[z/OS]

Mit CBIND den Zugriff auf Cluster steuern

Mit der Klasse CBIND in RACF können Sie die Möglichkeiten eines Clients für den Zugriff auf Cluster mit Java Application Clients oder J2EE-konformen Servern einschränken. Für den Zugriff auf Cluster ist die Berechtigung READ erforderlich.

Vorbereitende Schritte

Mit dieser Klasse können Sie außerdem angeben, bei welchen Servern die Zusicherung der Identität (ohne Authentifikator) als vertrauenswürdig angesehen wird.
Hinweis: Wenn Sie die anerkannte Server-ID verwenden, muss der RACF-Server-ID die Berechtigung CONTROL für das Profil erteilt werden.
  • Zusicherung der Identität mit z/OS Secure Authentication Services (z/SAS)
  • Zusicherung der Identität mit Common Secure Interoperability Version 2 (CSIv2)
  • HTTP-Transport des Web-Containers
Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.

Informationen zu diesem Vorgang

Wenn die Klasse aktiviert ist, kann ein zwischengeschalteter Server Zertifikate senden (MutualAuthCBindCheck=true). Sie können die Klasse inaktivieren, wenn diese Art der Zugriffssteuerung nicht erforderlich ist.

Es gibt Server, die zu einem Cluster gehören, und solche, die nicht zu einem Cluster gehören. Für diese Server gelten die folgenden Werte für "Clustername":
  1. Bei einem Server, der zu einem Cluster gehört, ist der "Clustername" in diesem Profilen der Clusterkurzname.
  2. Bei einem Server, der nicht zu einem Cluster gehört, wird an Stelle von "Clustername" die angepasste Servereigenschaft "ClusterTransitionName" verwendet.
Anmerkung: Wenn Sie einen Server in einen Cluster aufnehmen, wird ClusterTransitionName auf den Kurznamen des Clusters gesetzt.
Nachfolgend ist die CBIND-Berechtigungsprüfung von WebSphere Application Server for z/OS erläutert.

Vorgehensweise

  1. Mit der Klasse CBIND in RACF können Sie die Möglichkeiten eines Clients für den Zugriff auf Cluster einschränken. Sie können die Klasse inaktivieren, wenn diese Art der Zugriffssteuerung nicht erforderlich ist. WebSphere Application Server for z/OS verwendet zwei Profiltypen in der Klasse CBIND. Ein Profiltyp steuert, ob ein lokaler oder ferner Client auf Cluster zugreifen darf. Der Name des Profils hat das folgende Format, in dem Clustername für den Namen des Clusters und Präfix_des_SAF-Profils für das für SAF-Profile verwendete Präfix steht.
    CB.BIND.<optionales Präfix_des_SAF-Profils>.<Clustername>
    Anmerkung: Wenn Sie einen neuen Cluster hinzufügen, müssen Sie allen Java-Client-Benutzer-IDs und Servern den Lesezugriff auf die RACF-Profile CB.Clustername und CB.BIND.Clustername gewähren.
    Beispiel: WSADMIN benötigt die Leseberechtigung für die Profile CB.BBOC001 und CB.BIND.BBOC001:
    PERMIT CB.BBOC001      CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
    PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
  2. Mit der SAF-Klasse CBIND können Sie auch angeben, dass die WebSphere Application Server for z/OS von einem Prozess zugesicherte Identität vertrauenswürdig ist. Diese Verwendung ist vor allem für vertrauenswürdige zwischengeschaltete Server vorgesehen, die ihre Aufrufer bereits authentifiziert haben. Der zwischengeschaltete Server (oder Prozess) muss seine Netzidentität gegenüber WebSphere Application Server for z/OS mit SSL-Clientzertifikaten nachweisen. Der SAF-Sicherheitsservice ordnet diese Netzidentität einer MVS-Benutzer-ID zu. Damit diese zugeordnete ID ihre Identität zusichern kann, benötigt sie CONTROL-Zugriff auf den Prozess CB.BIND.<optionales SAF-Profilpräfix>.<Clustername>. Folgende Authentifizierungsverfahren verwenden CBIND-Profile für die Schaffung einer Vertrauensstellung:
    • Web-Container-HTTP-Transport (wertet bei gesetzter Eigenschaft MutualAuthCBindCheck=true unverschlüsselte Clientzertifikate aus)
    • Zusicherung der Identität mit CSIV2 für IIOP
    • Zusicherung der Identität mit z/SAS
    Beispiel: WEBSERV muss die Gültigkeit der von den Aufrufern empfangenen Clientzertifikate zusichern: PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safauth
Dateiname:tsec_safauth.html