[z/OS]

Prüfungsunterstützung

Diese Datei gibt einen Überblick über die Verwendung der Überwachungsunterstützung.

Die Prüfung erfolgt anhand von SMF-Datensätzen, die von RACF oder einer äquivalenten externen Berechtigungsprüffunktion ausgegeben werden. Das bedeutet, die SMF-Prüfsätze werden erstellt, wenn WebSphere Application Server SAF-Schnittstellen und RACROUTE-Makros verwendet.

WebSphere Application Server for z/OS verwendet die folgenden RACROUTE-Makros:
  • RACROUTE REQUEST AUTH (und FASTAUTH) - Prüfen, ob ein Benutzer für eine Klasse berechtigt ist
  • RACROUTE REQUEST=EXTRACT - RACO aus ACEE extrahieren
  • RACROUTE REQUEST TOKENXTR - UTOKEN (für CICS) extrahieren
  • RACROUTE REQUEST LIST - Feststellen, ob die FASTAUTH-Routinen die im Speicher befindlichen Kopien der Profile der allgemeinen Ressourcen für die Berechtigungsprüfung verwenden
  • RACROUTE REQUEST STAT - Feststellen, ob bestimmte Klassen aktiv sind
und die folgenden SAF-APIs:
  • initACEE (IRRSIA00) - ACEEs verwalten
  • R_usermap (IRRSIM00) - Kerberos-Principal-Name einer RACF-Benutzer-ID zuordnen

Weitere Informationen zur Prüfbarkeit der von WebSphere Application Server verwendeten RACROUTE- und SAF-API-Aufrufe finden Sie in der Dokumentation "RACROUTE Macro Reference" bzw. "Security Server RACF Callable Services" im entsprechenden Information Center für Ihre z/OS-Version.

Tabelle 1. Die Mechanismen für Sicherheitsauthentifizierung und die zugehörigen Daten werden in die Abschnitte des ACEE-Feldes X500NAME geschrieben. . In der folgenden Tabelle sind die verschiedenen Mechanismen für die Sicherheitsauthentifizierung mit den entsprechenden Daten aufgelistet, die in die Abschnitte des ACEE-Feldes X500NAME geschrieben werden. (Diese Daten sind auch in den RACO- und SMF-Datensätzen enthalten.)
Authentifizierungsverfahren Servicename Authentifizierte Identität
Angepasste Registry Angepasste WebSphere-Registry Name des Principals in der angepassten Registry
Kerberos Kerberos für WebSphere Application Server Kerberos-Principal, der im "DCE"-Format verwendet wird, um die entsprechende MVS-Benutzer-ID mit IRRSIM00 (/.../realm/principal) zu extrahieren
Name der RunAs-Rolle Name der WebSphere-Rolle Name der Rolle
RunAs-Server WebSphere-Berechtigungsnachweis des Servers MVS-Benutzer-ID
Trust Interceptor Autorisierte WebSphere-Anmeldung MVS-Benutzer-ID
Benutzer-ID/Kennwort für RunAs WebSphere-Benutzer-ID/Kennwort MVS-Benutzer-ID
Neben der Verfolgung nach MVS-Benutzer-ID muss für Ereignisse ein Trace durchgeführt werden, um die originäre Benutzer-ID festzustellen. Dies gilt insbesondere für originäre Benutzer-IDs, die keine MVS-IDs sind, z. B. für EJB-Rollen, Kerberos-Principals und Principals der angepassten Registry.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_SMFusingaudit
Dateiname:rtrb_SMFusingaudit.html