WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

z/OS セキュリティー・オプション

z/OS 用のアプリケーション・サーバーに指定するセキュア管理、アプリケーション、およびインフラストラクチャー・オプションを決定するには、このページを使用します。

この管理コンソール・ページを表示するには、「セキュリティー」> 「セキュア管理、アプリケーション、およびインフラストラクチャー」> 「z/OS security options」をクリックします。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
  3. 「追加プロパティー」の下の「z/OS security options」をクリックします。

初めてセキュリティーの構成を行うときには、変更を行う前に、『セキュア管理、アプリケーション、およびインフラストラクチャーの構成』に記載されたステップを実行してください。セキュリティーを構成した後で、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 セキュア管理、アプリケーション、およびインフラストラクチャーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を減少させることができます。

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。

「構成」タブ

リモート ID [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]

別のシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアントについて想定される、 System Authorization Facility (SAF) ユーザー ID を指定します。

アプリケーション・リモート ID が許可されているかどうかを指定します。

注: この情報は、バージョン 6.1 セルで統合されるバージョン 6.0.x および前のサーバーにのみ適用されます。
ローカル ID [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]

同じシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアント について想定される、SAF ユーザー ID を指定します。

アプリケーション・ローカル ID が許可されているかどうかを指定します。

注: この情報は、バージョン 6.1 セルで統合されるバージョン 6.0.x および前のサーバーにのみ適用されます。
アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする

アプリケーションがこの機能を要求するようコーディングされている場合、 オペレーティング・システムのスレッド識別が、アプリケーション・サーバーのランタイムで 使用される Java 2 Platform、Enterprise Edition (J2EE) 識別と同期化できるかどうかを示します。

オペレーティング・システム識別と J2EE 識別を同期化すると、オペレーティング・システム識別は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans (EJB) ファイルでの代行 RunAs 識別と同期化されます。 この同期化または関連とは、サーバー領域識別ではなく、呼び出し元またはセキュリティー役割識別が、 ファイルへのアクセスなどの z/OS システム・サービス要求に使用されることを意味します。

この機能をアクティブにするために、以下の条件をすべて true にする必要があります。
  • 「Sync to OS thread allowed」値は true です。
  • アプリケーションは、デプロイメント記述子内に、true に設定される com.ibm.websphere.security.SyncToOSThread の env-entry を組み込みます。
  • 構成されたユーザー・アカウント・リポジトリーは、ローカル・オペレーティング・システムです。

これらの条件が true の場合、OS スレッド識別は最初、 Web または EJB 要求の認証呼び出し元に設定されます。 J2EE 識別が変更されると、OS スレッドは変更されます。J2EE 識別は、デプロイメント記述子 の RunAs 仕様か、またはプログラマチック WSSubject.doAs() 要求のいずれか によって、変更することができます。

デフォルト設定である「OS スレッドへの同期の許可」値が false の場合は、 インストール済みアプリケーションのデプロイメント記述子のデプロイメント記述子設定の オペレーティング・システム・スレッドで ID を変更する機能は使用不可です。 サーバーが同期化を使用可能にするように構成されておらず、 アプリケーションのデプロイメント記述子 com.ibm.websphere.security.SyncToOSThread が true に設定されている場合、 警告 BBOJ0080W (「EJB が SyncToOSThread オプションを要求したが、サーバーが SyncToOSThread オプションに対応していない」という内容) が発行されます。

スレッド識別サポートを使用する J2EE コネクター・アーキテクチャー (J2CA) コネクターは、 すべてスレッド識別をサポートしている必要があります。 顧客情報管理システム (CICS)、情報管理システム (IMS)、および DB2 は、スレッド識別をサポートします。 CICS および IMS では、ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと 同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。 DB2 では、常にスレッド識別がサポートされます。 コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。

データ型 ブール
デフォルト 使用不可
範囲 使用可能または使用不可

重要: このオプションは、セキュリティー監査に使用される SMF 80 のレコード数を著しく増加させます。 また、セキュリティー監査が SMF 80 のレコードに対してオンにされると、DASD の使用量は著しく増加します。

接続マネージャー RunAs スレッド ID を使用可能にする

このオプションを指定したアプリケーションで、接続マネージャー SyncToOSThread メソッドが サポートされることを指定します。

この設定を使用可能にすると、このメソッドは、Java 2 Platform, Enterprise Edition (J2EE) 識別を反映してオペレーティング・システム識別 を変更するための要求を処理することができます。 この機能は、スレッド識別サポートを利用する場合には必須です。 z/OS システムにあるローカル・リソースにアクセスする J2EE コネクター・アーキテクチャー (J2CA) コネクターは、スレッド識別サポートを使用できます。 ローカル z/OS リソースにアクセスする一連の J2CA コネクターでは、 以下のすべての条件が該当する場合に、デフォルトでアプリケーションの J2EE 識別が使用されます。
  • リソース許可がコンテナー管理に設定されています (res-auth=container)。
  • このアプリケーションのデプロイ時にエイリアス・エントリーがコーディングされていません。
  • 「OS スレッドへの接続マネージャー同期」設定が「使用可能」に設定されています。

例えば、各表へのアクセス権を持つユーザーを制御する、 既存の DB2 for z/OS セキュリティー・ポリシーを保有している場合は、DB2 for z/OS にも アクセスする WebSphere アプリケーションにユーザーがアクセスするときに、このポリシーの実行が必要になります。 「Connection Manager RunAs Identity Enabled」が選択されると、 オペレーティング・システム ID (サーバー ID) ではなく、 J2EE ID (デフォルトにより、クライアント ID) が使用されて、 DB2 for z/OS への接続が確立されます。 アプリケーションについての DB2 for z/OS 表アクセスは、 既存の DB2 for z/OS セキュリティー・ポリシーを使用して判別されます。

スレッド識別サポートを使用する J2CA コネクターは、スレッド識別をサポートしていなければなりません。 顧客情報管理システム (CICS)、情報管理システム (IMS)、および DATABASE 2 (DB2) は スレッド識別をサポートします。 CICS および IMS では、ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと 同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。 DB2 では、常にスレッド識別がサポートされます。 コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。

データ型 ブール
デフォルト 使用不可
範囲 使用可能または使用不可



関連概念
Java 2 Platform, Enterprise Edition ID および オペレーティング・システム・スレッド ID
Application Synch to OS Thread Allowed
接続マネージャー RunAs ID の使用可能化およびシステム・セキュリティー
「application Synch to OS Thread Allowed」を使用する時期
「Synch to OS Thread Allowed」オプションの設定に関する考慮事項
Java スレッド ID とオペレーティング・システム・スレッド ID
関連タスク
レルムのセキュリティーの使用可能化
関連資料
管理コンソールのボタン
管理コンソールの有効範囲設定
管理コンソールの設定の変更
管理、アプリケーション、およびインフラストラクチャー保護の設定
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/usec_zos_globalsec.html