Vous pouvez utiliser la classe CBIND dans RACF en vue de
restreindre la possibilité pour un client d'accéder aux clusters à partir de clients d'application
Java™ ou de serveurs compatibles J2EE. Vous devez disposer du droit de lecture pour accéder aux clusters.
Avant de commencer
Vous pouvez également utiliser cette classe pour indiquer les serveurs dignes de confiance pour la vérification d'identités (sans authentificateur).
A faire : Lors de l'utilisation de l'identité sécurisée du serveur, l'ID serveur
RACF doit disposer du droit CONTROL sur le profil.
- Vérification d'identité z/SAS (z/OS Secure Authentication Services)
- Vérification d'identité CSIv2 (Common Secure Interoperability version 2)
- Transport HTTP de conteneur Web
Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.
Pourquoi et quand exécuter cette tâche
Cela valide l'envoi de certificats par un serveur intermédiaire (MutualAuthCBindCheck=true). Vous pouvez désactiver la classe si vous n'avez pas besoin de ce type de contrôle d'accès.
Les serveurs sont en cluster ou non. La valeur de nom_cluster est :
- Pour les serveurs en cluster, le nom_cluster utilisé dans ces profils est le nom abrégé du cluster.
- Pour les serveurs qui ne sont pas en cluster, une propriété personnalisée de serveur (ClusterTransitionName) est utilisée à la place du nom_cluster.
Remarque : Lorsque vous convertissez un serveur en serveur en cluster, ClusterTransitionName
devient le nom abrégé du cluster.
Les étapes suivantes expliquent la vérification d'autorisation CBIND par
WebSphere
Application Server for z/OS.
Procédure
- Vous pouvez utiliser la classe CBIND dans RACF pour restreindre la possibilité d'un client
d'accéder aux clusters ou la désactiver si vous n'avez pas besoin de ce type de contrôle d'accès. WebSphere
Application Server for z/OS utilise deux types de profils dans la classe CBIND. L'un des types de profil
contrôle l'accès des clients locaux ou distants aux clusters. Le nom du profil se présente au format ci-dessous, dans lequel nom_cluster est le
nom du cluster et préfixe_profil_SAF correspond au préfixe utilisé pour les profils SAF.
CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
Remarque : Lorsque vous ajoutez un nouveau cluster, vous devez
autoriser tous les ID utilisateur de client Java et les serveurs à accéder en lecture aux
profils RACF CB.
nom_cluster et CB.BIND.
nom_cluster.
Exemple :
WSADMIN doit disposer du droit d'accès en lecture aux profils CB.BBOC001 et CB.BIND.BBOC001 :
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- Vous pouvez également utiliser la classe CBIND SAF (System Authorization Facility) pour indiquer qu'un processus est digne de confiance pour la vérification des identités sur WebSphere
Application Server for z/OS.
Cette utilisation est principalement destinée aux serveurs intermédiaires dignes de confiance qui ont déjà authentifié leurs appelants. Le serveur intermédiaire
(ou processus) doit établir son identité réseau auprès de WebSphere
Application Server
for z/OS à l'aide de certificats client SSL. Cette identité réseau est mappée
à un ID utilisateur MVS par le service de sécurité SAF. Cette identité mappée doit disposer de l'accès
CONTROL au processus CB.BIND.<préfixe_profil_SAF facultatif>.<nom_cluster>
pour être autorisée à vérifier les identités. Les profils CBIND sont utilisés par les mécanismes d'authentification suivants pour établir la relation de confiance :
- Le transport HTTP de conteneur Web (qui valide les certificats client non chiffrés lorsque la propriété
MutualAuthCBindCheck=true est définie)
- Vérification d'identité CSIv2 pour IIOP
- Vérification d'identité z/SAS acceptée
Par exemple, WEBSERV doit vérifier les certificats clients reçus de ses appelants : PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)