[z/OS]

Prise en charge de l'audit

Cette rubrique fournit des indications sur la façon d'utiliser la prise en charge de l'audit.

Un audit est exécuté sur la base des enregistrements SMF émis par RACF ou par un gestionnaire de sécurité externe équivalent. Cela signifie que les enregistrements d'audit SMF sont prélevés dans le cadre de l'utilisation par WebSphere Application Server des interfaces SAF et des macros RACROUTE.

WebSphere Application Server for z/OS utilise les macros RACROUTE suivantes :
  • RACROUTE REQUEST AUTH (et FASTAUTH) - pour vérifier si un utilisateur est autorisé à accéder à une classe
  • RACROUTE REQUEST=EXTRACT - pour extraire RACO d'un ACEE
  • RACROUTE REQUEST TOKENXTR - pour extraire UTOKEN (pour CICS)
  • RACROUTE REQUEST LIST - pour vérifier si les routines FASTAUTH peuvent utiliser les copies stockées des profils de ressources générales pour le contrôle des autorisations
  • RACROUTE REQUEST STAT - pour déterminer si certaines classes sont actives
et les API SAF suivantes :
  • initACEE (IRRSIA00) - pour gérer les ACEE
  • R_usermap (IRRSIM00) - pour mapper un nom de principal kerberos à un ID utilisateur RACF

Pour plus d'informations sur la vérifiabilité de la fonction SMF des appels d'API RACROUTE et SAF que WebSphere Application Server utilise, consultez la documentation RACROUTE Macro Reference ainsi que la documentation Security Server RACF Callable Services respectivement dans le centre de documentation z/OS correspondant à votre version de z/OS.

Tableau 1. Mécanismes d'authentification de sécurité et données correspondantes consignées dans chaque partie du champ ACEE X500NAME. Le tableau suivant répertorie les mécanismes d'authentification de sécurité avec les données correspondantes consignées dans chaque partie de la zone ACEE X500NAME (ces données se trouvent également dans les enregistrements RACO et SMF).
Mécanisme d'authentification Nom du service Identité authentifiée
Registre personnalisé Registre WebSphere personnalisé Nom de principal du registre personnalisé
Kerberos Kerberos pour WebSphere Application Server Principal Kerberos au format "DCE" utilisé pour extraire l'ID utilisateur MVS à l'aide de IRRSIM00 (/.../realm/principal)
Nom de rôle RunAs Nom de rôle WebSphere Nom du rôle
Serveur RunAs Justificatif du serveur WebSphere ID utilisateur MVS
Intercepteur de relation de confiance Connexion autorisée WebSphere ID utilisateur MVS
ID utilisateur/mot de passe RunAs ID utilisateur/mot de passe WebSphere ID utilisateur MVS
Outre le suivi par ID utilisateur MVS, le traçage des événements doit s'effectuer jusqu'à un ID utilisateur d'origine. Cette affirmation est particulièrement vraie pour les ID utilisateur d'origine non basés sur MVS, comme les rôles EJB, les principaux Kerberos et les principaux de registre personnalisé.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_SMFusingaudit
Nom du fichier : rtrb_SMFusingaudit.html