[z/OS]

Utilisation de CBIND pour contrôler l'accès aux clusters

Vous pouvez utiliser la classe CBIND dans RACF en vue de restreindre la possibilité pour un client d'accéder aux clusters à partir de clients d'application Java™ ou de serveurs compatibles J2EE. Vous devez disposer du droit de lecture pour accéder aux clusters.

Avant de commencer

Vous pouvez également utiliser cette classe pour indiquer les serveurs dignes de confiance pour la vérification d'identités (sans authentificateur).
A faire : Lors de l'utilisation de l'identité sécurisée du serveur, l'ID serveur RACF doit disposer du droit CONTROL sur le profil.
  • Vérification d'identité z/SAS (z/OS Secure Authentication Services)
  • Vérification d'identité CSIv2 (Common Secure Interoperability version 2)
  • Transport HTTP de conteneur Web
Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.

Pourquoi et quand exécuter cette tâche

Cela valide l'envoi de certificats par un serveur intermédiaire (MutualAuthCBindCheck=true). Vous pouvez désactiver la classe si vous n'avez pas besoin de ce type de contrôle d'accès.

Les serveurs sont en cluster ou non. La valeur de nom_cluster est :
  1. Pour les serveurs en cluster, le nom_cluster utilisé dans ces profils est le nom abrégé du cluster.
  2. Pour les serveurs qui ne sont pas en cluster, une propriété personnalisée de serveur (ClusterTransitionName) est utilisée à la place du nom_cluster.
Remarque : Lorsque vous convertissez un serveur en serveur en cluster, ClusterTransitionName devient le nom abrégé du cluster.
Les étapes suivantes expliquent la vérification d'autorisation CBIND par WebSphere Application Server for z/OS.

Procédure

  1. Vous pouvez utiliser la classe CBIND dans RACF pour restreindre la possibilité d'un client d'accéder aux clusters ou la désactiver si vous n'avez pas besoin de ce type de contrôle d'accès. WebSphere Application Server for z/OS utilise deux types de profils dans la classe CBIND. L'un des types de profil contrôle l'accès des clients locaux ou distants aux clusters. Le nom du profil se présente au format ci-dessous, dans lequel nom_cluster est le nom du cluster et préfixe_profil_SAF correspond au préfixe utilisé pour les profils SAF.
    CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
    Remarque : Lorsque vous ajoutez un nouveau cluster, vous devez autoriser tous les ID utilisateur de client Java et les serveurs à accéder en lecture aux profils RACF CB.nom_cluster et CB.BIND.nom_cluster.
    Exemple : WSADMIN doit disposer du droit d'accès en lecture aux profils CB.BBOC001 et CB.BIND.BBOC001 :
    PERMIT CB.BBOC001      CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
    PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
  2. Vous pouvez également utiliser la classe CBIND SAF (System Authorization Facility) pour indiquer qu'un processus est digne de confiance pour la vérification des identités sur WebSphere Application Server for z/OS. Cette utilisation est principalement destinée aux serveurs intermédiaires dignes de confiance qui ont déjà authentifié leurs appelants. Le serveur intermédiaire (ou processus) doit établir son identité réseau auprès de WebSphere Application Server for z/OS à l'aide de certificats client SSL. Cette identité réseau est mappée à un ID utilisateur MVS par le service de sécurité SAF. Cette identité mappée doit disposer de l'accès CONTROL au processus CB.BIND.<préfixe_profil_SAF facultatif>.<nom_cluster> pour être autorisée à vérifier les identités. Les profils CBIND sont utilisés par les mécanismes d'authentification suivants pour établir la relation de confiance :
    • Le transport HTTP de conteneur Web (qui valide les certificats client non chiffrés lorsque la propriété MutualAuthCBindCheck=true est définie)
    • Vérification d'identité CSIv2 pour IIOP
    • Vérification d'identité z/SAS acceptée
    Par exemple, WEBSERV doit vérifier les certificats clients reçus de ses appelants : PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safauth
Nom du fichier : tsec_safauth.html