WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

制御の要約

各コントローラー、サーバント、およびクライアントは、それぞれ独自の MVS ユーザー ID を備えている必要があります。 要求が、クライアントからクラスターへ、 またはクラスターからクラスターへ送られるときに、WebSphere Application Server for z/OS は、 要求と共にユーザー識別 (クライアントまたはクラスター) を渡します。 このように、ユーザー識別のために各要求が実行され、 システムは、ユーザー識別がこのような要求を行う権限を持っているかどうかを確認します。 この項の表には、SAF および SAF 以外の許可の概要を示します。

管理セキュリティー設定から独立した z/OS セキュリティー制御の要約

WebSphere Application Server for z/OS の構成には、 多数の異なるタイプのプロセスが存在します。
  • デプロイメント・マネージャー
  • ノード・エージェント
  • ロケーション・サービス・デーモン
  • WebSphere Application Server
これらは、それぞれ WebSphere Application Server for z/OS コントローラーのプロセスまたはプロセスの対 (コントローラーとサーバント) のいずれかとして表示できます。

コントローラーとサーバントはそれぞれ、 開始済みタスクの定義の一部として割り当てられる、 有効な MVS ユーザー ID の下で実行されなければなりません。 この MVS ユーザー ID は、 有効な UNIX システム・サービスのユーザー識別 (UID) を持ち、 有効な MVS および UNIX システム・サービスのグループ識別 (GID) を持つ、 セル内のすべてのサーバーに共通の WebSphere 構成グループに関連付けられている必要があります。

以下の表に、 オペレーティング・システムのリソースにアクセスするのに、 これらのコントローラーとサーバントで必要な権限を付与するために使用する制御について要約します。 これらの制御を理解して使用することにより、WebSphere Application Server for z/OS でのすべてのリソース・アクセスを制御できます。
表 1. 制御および SAF 許可の要約
制御 許可
DATASET クラス データ・セットへのアクセス
DSNR クラス DB2 へのアクセス
FACILITY クラス (BPX.WLMSERVER) BPX.WLMSERVER プロファイルにアクセスして、サーバントの作業負荷マネージャー (WLM) 別プログラム管理を実行します。 このアクセスがなければ、クラス分けは実行できません。
FACILITY クラス (IMSXCF.OTMACI) Open Transaction Manager Access (OTMA) for Information Management System (IMS) へのアクセスおよび BPX.WLMSERVER プロファイルへのアクセス
HFS ファイル許可 Hierarchical File System (HFS) ファイルへのアクセス
LOGSTRM クラス ログ・ストリームへのアクセス
OPERCMDS クラス startServer.sh シェル・スクリプト および Integral JMSProvider へのアクセス
SERVER クラス サーバントによる、コントローラーへのアクセス
STARTED クラス プロシージャーを開始するためにユーザー ID (およびオプションでグループ ID) を関連付ける
SURROGAT クラス (*.DFHEXCI) EXCI for Customer Information Control System (CICS) へのアクセス

カスタマイズ・ダイアログおよび RACF カスタマイズ・ジョブは、 これらを *'ed プロファイル用の初期サーバー設定にセットアップします。

注: その他のプロファイル許可の例は 、HLQ.DATA(BBOWBRAC) に生成された exec ファイルにあります。 固有のコネクター・リソース (CICS、DB2、IMS) の許可に使用する識別の選択は、 以下によって決まります。
  • コネクターのタイプ
  • デプロイ済みアプリケーションのリソース認証 (resAuth) 設定
  • 別名の可用性
  • セキュリティー設定
DB2、IMS、CICS などのリソース・マネージャーは、 独自のリソース制御をインプリメントしており、 クライアントがリソースにアクセスできるかどうかを制御します。 リソース制御を DB2 で使用する場合は 、DSNR RACF クラスを使用するか (RACF サポートがある場合) または関連する DB2 GRANT ステートメントを実行します。 以下の操作が可能です。
  • OTMA for IMS には FACILITY クラス (IMSXCF.OTMACI) を使用してアクセスします。
  • EXCI for CICS には SURROGAT クラス (*.DFHEXCI) を使用してアクセスします。
  • データ・セットへのアクセスは DATASET クラスを使用して制御し 、HFS ファイルへのアクセスはファイル・アクセス権を使用して制御します。

