[z/OS]

Beschreibbare SAF-Schlüsselringe verwenden

WebSphere Application Server stellt eine Funktion bereit, mit der ein WebSphere Application Server-Administrator Zertifikatsmanagementoperationen für SAF-Schlüsselringe (System Authorization Facility) ausführen kann. Dazu werden die Funktionen der OCSF-Datenbankbibliothek (Open Cryptographic Services Facility) für SAF-Schlüsselringe verwendet.

Vorbereitende Schritte

Bevor Sie die Anwendungsserverprofile generieren, müssen Sie mit Profile Management Tool die Unterstützung für beschreibbare Schlüsselringe aktivieren. Diese Unterstützung kann nur unter z/OS Release 1.9 oder z/OS Release 1.8 mit APAR OA22287 (Resource Access Control Facility, RACF) (bzw. dem entsprechenden APAR für Ihr Sicherheitsprodukt) sowie mit APAR OA22295 (SAF) konfiguriert werden.

Informationen zu diesem Vorgang

RACF-Berechtigung für Clients und Server definieren

Wenn bei der Profilverwaltung die Unterstützung für modifizierbare Schlüsselringe aktiviert wurde, generieren die RACF-Standardkonfigurationsscripts die erforderlichen Befehle für die Erteilung der Schreibberechtigung. Wenn Sie eine vorhandene Installation migrieren, können Sie RACF wie nachfolgend beschrieben konfigurieren.
Anmerkung: Die Steuerregion führt alle Schreiboperationen für Serverzertifikate aus, und der RACF-Administrator muss der RACF-ID der Steuerregion explizit die Berechtigung erteilen, die Schlüsselringe der Steuerregion und der Servantregion zu aktualisieren.

Bei der folgenden Prozedur wird die Berechtigung über eine Prüfung des ringespezifischen Profils erteilt. Die Prüfung eines ringspezifischen Profils kann nur auf einen bestimmten Schlüsselring durchgeführt werden. Sie ermöglicht keinen globalen Zugriff auf alle Schlüsselringe.

Bei der Prüfung eines ringspezifischen Profils erteilt eine Ressource im Format <Ringeigner>.<Ringname>.LST einem bestimmten Schlüsselring die Zugriffssteuerung für die READ-Funktionen des Service R_datalib.

Eine Ressource im Format <Ringeigner>.<Ringname>.UPD erteilt einem bestimmten Schlüsselring die Zugriffssteuerung für die UPDATE-Funktionen.

Definieren Sie wie folgt die RACF-Berechtigung für Clients und Server:

Vorgehensweise

  1. Verwenden Sie die Prüfung des ringspezifischen Profils für die Klasse RDATALIB. Nutzen Sie die folgenden Befehle:
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. Definieren Sie ein ringspezifisches LST-Profil für die RACF-ID der Steuerregion und die RACF-ID der Servantregion.
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. Gewähren Sie der RACF-Benutzer-ID der Steuerregion die Zugriffsberechtigung CONTROL für die Profile CRRACFID.**.LST und SRRACFID.**.LST in der RACF-Klasse RDATALIB. Wenn die RACF-Benutzer-ID der Steuerregion beispielsweise CRRACFID lautet und die RACF-Benutzer-ID der Servantregion SRRACFID, müssten Sie die folgenden Befehle absetzen:
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    Gewähren Sie allen IDs in der WASCFGGROUP die Zugriffsberechtigung READ für das Profil CRRACFID.**.LST.
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. Definieren Sie ein ringspezifisches UPD-Profil für die RACF-ID der Steuerregion und die RACF-ID der Servantregion.
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. Gewähren Sie der RACF-Benutzer-ID der Steuerregion die Zugriffsberechtigung CONTROL für die Profile CRRACFID.**.UPD und SRRACFID.**.UPD in der RACF-Klasse RDATALIB. Setzen Sie beispielsweise den folgenden Befehl ab, wenn die RACF-Benutzer-ID Ihrer Steuerregion CRRACFID lautet:
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. Gewähren Sie der Administrator-ID von WebSphere Application Server Schreibzugriff, um Schreiboperationen für WebSphere Application Server-Clientschlüsselringe zu ermöglichen.
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. Aktualisieren Sie die Klasse RDATALIB.
    SETR RACLIST(RDATALIB) REFRESH
    Anmerkung: Wenn keine RACF-Berechtigung erteilt wurde, empfangen Sie bei dem Versuch, Zertifikatschreiboperationen für einen Schlüsselring auszuführen, die folgende Nachricht:
    Fehlernachricht: Beim Erstellen des Keystore ist ein Fehler aufgetreten: R_datalib (IRRSDL00) error: One or more
    updates could not be completed. Not RACF authorized to use the requested service. 
    Function code: (7) Return Codes: (8, 8, 8)
    Anmerkung: Wenn Sie einen neuen Schlüsselring erstellen oder eine bestimmte Zertifikatschreiboperation ausführen und die native Modifizierungsunterstützung nicht aktiviert ist, empfangen Sie die folgende Nachricht:
    R_datalib (IRRSDL00) error: One or more updates could not be completed. Requested Function_code not defined. 
    Function code: (7) Return Codes: (8, 8, 20)
    Hinweis: Sie müssen unter z/OS Release 1.9 oder 1.8 mit den APARs OA22287 und OA22295 arbeiten, um die Unterstützung für beschreibbare Schlüsselringe nutzen zu können.
    Weitere Informationen finden Sie in den folgenden Dokumenten der z/OS-Internetbibliothek (http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/):
    • Die Veröffentlichung Security Server RACF Callable Services (IBM Form SA22-7691) enthält einen umfassenden Leitfaden zu aufrufbaren RACF-Services und zum Service R_Datalib.
    • Der z/OS Security Server RACF Security Administrator's Guide (IBM Form SA22-7683) enthält einen umfassenden Leitfaden zu RACF-Befehlen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
Dateiname:tsec_7usewriteSAF_keyring.html