[z/OS]

Utilización de conjuntos de claves SAF con permisos de escritura

WebSphere Application Server permite que un administrador de WebSphere Application Server realice operaciones de gestión de certificados en conjuntos de claves SAF (System Authorization Facility) mediante las funciones de la biblioteca de datos OCSF (Open Cryptographic Services Facility) para conjuntos de claves SAF.

Antes de empezar

Debe habilitar el soporte para anillos de claves con permisos de escritura utilizando la herramienta de gestión de perfiles antes de generar los perfiles de servidor de aplicaciones. El soporte del conjunto de claves con permiso de escritura sólo se puede configurar al ejecutar z/OS Release 1.9 o en z/OS Release 1.8 con APAR OA22287 - RACF (Resource Access Control Facility), o el APAR del producto de seguridad equivalente, y el APAR OA22295 – SAF.

Acerca de esta tarea

Definición de la autoridad de RACF para clientes y servidores

De manera predeterminada, si el soporte del conjunto de claves con permisos de escritura está habilitado durante la gestión de perfiles, los scripts de configuración de RACF por omisión generarán los mandatos necesarios para otorgar autorización de escritura. Opcionalmente, cuando migre desde una instalación existente, puede configurar RACF mediante el procedimiento siguiente.
Nota: La región de control realiza todas las operaciones de grabación de gestión de certificados del servidor, y el administrador de RACF debe otorgar explícitamente autorización al ID de RACF de la región de control para actualizar la región de control y los conjuntos de claves de la región sirviente.

El procedimiento siguiente utiliza una comprobación de perfiles específica del anillo de claves para otorgar autorización. La comprobación de perfiles específica del anillo de claves sólo es aplicable a un anillo de claves determinado y no permite el acceso global a ningún anillo de claves.

Con la comprobación de perfiles específica de conjunto, un recurso con el formato <ringOwner>.<ringName>.LST se utiliza para proporcionar control de acceso a un conjunto de claves específicas en las funciones R_datalib READ.

Un recurso con el formato <ringOwner>.<ringName>.UPD se utiliza para proporcionar control de acceso a un conjunto de claves específicas en las funciones UPDATE.

El procedimiento para definir la autorización de RACF para clientes y servidores es el siguiente:

Procedimiento

  1. Utilice la comprobación de perfiles específica de conjunto para la clase RDATALIB. Se deben utilizar los siguientes mandatos:
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. Defina un perfil LST específico de conjunto para el ID de RACF de la región de control y el ID de RACF de la región sirviente.
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. Otorgue el acceso CONTROL para los perfiles CRRACFID.**.LST y SRRACFID.**.LST de la clase RACF RDATALIB al ID de usuario de RACF de la región de control. Por ejemplo, si el ID de usuario de RACF de la región de control es CRRACFID y su ID de usuario de RACF de la región sirviente es SRRACFID, emita los siguientes mandatos:
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    Además, otorgue el acceso READ a todos los ID de WASCFGGROUP para el perfil CRRACFID.**.LST.
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. Defina un perfil UPD específico de conjunto para el ID de RACF de la región de control y el ID de RACF de la región sirviente.
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. Otorgue el acceso CONTROL para los perfiles CRRACFID.**.UPD y SRRACFID.**.UPD de la clase RACF RDATALIB al ID de usuario de RACF de la región de control. Por ejemplo, si su ID de usuario de RACF de la región de control es CRRACFID, emita el siguiente mandato:
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. Otorgue acceso de grabación al ID de administrador de WebSphere Application Server para permitir las operaciones de grabación en los conjuntos de claves de cliente de WebSphere Application Server.
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. Renueve la clase RDATALIB.
    SETR RACLIST(RDATALIB) REFRESH
    Nota: Si no se otorga autorización de RACF, recibirá el mensaje siguiente al intentar realizar operaciones de escritura de certificados en un anillo de claves:
    Mensaje de error: Se ha producido un error al crear el almacén de claves:error de R_datalib (IRRSDL00): no se han podido completar
    una o más actualizaciones. No
    hay ningún RACF autorizado para utilizar el servicio solicitado. Código de función: (7) Códigos de retorno: (8, 8, 8)
    Nota: Si intenta crear un nuevo conjunto de claves o realizar una operación de grabación de certificados específica y no tiene el soporte con permisos de escritura nativo, recibirá el siguiente mensaje:
    Error R_datalib (IRRSDL00): No
    se han podido completar una o más actualizaciones.
    El
    código_de_función solicitado no se ha definido. Código de función: (7)
    Códigos de retorno: (8, 8, 20)
    Recuerde: Debe ejecutar z/OS Release 1.9 o 1.8 con OA22287 y OA22295 de APAR para utilizar el soporte del conjunto de claves con permisos de escritura.
    Puede enlazar con los siguientes documentos en la biblioteca de Internet de z/OS http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ para obtener más información.
    • Consulte Security Server RACF Callable Services (SA22-7691) para obtener una guía completa de RACF Callable Services y R_Datalib service
    • Consulte z/OS Security Server RACF Security Administrator's Guide (SA22-7683) para obtener una guía completa de los mandatos RACF.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
File name: tsec_7usewriteSAF_keyring.html