WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項

オペレーティング・システム およびアプリケーションのレベルに対する System Authorization Facility (SAF) 許可を使用可能にする場合は、 考慮すべきことがいくつかあります。

WebSphere Application Server for z/OS では、2 つの異なるレベルで許可が行われます。

SAF 許可が使用可能な場合、任意のレベルでの許可は常に、オペレーティング・システムのセキュリティー・マネージャー (RACF または同等の製品) によって実行されます。 したがって、ユーザーは、 セキュリティー・マネージャー (RACF) ユーザー ID で認証済みである必要があります。詳しくは、制御の要約 を参照してください。

システムのカスタマイズ中に SAF 許可が選択された場合、すべての管理役割の管理 EJBROLE プロファイルは、Configuration Dialog を使用して生成された RACF ジョブにより定義されます。 すべてのユーザー・レジストリーに対する許可メカニズムとして、 SAF 許可 (SAF EJBROLE プロファイルを使用した SAF ユーザーおよびグループの役割への割り当て) を使用できます。 SAF 許可が管理コンソールで選択された場合は、 他のすべての許可の選択項目 (Tivoli Access Manager 許可など) に優先します。

ローカル・オペレーティング・システムを選択しない場合、Java Authentication and Authorization Service (JAAS) のログイン・モジュールを構成およびインストールして、LDAP またはカスタム・レジストリー・プリンシパルの SAF ユーザー ID へのプリンシパル・マッピングを実行する必要があります。

SAF 許可は、非ローカル・オペレーティング・システム・レジストリーに対してもサポートされていることに注意してください。 SAF をオンにした場合は、これはデフォルトのプロバイダーになります (ネーミングおよび 管理関数を処理します)。SAF を使用可能にすると、これはネイティブ許可プロバイダーになります。

詳しくは、レジストリーまたはリポジトリーの選択 を参照してください。

SAF 許可が使用可能な場合は、SAF EJBROLE プロファイルを使用して、J2EE 役割を実行します (プロファイル名は アプリケーションの役割名です)。 詳しくは、次の記述を参照してください。
SAF 許可が使用可能な場合、「全員」および「全認証者」設定が無視されることに注意してください。 これらの属性は、RACF で管理されています。「全員」および「全認証者」は、使用可能な場合、WebSphere 許可で使用することを想定しています。
全員
全員 に対して認証が必要ないため (すべてのユーザーが Web アプリケーションに対してサインオンすることができ、 対象またはプリンシパルは認証されません)、 以下の点を考慮に入れない場合、RACF は false を戻します。 WebSphere Application Server for z/OS はデフォルトの (非認証) ユーザー ID を使用し、 RESTRICTED 属性で定義された ACCESS( READ) アクセスを確認する ACEE を使用します (汎用アクセス権限 (UACC) は適用されません)。 全員 が特定の役割にアクセスできるようにする場合、 デフォルトのユーザー ID に READ アクセスを認可する必要があります。
全認証者
ユーザー・レジストリーで任意の名前を許可して、Web アプリケーションにサインオンすることができます (すべてのユーザー名は、サインオンの際に認証されます)。アクセスするプロファイル上で UACC(READ) を定義する 必要があります。デフォルトのユーザー ID に対して RACF PERMIT コマンドを発行しないでください。

ローカル OS レジストリーを使用している場合、コンソール・ユーザーへのアクセスを制御できます。

将来、SAF 許可をオンにする場合は、これらの RACF コマンドを実行して、適切な WebSphere Application Server 操作を使用可能にする必要があります。 (別の非認証のユーザー ID を選択した場合、構成済みのデフォルトのユーザー ID の値を変更します。)




関連概念
カスタム System Authorization Facility マッピング・モジュール
WebSphere Application Server security for z/OS
関連タスク
ローカルでないオペレーティング・システムによるカスタム System Authorization Facility マッピング・モジュールの書き込み
WebSphere Application Server 用のカスタム System Authorization Facility マッピング・モジュールのインストールおよび構成
J2EE ID を System Authorization Facility (SAF) にマッピングするためのプラグ可能ログイン・モジュールの使用可能化
ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_safauthz.html