![[z/OS]](../images/ngzos.gif)
SAF-Profilpräfixe und Anpassungsjobs
Mit z/OS Profile Management Tool kann ein SAF-Profilpräfix (früher z/OS-Sicherheitsdomäne) konfiguriert werden.
- Differenzierung der Rollen auf der Ebene der WebSphere-Sicherheitsdomäne
- Angabe verschiedener Administratoren für Test und Produktion
- Verwendung als APPL-Profil für Server in der WebSphere-Sicherheitsdomäne
Sie können ein SAF-Profilpräfix mit z/OS Profile Management Tool konfigurieren, um Ihre Einstellungen anzupassen, oder Sie können das SAF-Profilpräfix über die Anzeige mit den SAF-Berechtigungsoptionen in der Administrationskonsole konfigurieren. Dadurch wird eine neue Beispielgruppe von RACF-Anpassungsjobs (Resource Access Control Facility) bereitgestellt, die nur einmal, beim Erstellen der Domäne ausgeführt werden müssen.
- CBIND
- EJBROLE
- APPL
/* CBIND-Profile für den Fall, dass keine Serverdefinition festgelegt ist */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"
"RDEFINE CBIND CB.* UACC(NONE)"
/* CBIND CB.BIND.domain_name. */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"
Verwenden Sie ein APPL-Profil, um den Zugriffsschutz für WebSphere Application Server for z/OS einzurichten. Beispielprofile können allen Benutzern APPL-Zugriff erteilen, falls Sie Universal Access Authority, UACC, verwenden, und sie können der Konfigurationsgruppe, nicht authentifizierten Benutzer-IDs und allen gültigen Benutzer-IDs in WebSphere Application Server for z/OS die Zugriffsberechtigung erteilen. Die Einstellung UACC(NONE) ordnet jedem Benutzer die allgemeine Zugriffsberechtigung NONE zu. Sie können steuern, ob ein APPL-Klassenprofil für die Berechtigung verwendet werden soll, indem Sie das Kontrollkästchen "APPL-Profil verwenden, um den Zugriff auf den Server einzuschränken" in der Anzeige "SAF-Berechtigung" der Administrationskonsole entsprechend einstellen.
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)
EJBROLE-Profile werden für rollenbasierte Berechtigungsprüfungen verwendet, falls kein SAF-Profilpräfix existiert und TSTCFG als Konfigurationsgruppe definiert ist. Es handelt sich dabei um die Mindestgruppe der Benutzer, die Zugriff auf die Benennungs- und Verwaltungsrollen erfordern, wenn die SAF-Berechtigung (System Authorization Facility) ausgewählt ist.
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE operator UACC(NONE)
RDEFINE EJBROLE deployer UACC(NONE)
RDEFINE EJBROLE adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE auditor UACC(NONE)
PERMIT administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* EJBRoles-Profile für Benennungsrollen definieren */
RDEFINE EJBROLE CosNamingRead UACC(NONE)
PERMIT CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite UACC(NONE)
PERMIT CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor UACC(NONE)
PERMIT TESTSYS.administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* EJBRoles-Profile für Benennungsrollen definieren */
RDEFINE EJBROLE TESTSYS.CosNamingRead UACC(NONE)
PERMIT TESTSYS.CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite UACC(NONE)
PERMIT TESTSYS.CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
CBIND-Profildefinitionen für Server
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
- Falls Sie einen neuen speziellen Server mit einem anderen Präfix als
BBO* erstellen möchten, definieren Sie ein spezielles
CBIND-Profil, indem Sie die folgenden RACF-Befehle eingeben:
RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE) PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TSTC002 UACC(NONE)
- Diese Beispiele erstellen Serverdefinitionen mit speziellen Servernamen
(aber ein generisches Profil mit dem Serverpräfix BBO).
Falls Sie ein alternatives Serverpräfix erstellt haben
und zusätzliche CBIND-Definitionen vermeiden möchten,
fügen Sie generische CBIND-Profile hinzu, die den neuen Namen angeben.
Geben Sie dazu die folgenden RACF-Befehle ein
(TST steht für das Namenspräfix des Serverjobs):
RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE) PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
- Obwohl das SAF-Profilpräfix zwischen den RACF-Klassen unterscheidet
(CBIND, EJBROLE, APPL), unterscheidet es nicht zwischen den Dateiberechtigungen für die Konfigurationsdateien im hierarchischen Dateisystem
(Hierarchical File System , HFS). Beispiel:
- Der Administrator ist WSADMIN in der Gruppe WSCFG.
- Der Servant-Bereich ist WASSRV (und muss ebenfalls zur Gruppe WSCFG gehören).
- Benutzer TOM hat Lesezugriff (READ) auf TEST.administrator EJBROLE, aber nicht auf PROD.administrator EJBROLE.
- Eine Anwendung mit falscher Identität, die im Anwendungsserver TEST ausgeführt wird, kann die HFS-Dateien in der Zelle PROD ändern, weil der Server TEST mit der Benutzer-ID WASSRV ausgeführt wird, die zur Gruppe WSCFG gehört. Die TEST- und PROD-HFS-Dateien können beide von der Gruppe WSCFG geändert werden. Um einen maximalen Zugriffsschutz zu definieren, sollte PROD erstellt und einer anderen RACF-Gruppe als TEST zugeordnet werden. Ziehen Sie auch in Erwägung, die Synchronisation von Anwendungsserver- und z/OS-Thread-IDs zu aktivieren. Dieser Prozess bewirkt, dass z/OS-Systemservices, wie z. B. der Schreibzugriff auf das hierarchische Dateisystem (HFS), mit der Java™-EE-Identität (Java Platform, Enterprise Edition) und nicht der Servantregions-ID ausgeführt werden. Weitere Informationen finden Sie im Artikel zu den z/OS-Sicherheitsoptionen.