Puede utilizar la clase CBIND en RACF para restringir la
capacidad de un cliente para acceder a clústeres desde clientes de
aplicaciones Java™ o servidores compatibles con J2EE. Debe tener permiso READ (de lectura) para acceder a los clústeres.
Antes de empezar
También puede utilizar esta clase para especificar qué servidores son de
confianza para confirmar las identidades (sin autenticador).
Recuerde: Cuando se utiliza la identidad de confianza del servidor, es necesario
otorgar al ID de servidor RACF el permiso CONTROL sobre el
perfil.
- Aserción de identidad z/SAS
(z/OS
Secure Authentication Services) aceptada
- Aserción de identidad CSIv2 (Common Secure Interoperability Versión 2)
- Transporte HTTP del contenedor Web
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y
anteriores que se hayan federado en una célula de la Versión 6.1.
Acerca de esta tarea
De esta forma se valida un servidor intermedio para enviar certificados (MutualAuthCBindCheck=true). Puede desactivar la clase si no necesita este tipo de control de acceso.
Los servidores pueden estar agrupados en clústeres o no. El valor de
nombre_clúster es:
- Para un servidor en clúster, el nombre_clúster que se utiliza en estos perfiles
es el nombre abreviado del clúster.
- Para un servidor que no esté agrupado en clúster, en lugar de un nombre_clúster,
se utiliza una propiedad personalizada del servidor (ClusterTransitionName).
Nota: Cuando convierte un servidor en un servidor en clúster, ClusterTransitionName se convierte en el nombre abreviado del clúster.
En los pasos siguientes se explica la comprobación de
autorización CBIND que realiza
WebSphere Application Server
para z/OS.
Procedimiento
- Puede utilizar la clase CBIND en RACF para restringir la posibilidad de un
cliente de acceder a los clústeres, o puede desactivar la clase si no necesita este
tipo de control de acceso. WebSphere Application Server para z/OS utiliza dos tipos de perfiles en la clase
CBIND. Un tipo de perfil control si el cliente local o remoto puede acceder a los clústeres. El nombre del perfil tiene el formato siguiente, donde
nombre_clúster es el nombre del clúster,
y prefijo_perfil_SAF es el prefijo utilizado para
los perfiles SAF.
CB.BIND.<prefijo_perfil_SAF opcional>.<nombre_clúster>
Nota: Cuando se añade un nuevo clúster, debe autorizar todos los
ID de usuario de cliente Java y los servidores para que tengan acceso de lectura en
los perfiles RACF CB.
nombre_clúster y CB.BIND.
nombre_clúster.
Ejemplo: WSADMIN necesita autorización de lectura en los perfiles
CB.BBOC001 y CB.BIND.BBOC001:
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- También puede utilizar la clase SAF (System Authorization Facility) CBIND para indicar que un proceso es de confianza para confirmar identidades en WebSphere Application Server para z/OS.
Este uso está especialmente indicado para servidores intermedios de confianza que ya
hayan autenticado los llamantes. El servidor (o el proceso) intermedio debe establecer su identidad de red en WebSphere Application Server para z/OS utilizando certificados de cliente SSL. Esta identidad de red se correlaciona con un ID de
usuario de MVS mediante el servicio de seguridad SAF. Debe otorgarse a esta identidad correlacionada acceso de CONTROL al proceso
CB.BIND.<prefijo_perfil_SAF_opcional>.<nombre_clúster> para estar autorizada a realizar la aserción de identidades. Los perfiles CBIND se utilizan
para establecer la confianza en los siguientes mecanismos de autenticación:
- Transporte HTTP de contenedor Web (que valida certificados de cliente sin cifrar
cuando se establece la propiedad MutualAuthCBindCheck=true)
- Aserción de identidad CSIv2 para IIOP
- Aserción de identidad z/SAS aceptada
Por ejemplo, WEBSERV necesita confirmar los certificados de cliente que se reciben de los llamantes: PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)