RACF で CBIND クラスを使用すると、クライアントによる、
Java アプリケーション・クライアントまたは J2EE 準拠サーバーからクラスターへのアクセスを
制限することができます。クラスターにアクセスするには READ アクセス権が必要です。
始める前に
このクラスを使用すると、以下の ID アサーションを行うトラステッド・サーバー (オーセンティケーターのないもの) を指定することもできます。
要確認: サーバー・トラステッド ID を使用する場合、
RACF サーバー ID はプロファイルに CONTROL アクセス権を付与される必要があります。
受け入れ済みの z/OS Secure Authentication Services (z/SAS) ID アサーション
- Common Secure Interoperability Version 2 (CSIv2) ID アサーション
- Web コンテナー HTTP トランスポート
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
このタスクについて
これによって、証明書を送信する中間サーバーが検証されます (MutualAuthCBindCheck=true)。
この種のアクセス制御が必要ない場合は、このクラスを非アクティブにすることができます。
サーバーはクラスター化されているか、クラスター化されていないかのいずれかです。
cluster_name の値は以下のとおりです。
- クラスター化サーバーの場合、これらのプロファイルで使用する cluster_name は、
クラスターのショート・ネームです。
- クラスター化されていないサーバーの場合は、cluster_name の代わりに、
サーバー・カスタム・プロパティー (ClusterTransitionName) を使用します。
注: サーバーをクラスター・サーバーに変換すると、ClusterTransitionName がそのクラスターのショート・ネームになります。
以下のステップは、WebSphere Application Server for z/OS による
CBIND 許可検査の説明です。
プロシージャー
- RACF で CBIND クラスを使用してクライアントによるクラスターへのアクセスを制限したり、
この種のアクセス制御が必要ない場合はこのクラスを非アクティブにしたりすることができます。
WebSphere Application Server for z/OS は、CBIND クラスの 2 つのタイプのプロファイルを使用します。
一方のタイプのプロファイルは、ローカル・クライアントまたはリモート・クライアントがクラスターにアクセスできるかどうかを制御するプロファイル。
プロファイル名の形式は
次のとおりです。ここで、cluster_name はクラスターの
名前です。
CB.BIND.
cluster_name
もう 1 つのタイプのプロファイルは、クライアントがクラスター内の J2EE アプリケーションを起動できるかどうかを制御します。
プロファイル名の形式は次のとおりです。ここで、cluster_name はクラスターの名前です。CB.
cluster_name
注: 新規クラスターを追加する場合は、
すべての Java クライアント・ユーザー ID およびサーバーに、CB.
cluster_name
および CB.BIND.
cluster_name の RACF プロファイルへの読み取りアクセス権を付与しなければなりません。
例: WSADMIN には、CB.BBOC001 プロファイルおよび CB.BIND.BBOC001
プロファイルへの読み取り権限が必要です。
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- System Authorization Facility (SAF) CBIND クラスを使用して、
プロセスが WebSphere Application Server for z/OS に対する ID を表明するトラステッド・プロセスであることを表すこともできます。この方法は、主に、
すでに呼び出し側を認証したトラステッド中間サーバーが使用するためのものです。
中間サーバー (またはプロセス) は、SSL クライアント証明書を使用して、
WebSphere Application Server for z/OS に対するネットワーク ID を設定する必要があります。
このネットワーク ID は、SAF セキュリティー・サービスによって MVS ユーザー ID にマップされます。
このマップされた ID が ID アサーションを許可されるためには、CB.BIND.cluster_name プロセスに対する CONTROL アクセス権が付与される必要があります。
以下の認証メカニズムでは、信頼の確立に CBIND プロファイルが使用されます。
- Web コンテナー HTTP トランスポート (プロパティーが MutualAuthCBindCheck=true と設定されている場合に、
暗号化されていないクライアント証明書を検証します)
- IIOP の CSIv2 ID アサーション
- 受け入れ済みの z/SAS ID アサーション
例えば、WEBSERV は、呼び出し側から受信されるクライアント証明書を次のように表明する必要があります。PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)