[z/OS]

SAF-Profilpräfixe und Anpassungsjobs

Mit z/OS Profile Management Tool kann ein SAF-Profilpräfix (früher z/OS-Sicherheitsdomäne) konfiguriert werden.

Ein SAF-Profilpräfix ermöglicht einer Installation, den SAF-Profilen, die die Rollen der Installation darstellen, ein Präfix hinzuzufügen. Eine Installation kann beispielsweise die SAF-Klasse "EJBRole" und das SAF-Profil "myPrefix.administrator" definieren. Ein SAF-Profilpräfix kann für die gesamte Zelle oder für einzelne Sicherheitsberechtigungen auf WebSphere-Sicherheitsdomänenebene definiert werden. SAF-Profilpräfixe:
  • Differenzierung der Rollen auf der Ebene der WebSphere-Sicherheitsdomäne
  • Angabe verschiedener Administratoren für Test und Produktion
  • Verwendung als APPL-Profil für Server in der WebSphere-Sicherheitsdomäne

Sie können ein SAF-Profilpräfix mit z/OS Profile Management Tool konfigurieren, um Ihre Einstellungen anzupassen, oder Sie können das SAF-Profilpräfix über die Anzeige mit den SAF-Berechtigungsoptionen in der Administrationskonsole konfigurieren. Dadurch wird eine neue Beispielgruppe von RACF-Anpassungsjobs (Resource Access Control Facility) bereitgestellt, die nur einmal, beim Erstellen der Domäne ausgeführt werden müssen.

Die RACF-Profile, die erstellt und aus diesem Grund auf andere Weise geprüft werden, sind nachfolgend aufgeführt:
  • CBIND
  • EJBROLE
  • APPL
Verwenden Sie CBIND-Profile, um den Zugriff auf die Server einzuschränken, falls kein anderes spezielles Profil festgelegt wurde. Falls kein SAF-Profilpräfix vorhanden ist, geben Sie die folgenden RACF-Befehle ein:
/*  CBIND-Profile für den Fall, dass keine Serverdefinition festgelegt ist */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"                                  
"RDEFINE CBIND CB.* UACC(NONE)"
Falls ein SAF-Profilpräfix als TESTSYS definiert ist, geben Sie Folgendes ein:
/*  CBIND CB.BIND.domain_name.                                  */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"                                 
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"

Verwenden Sie ein APPL-Profil, um den Zugriffsschutz für WebSphere Application Server for z/OS einzurichten. Beispielprofile können allen Benutzern APPL-Zugriff erteilen, falls Sie Universal Access Authority, UACC, verwenden, und sie können der Konfigurationsgruppe, nicht authentifizierten Benutzer-IDs und allen gültigen Benutzer-IDs in WebSphere Application Server for z/OS die Zugriffsberechtigung erteilen. Die Einstellung UACC(NONE) ordnet jedem Benutzer die allgemeine Zugriffsberechtigung NONE zu. Sie können steuern, ob ein APPL-Klassenprofil für die Berechtigung verwendet werden soll, indem Sie das Kontrollkästchen "APPL-Profil verwenden, um den Zugriff auf den Server einzuschränken" in der Anzeige "SAF-Berechtigung" der Administrationskonsole entsprechend einstellen.

Falls beispielsweise kein SAF-Profilpräfix existiert, geben Sie die folgenden RACF-Befehle ein:
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
Falls beispielsweise TESTSYS als SAF-Profilpräfix definiert ist, geben Sie Folgendes ein:
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)

EJBROLE-Profile werden für rollenbasierte Berechtigungsprüfungen verwendet, falls kein SAF-Profilpräfix existiert und TSTCFG als Konfigurationsgruppe definiert ist. Es handelt sich dabei um die Mindestgruppe der Benutzer, die Zugriff auf die Benennungs- und Verwaltungsrollen erfordern, wenn die SAF-Berechtigung (System Authorization Facility) ausgewählt ist.

