス CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL) CBIND クラス・プロファイル - サーバー内のオブジェクトへのアクセス CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)
SERVER クラス・プロファイル: SERVER クラス・プロファイルはサーバー・コントローラー領域へのアクセスを保護するためのもので、現時点では 2 種類のフォーマットがあります。 Dynamic Application Environment (DAE) のサポートが使用可能になっているかどうかによって、 単一フォーマットの SERVER プロファイルを定義する必要があります。 これは、WLM DAE APAR OW54622 (z/OS V1R2 以上に適用できます) を使用して行われます。
STARTED クラス・プロファイル - (MGCRE) <CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid)) <demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid)) STARTED クラス・プロファイル - (ASCRE) <SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid)) IJP 用の STARTED クラス・プロファイル - (MGCRE) <MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))
新規サーバーに対する新規ユーザー ID およびプロファイルの生成: 新規のアプリケーション・サーバーごとに固有のユーザー ID を使用する場合は、これらのユーザー、グループ、およびプロファイルを RACF データベースで定義する必要があります。
<New_CR_userid> <CR_groupid>, <CFG_groupid> <New_SR_userid> <SR_groupid>, <CFG_groupid> <New_client_userid> <client_groupid>
CB.BIND.<New_cluster> CB.<New_cluster>
CB.<New_server>.<New_cluster> CB.<New_server>.<New_cluster>.<cell>
<CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid) GROUP(CFG_groupid)) <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
/* CBIND Class profiles (UACC) - access to generic servers */ CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL) /* CBIND Class profiles (UACC) - access to objects in servers */ CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL) /* SERVER Class profiles - access to controllers (old style) */ CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ) /* SERVER Class profiles - acc to controllers (new style) */ CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ) /* STARTED Class profiles - (MGCRE) - for STCs, except servants */ T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/ T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */ T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/ WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */ /* STARTED Class profiles - (ASCRE - for servants) */ T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */