WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

セキュリティー・ドメインとカスタマイズ・ダイアログ

カスタマイズ・ダイアログを使用して、 セキュリティー・ドメインを構成できます。

セキュリティー・ドメインは、以下に説明する、セキュリティー許可のセル・レベルの細分性を提供します。
カスタマイズ・ダイアログを使用して、セキュリティー・ドメインを構成し、 設定をカスタマイズします。以下を提供します。

セキュリティー・ドメイン情報は、(テストおよび実動を含む) 複数のセルにまたがっている場合があるため、 セキュリティー情報は新規 SavedVariables ファイルに保管されます。 以前に定義した既存の変数を使用することができます。 (変数を保管し、それが保管されているロケーションを記録しているか確認してください)

このために異なる方法で作成および検査される RACF プロファイルは、次のとおりです。
注: RACF コマンドを発行するには、該当する権限を持つ TSO ユーザー ID を保有している必要があります。
ヒント: 基本アプリケーション・サーバーのセットアップ時に、汎用カスタマイズ変数 およびセキュリティー・ドメイン変数を異なるファイルに保管してください。
他に特別なプロファイルが設定されていない場合は、CBIND プロファイルを使用して、サーバーへのアクセスを制限します。 セキュリティー・ドメイン ID がない場合は、以下の RACF コマンドを入力します。
/*  CBIND profiles in case no server definition is set                */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"                                  
"RDEFINE CBIND CB.* UACC(NONE)"
TESTSYS として定義されたセキュリティー・ドメイン ID がある場合は、以下を入力します。
/*  CBIND CB.BIND.domain_name.                                  */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"                                 
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"

APPL プロファイルを使用して、WebSphere Application Server for z/OS を保護します。 汎用アクセス権限、UACC(NONE) を使用し、構成グループ、非認証ユーザー ID、および 有効なすべての WebSphere Application Server for z/OS ユーザー ID へのアクセス権を付与する場合、 サンプル・プロファイルは全員に APPL アクセス権を付与することができます。

例えば、セキュリティー・ドメインがない場合は、以下の RACF コマンドを入力します。
RDEFINE APPL CB390 UACC(NONE)
PERMIT CB390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
例えば、TESTSYS として定義されたセキュリティー・ドメイン ID がある場合は、以下を入力します。
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)

セキュリティー・ドメイン ID がなく、構成グループが TSTCFG として定義されている場合、 EJBROLE プロファイルは役割ベースの許可検査用に定義されます。 これらはブートストラップで設定されたデフォルト値であることに注意してください。 これは、System Authorization Facility (SAF) 許可が選択される場合に、ローカル OS レジストリーの ネーミングおよび管理役割へのアクセスが必要なユーザーの最小セットです。

以下の役割は、オペレーティング・システムとアプリケーション・セキュリティーの両方に対して 定義する必要があります。以下の RACF コマンドを入力します。
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor       UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE  operator     UACC(NONE)
RDEFINE EJBROLE  deployer     UACC(NONE)
RDEFINE EJBROLE  adminsecuritymanager     UACC(NONE)

PERMIT administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT monitor        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT configurator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT operator        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT deployer        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager       CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Setting up EJBRoles Profiles for Naming roles                        */
RDEFINE EJBROLE CosNamingRead   UACC(NONE)
PERMIT CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite  UACC(NONE)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
TESTSYS として定義されたセキュリティー・ドメイン ID があり、構成グループが TSTCFG として定義されている場合、以下の RACF コマンドを入力します。
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor       UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator     UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer     UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager     UACC(NONE)

PERMIT TESTSYS.administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.monitor        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.configurator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.operator        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.deployer        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Setting up EJBRoles Profiles for Naming roles                        */
RDEFINE EJBROLE TESTSYS.CosNamingRead   UACC(NONE)
PERMIT TESTSYS.CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite  UACC(NONE)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)

セキュリティー・サーバーの定義

z/OS におけるセキュリティー・ドメイン定義により、 WebSphere Application Server for z/OS にセル全体の z/OS Security Server (RACF) セキュリティー定義のセットが提供されます。

分離可能なセキュリティー・ドメインのサーバーへの、識別可能な MVS ユーザー ID の割り当て

制御およびサーバント・タスクに割り当てられたユーザー ID は、 SAF STARTED プロファイルによって定義されます。 特定の STARTED プロファイルは、指定されたプロシージャー名を持つ すべてのコントローラー・プロシージャーに対して作成することができます。例えば、 以下の RACF コマンドを入力します。
RDEFINE STARTED TST5ACR.* STDATA(USER(TSSYMCR1) GROUP(TSTCFG)
TRACE( YES))
ヒント: コントローラー・プロシージャーには、セキュリティー・ドメインごとに、固有プロシージャー名を 指定する必要があります。
サーバント領域は、異なるプロシージャー名を使用します。作成される新規サーバーごとにセキュリティーをカスタマイズ しなくてもよいように、汎用サーバー接頭部 (BBO*) を持つ総称プロファイルを使用して、 以下の RACF コマンドを入力することによって、プロシージャー名が BBO で始まるすべてのサーバーのユーザー ID を 他のサーバー名の特定プロファイルに割り当てます。
RDEFINE STARTED BBO*.* STDATA(USER(TSSYMSR1) GROUP(TSTCFG) TRACE(YES))
RDEFINE STARTED TSTS001S.* STDATA(USER(TSSYMSR1) GROUP(TSTCFG) TRACE(YES))
注: カスタマイズ・ダイアログを使用して、サーバーおよび汎用サーバー接頭部名 BBO を変更することはできません。 新規サーバーを追加する際に、分離が必要で、セキュリティー・カスタマイズを必要としない場合、 サーバー名とサーバント・タスクの MVS ユーザー ID の間には暗黙の関係があることに注意してください。 新規サーバーを追加する際にセキュリティー・カスタマイズを使用する必要がなく、 特定サーバーに対する許可要求に固有のユーザー ID が必要ない場合は、 以下の RACF コマンドを入力して、固有の汎用サーバー接頭部名で代替の STARTED プロファイルを作成します。
RDEFINE STARTED TST*.* STDATA(USER(TSSYMSR1) GROUP(TSTCFG) TRACE(YES))
TEST セキュリティー・ドメインの各サーバント・プロシージャーは、 このドメインの全サーバーに使用されるサーバー接頭部名としての TST を使用して定義する必要があります。以下の RACF コマンドを入力して、別のサーバー上で要求の許可を制御するために、各サーバーに対して 特定の STARTED プロファイルを作成します。
RDEFINE STARTED TSTS001S.* STDATA(USER(TSSYMSR1) GROUP(TSTCFG) TRACE(YES))
RDEFINE STARTED TSTS002S.* STDATA(USER(TSSYMSR2) GROUP(TSTCFG) TRACE(YES))

セキュリティー・ドメインへの SERVER アクセスを制限します。さらに、サーバー・クラス・プロファイルは、 WebSphere Application Server for z/OS が使用する 適切な Workload Manager (WLM) キューにアクセスできるサーバント ID を示すために使用されます。 セキュリティー・ドメイン・セットを明確に分離するには、サーバー名とサーバント領域 MVS ユーザー ID 間の関係に注意してください。

検査される SERVER プロファイルは、WLM 動的アプリケーション環境 サポートが使用可能かどうかによって、CB.servername.clustername.cellname または CB.servername.clustername の形式のいずれかです。例えば、サーバー名が TSTC001 である場合、 定義は、以下の RACF コマンドを入力することによって設定されます。
RDEFINE SERVER CB.* UACC(NONE)
RDEFINE SERVER CB.*.BBO* UACC(NONE) 
RDEFINE SERVER CB.*.BBO*.* UACC(NONE) 
RDEFINE SERVER CB.*.TSTC001 UACC(NONE)(READ)   
RDEFINE SERVER CB..*.TSTC001.*  UACC(NONE) 
このサーバー名へアクセスする許可は、以下の RACF コマンドを入力することによって与えられます。
PERMIT CB.*.TSTC001 CLASS(SERVER) ID(TSSYMSR1) ACC(READ)
PERMIT CB.*.TSTC001.* CLASS(SERVER) ID(TSSYMSR1) ACC(READ)
追加の SERVER 定義を作成することによって、新規サーバーの遷移接頭部に対応したり、 サーバントごとに特定のプロファイルを作成したりすることができます (STARTED プロファイルの 使用法に似ています)。TST のサーバー遷移接頭部を使用して、TST サーバーから、 TSSYMSR ユーザー ID のキューへのアクセスを制限します。例えば、 これをセットアップするには、以下の RACF コマンドを入力します。
RDEFINE SERVER CB.*.TST* UACC(NONE)(READ)
RDEFINE SERVER CB.*.TST.*  UACC(NONE)
PERMIT CB.*.TST* CLASS(SERVER) ID(TSSYMSR1) ACC(READ)
PERMIT CB.*.TST*.* CLASS(SERVER) ID(TSSYMSR1) ACC(READ)

サーバーの CBIND プロファイル定義

セキュリティー・ドメイン ID がない場合は、 情報はブートストラップ中に定義されます。 以下の RACF コマンドを入力します。
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
TESTSYS として定義されたセキュリティー・ドメイン ID がある場合は、以下を入力します。
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
注:

セキュリティー・ドメインについて詳しくは、セキュリティー・ドメインの計画を参照してください。

注:



関連概念
WebSphere Application Server security for z/OS
関連資料
セキュリティー・カスタマイズ・ダイアログの設定
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_safsecdom.html