z/OS 用のアプリケーション・サーバーに指定するセキュア管理、アプリケーション、およびインフラストラクチャー・オプションを決定するには、このページを使用します。
この管理コンソール・ページを表示するには、「セキュリティー」> 「セキュア管理、アプリケーション、およびインフラストラクチャー」> 「z/OS security options」をクリックします。
初めてセキュリティーの構成を行うときには、変更を行う前に、『セキュア管理、アプリケーション、およびインフラストラクチャーの構成』に記載されたステップを実行してください。セキュリティーを構成した後で、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 セキュア管理、アプリケーション、およびインフラストラクチャーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を減少させることができます。
別のシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアントについて想定される、 System Authorization Facility (SAF) ユーザー ID を指定します。
アプリケーション・リモート ID が許可されているかどうかを指定します。
同じシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアント について想定される、SAF ユーザー ID を指定します。
アプリケーション・ローカル ID が許可されているかどうかを指定します。
アプリケーションがこの機能を要求するようコーディングされている場合、 オペレーティング・システムのスレッド識別が、アプリケーション・サーバーのランタイムで 使用される Java 2 Platform、Enterprise Edition (J2EE) 識別と同期化できるかどうかを示します。
オペレーティング・システム識別と J2EE 識別を同期化すると、オペレーティング・システム識別は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans (EJB) ファイルでの代行 RunAs 識別と同期化されます。 この同期化または関連とは、サーバー領域識別ではなく、呼び出し元またはセキュリティー役割識別が、 ファイルへのアクセスなどの z/OS システム・サービス要求に使用されることを意味します。
これらの条件が true の場合、OS スレッド識別は最初、 Web または EJB 要求の認証呼び出し元に設定されます。 J2EE 識別が変更されると、OS スレッドは変更されます。J2EE 識別は、デプロイメント記述子 の RunAs 仕様か、またはプログラマチック WSSubject.doAs() 要求のいずれか によって、変更することができます。
デフォルト設定である「OS スレッドへの同期の許可」値が false の場合は、 インストール済みアプリケーションのデプロイメント記述子のデプロイメント記述子設定の オペレーティング・システム・スレッドで ID を変更する機能は使用不可です。 サーバーが同期化を使用可能にするように構成されておらず、 アプリケーションのデプロイメント記述子 com.ibm.websphere.security.SyncToOSThread が true に設定されている場合、 警告 BBOJ0080W (「EJB が SyncToOSThread オプションを要求したが、サーバーが SyncToOSThread オプションに対応していない」という内容) が発行されます。
スレッド識別サポートを使用する J2EE コネクター・アーキテクチャー (J2CA) コネクターは、 すべてスレッド識別をサポートしている必要があります。 顧客情報管理システム (CICS)、情報管理システム (IMS)、および DB2 は、スレッド識別をサポートします。 CICS および IMS では、ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと 同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。 DB2 では、常にスレッド識別がサポートされます。 コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。
データ型 | ブール |
デフォルト | 使用不可 |
範囲 | 使用可能または使用不可 |
重要: このオプションは、セキュリティー監査に使用される SMF 80 のレコード数を著しく増加させます。 また、セキュリティー監査が SMF 80 のレコードに対してオンにされると、DASD の使用量は著しく増加します。
このオプションを指定したアプリケーションで、接続マネージャー SyncToOSThread メソッドが サポートされることを指定します。
例えば、各表へのアクセス権を持つユーザーを制御する、 既存の DB2 for z/OS セキュリティー・ポリシーを保有している場合は、DB2 for z/OS にも アクセスする WebSphere アプリケーションにユーザーがアクセスするときに、このポリシーの実行が必要になります。 「Connection Manager RunAs Identity Enabled」が選択されると、 オペレーティング・システム ID (サーバー ID) ではなく、 J2EE ID (デフォルトにより、クライアント ID) が使用されて、 DB2 for z/OS への接続が確立されます。 アプリケーションについての DB2 for z/OS 表アクセスは、 既存の DB2 for z/OS セキュリティー・ポリシーを使用して判別されます。
スレッド識別サポートを使用する J2CA コネクターは、スレッド識別をサポートしていなければなりません。 顧客情報管理システム (CICS)、情報管理システム (IMS)、および DATABASE 2 (DB2) は スレッド識別をサポートします。 CICS および IMS では、ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと 同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。 DB2 では、常にスレッド識別がサポートされます。 コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。
データ型 | ブール |
デフォルト | 使用不可 |
範囲 | 使用可能または使用不可 |