J2EE アプリケーションによってアクセスされるその他のすべての MVS サブシステム・リソースに対する MVS SAF 許可は通常、サーバントの MVS ユーザー ID の識別を使用して実行されることに注意してください。 詳しくは、Java 2 Platform, Enterprise Edition ID および オペレーティング・システム・スレッド ID を参照してください。

FACILITY クラスの BPX.WLMSERVER プロファイルは、アドレス・スペース を許可するために使用され、サーバー領域でワークロード管理を実行する ワークロード管理 (WLM) と連動する言語環境 (LE) ラ ンタイム・サービスを使用します。 これらの LE ランタイム・サービスは WebSphere Application Server が 別プログラムから種別情報を抽出し、別プログラムと作業との関連付けを管 理するために使用します。 コントローラーからサーバントへ渡されなかったサーバー領域作業の WLM 別プログラムの操作には、未許可のインターフェースが使われるため、 WebSphere Application Server のサーバントでは、このプロファイルに 対する読み取りアクセスが許可されていなければなりません。 この許可がなくては、java.lang.SecurityException で WLM 別プ ログラムを作成、削除、結合、あるいはそのままにしようとしても失敗します。

管理セキュリティーおよびアプリケーション・セキュリティーが使用可能であるときに有効な z/OS セキュリティー制御の要約

管理セキュリティーおよびアプリケーション・セキュリティーが使用可能である場合は、 暗号化およびメッセージ保護で SSL が有効でなければなりません。 さらに、J2EE と管理クライアントの認証および権限も使用可能です。

管理セキュリティーが使用可能であるときは、 SSL サービスで必要な FACILITY クラスの 許可と、SAF 鍵リングの定義が必要です。

要求が、クライアントから WebSphere Application Server へ、 またはクラスターからクラスターへ送られる場合、WebSphere Application Server for z/OS は、 要求と共にユーザー識別 (クライアントまたはクラスター) を渡します。 したがって、各要求はユーザー識別の代わりに実行され、システムは、そのユーザー識別がそのような要求を行う権限を持っているかどうかを検査します。 この説明の表には、SAF を使用する z/OS 固有の権限の概要を示します。

以下の表に、リソースへの許可を与えるために使用される制御を要約します。 これらの制御を理解して使用することにより、WebSphere Application Server for z/OS でのすべての リソースに対するアクセスを制御できます。
表 2. 制御および SAF 許可の要約
制御 許可
CBIND クラス クラスターへのアクセス
EJBROLE または GEJBROLE クラス エンタープライズ Bean のメソッドへのアクセス
FACILITY クラス (IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING) SSL 鍵リング、証明書、およびマッピング
FACILITY クラス (IRR.RUSERMAP) Kerberos クレデンシャル
FACILITY クラス (BBO.SYNC) 「Synch to OS Thread Allowed」の使用可能化
FACILITY クラス (BBO.TRUSTEDAPPS) 信頼されたアプリケーションの使用可能化
SURROGAT クラス (BBO.SYNC) 「Synch to OS Thread Allowed」の使用可能化
PTKTDATA クラス シスプレックスで使用可能なパスチケット
OS スレッド識別を RunAs 識別に設定する J2EE 以外のリソースの開始識別を使用可能にするために使用される J2EE クラスター・プロパティー



サブトピック
信頼されたアプリケーションの使用可能化
System Authorization Facility のクラスおよびプロファイル
関連概念
クラスターの権限
許可検査
関連タスク
ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
CBIND を使用したクラスターへのアクセスの制御
セキュア・アプリケーションのデプロイ
アセンブリーおよびデプロイメント中のアプリケーションの保護
関連資料
サーバー・プロセス許可検査の特性
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/rsec_sumofcontrol.html