Die folgenden Rollen müssen sowohl für das Betriebssystem als auch für die Anwendungssicherheit definiert sein. Geben Sie die folgenden RACF-Befehle ein:
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor       UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE  operator     UACC(NONE)
RDEFINE EJBROLE  deployer     UACC(NONE)
RDEFINE EJBROLE  adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE  auditor      UACC(NONE)

PERMIT administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT auditor                    CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager       CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* EJBRoles-Profile für Benennungsrollen definieren */
RDEFINE EJBROLE CosNamingRead   UACC(NONE)
PERMIT CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite  UACC(NONE)
PERMIT CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
Falls ein SAF-Profilpräfix als TESTSYS definiert ist, geben Sie folgende RACF-Befehle ein:
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor       UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator     UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer     UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor      UACC(NONE)

PERMIT TESTSYS.administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor                     CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* EJBRoles-Profile für Benennungsrollen definieren */
RDEFINE EJBROLE TESTSYS.CosNamingRead   UACC(NONE)
PERMIT TESTSYS.CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite  UACC(NONE)
PERMIT TESTSYS.CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)

CBIND-Profildefinitionen für Server

Falls kein SAF-Profilpräfix vorhanden ist, geben Sie die folgenden RACF-Befehle ein:
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
Falls ein SAF-Profilpräfix als TESTSYS definiert ist, geben Sie Folgendes ein:
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
Anmerkung:
  • Falls Sie einen neuen speziellen Server mit einem anderen Präfix als BBO* erstellen möchten, definieren Sie ein spezielles CBIND-Profil, indem Sie die folgenden RACF-Befehle eingeben:
    RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE)
    PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TSTC002 UACC(NONE)
  • Diese Beispiele erstellen Serverdefinitionen mit speziellen Servernamen (aber ein generisches Profil mit dem Serverpräfix BBO). Falls Sie ein alternatives Serverpräfix erstellt haben und zusätzliche CBIND-Definitionen vermeiden möchten, fügen Sie generische CBIND-Profile hinzu, die den neuen Namen angeben. Geben Sie dazu die folgenden RACF-Befehle ein (TST steht für das Namenspräfix des Serverjobs):
    RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE)
    PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
Anmerkung:
  • Obwohl das SAF-Profilpräfix zwischen den RACF-Klassen unterscheidet (CBIND, EJBROLE, APPL), unterscheidet es nicht zwischen den Dateiberechtigungen für die Konfigurationsdateien im hierarchischen Dateisystem (Hierarchical File System , HFS). Beispiel:
    • Der Administrator ist WSADMIN in der Gruppe WSCFG.
    • Der Servant-Bereich ist WASSRV (und muss ebenfalls zur Gruppe WSCFG gehören).
    • Benutzer TOM hat Lesezugriff (READ) auf TEST.administrator EJBROLE, aber nicht auf PROD.administrator EJBROLE.
    TOM kann die Verwaltungsanwendung nicht aufrufen, um Änderungen an der Zelle PROD vorzunehmen.
  • Eine Anwendung mit falscher Identität, die im Anwendungsserver TEST ausgeführt wird, kann die HFS-Dateien in der Zelle PROD ändern, weil der Server TEST mit der Benutzer-ID WASSRV ausgeführt wird, die zur Gruppe WSCFG gehört. Die TEST- und PROD-HFS-Dateien können beide von der Gruppe WSCFG geändert werden. Um einen maximalen Zugriffsschutz zu definieren, sollte PROD erstellt und einer anderen RACF-Gruppe als TEST zugeordnet werden. Ziehen Sie auch in Erwägung, die Synchronisation von Anwendungsserver- und z/OS-Thread-IDs zu aktivieren. Dieser Prozess bewirkt, dass z/OS-Systemservices, wie z. B. der Schreibzugriff auf das hierarchische Dateisystem (HFS), mit der Java™-EE-Identität (Java Platform, Enterprise Edition) und nicht der Servantregions-ID ausgeführt werden. Weitere Informationen finden Sie im Artikel zu den z/OS-Sicherheitsoptionen.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safsecdom
Dateiname:csec_safsecdom.html