[z/OS]

Soporte de auditoría

Este tema ofrece una visión general sobre cómo utilizar el soporte de auditoría.

La auditoría se realiza mediante los registros de SMF emitidos por RACF o un gestor de seguridad externo equivalente. Esto significa que los registros de auditoría de SMF se cortan como parte del uso de WebSphere Application Server de las interfaces SAF y las macros RACROUTE.

WebSphere Application Server para z/OS utiliza las siguientes macros RACROUTE:
  • RACROUTE REQUEST AUTH (and FASTAUTH) - para comprobar si un usuario tiene autorización para una clase
  • RACROUTE REQUEST=EXTRACT - para extraer un RACO de un ACEE
  • RACROUTE REQUEST TOKENXTR - para extraer el UTOKEN (para CICS)
  • RACROUTE REQUEST LIST - para comprobar si las rutinas FASTAUTH pueden utilizar las copias incluidas en el almacenamiento de los perfiles de recursos generales para comprobar la autorización
  • RACROUTE REQUEST STAT - para determinar si ciertas clases están activas
y las siguientes API de SAF:
  • initACEE (IRRSIA00) - para gestionar ACEE
  • R_usermap (IRRSIM00) - para correlacionar un nombre de identificador individual de Kerberos con un ID de usuario de RACF

Para obtener información acerca de la posibilidad de auditoría de SMF de las llamadas a la API RACROUTE y SAF que utiliza WebSphere Application Server, consulte la documentación de referencia de la macro de RACROUTE y la documentación de los servicios a los que puede llamar Security Server RACF, respectivamente, en el Information Center de z/OS correspondiente a su versión de z/OS.

Tabla 1. Mecanismos de autenticación de seguridad y los datos correspondientes que se escriben en cada parte del campo ACEE X500NAME. En la tabla siguiente se enumeran los distintos mecanismos de autenticación de seguridad y los datos correspondientes que se escriben en cada parte del campo ACEE X500NAME (estos datos aparecen también en los registros de RACO y SMF).
Mecanismo de autenticación Nombre de servicio Identidad autenticada
Registro personalizado Registro personalizado de WebSphere Nombre de principal del registro personalizado
Kerberos Kerberos para WebSphere Application Server Principal de Kerberos, en el formato "DCE" utilizado para extraer el ID de usuario de MVS correspondiente mediante IRRSIM00 (/.../realm/principal)
Nombre de rol RunAs Nombre de rol de WebSphere Nombre de rol
Servidor RunAs Credencial de servidor WebSphere ID de usuario de MVS
Interceptor de confianza Inicio de sesión autorizado de WebSphere ID de usuario de MVS
ID de usuario/Contraseña de RunAs ID de usuario/contraseña de WebSphere ID de usuario de MVS
Además del rastreo mediante el ID de usuario de MVS, es necesario rastrear los sucesos con un ID de usuario originario. Esto es especialmente cierto en el caso de los ID de usuario originarios que no están basados en MVS, tales como los roles de EJB, los principales de Kerberos y los principales de registro personalizado.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_SMFusingaudit
File name: rtrb_SMFusingaudit.html