[z/OS]

Utilización de CBIND para controlar el acceso a los clústeres

Puede utilizar la clase CBIND en RACF para restringir la capacidad de un cliente para acceder a clústeres desde clientes de aplicaciones Java™ o servidores compatibles con J2EE. Debe tener permiso READ (de lectura) para acceder a los clústeres.

Antes de empezar

También puede utilizar esta clase para especificar qué servidores son de confianza para confirmar las identidades (sin autenticador).
Recuerde: Cuando se utiliza la identidad de confianza del servidor, es necesario otorgar al ID de servidor RACF el permiso CONTROL sobre el perfil.
  • Aserción de identidad z/SAS (z/OS Secure Authentication Services) aceptada
  • Aserción de identidad CSIv2 (Common Secure Interoperability Versión 2)
  • Transporte HTTP del contenedor Web
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.

Acerca de esta tarea

De esta forma se valida un servidor intermedio para enviar certificados (MutualAuthCBindCheck=true). Puede desactivar la clase si no necesita este tipo de control de acceso.

Los servidores pueden estar agrupados en clústeres o no. El valor de nombre_clúster es:
  1. Para un servidor en clúster, el nombre_clúster que se utiliza en estos perfiles es el nombre abreviado del clúster.
  2. Para un servidor que no esté agrupado en clúster, en lugar de un nombre_clúster, se utiliza una propiedad personalizada del servidor (ClusterTransitionName).
Nota: Cuando convierte un servidor en un servidor en clúster, ClusterTransitionName se convierte en el nombre abreviado del clúster.
En los pasos siguientes se explica la comprobación de autorización CBIND que realiza WebSphere Application Server para z/OS.

Procedimiento

  1. Puede utilizar la clase CBIND en RACF para restringir la posibilidad de un cliente de acceder a los clústeres, o puede desactivar la clase si no necesita este tipo de control de acceso. WebSphere Application Server para z/OS utiliza dos tipos de perfiles en la clase CBIND. Un tipo de perfil control si el cliente local o remoto puede acceder a los clústeres. El nombre del perfil tiene el formato siguiente, donde nombre_clúster es el nombre del clúster, y prefijo_perfil_SAF es el prefijo utilizado para los perfiles SAF.
    CB.BIND.<prefijo_perfil_SAF opcional>.<nombre_clúster>
    Nota: Cuando se añade un nuevo clúster, debe autorizar todos los ID de usuario de cliente Java y los servidores para que tengan acceso de lectura en los perfiles RACF CB.nombre_clúster y CB.BIND.nombre_clúster.
    Ejemplo: WSADMIN necesita autorización de lectura en los perfiles CB.BBOC001 y CB.BIND.BBOC001:
    PERMIT CB.BBOC001      CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
    PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
  2. También puede utilizar la clase SAF (System Authorization Facility) CBIND para indicar que un proceso es de confianza para confirmar identidades en WebSphere Application Server para z/OS. Este uso está especialmente indicado para servidores intermedios de confianza que ya hayan autenticado los llamantes. El servidor (o el proceso) intermedio debe establecer su identidad de red en WebSphere Application Server para z/OS utilizando certificados de cliente SSL. Esta identidad de red se correlaciona con un ID de usuario de MVS mediante el servicio de seguridad SAF. Debe otorgarse a esta identidad correlacionada acceso de CONTROL al proceso CB.BIND.<prefijo_perfil_SAF_opcional>.<nombre_clúster> para estar autorizada a realizar la aserción de identidades. Los perfiles CBIND se utilizan para establecer la confianza en los siguientes mecanismos de autenticación:
    • Transporte HTTP de contenedor Web (que valida certificados de cliente sin cifrar cuando se establece la propiedad MutualAuthCBindCheck=true)
    • Aserción de identidad CSIv2 para IIOP
    • Aserción de identidad z/SAS aceptada
    Por ejemplo, WEBSERV necesita confirmar los certificados de cliente que se reciben de los llamantes: PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safauth
File name: tsec_safauth.html