[z/OS]

Utilisation de fichiers de clés SAF inscriptibles

WebSphere Application Server propose une fonction qui permet à un administrateur WebSphere Application Server d'effectuer des opérations de gestion des certificats sur des jeux de clés SAF (System Authorization Facility) à l'aide des fonctions OCSF (Open Cryptographic Services Facility) de bibliothèque de données pour les jeux de clés SAF.

Avant de commencer

Vous devez activer la prise en charge des jeux de clés inscriptibles à l'aide de l'outil de gestion des profils avant de générer les profils du serveur d'applications. La prise en charge des jeux de clés inscriptibles peut être configurée uniquement lorsque vous travaillez sous z/OS version 1.9 ou z/OS version 1.8 avec l'APAR OA22287 - RACF (resource access control facility) (ou l'APAR pour votre produit de sécurité équivalent) et l'APAR OA22295 – SAF.

Pourquoi et quand exécuter cette tâche

Définition des droits RACF pour les clients et les serveurs

Par défaut, si la prise en charge des jeux de clés inscriptibles est activée au cours de la gestion des profils, les scripts de configuration RACF par défaut génèrent les commandes nécessaires pour accorder les droits d'écriture. Vous avez également la possibilité, lorsque vous migrez depuis une installation existante, de configurer RACF en suivant la procédure ci-après.
Remarque : La région de contrôle effectue toutes les opérations d'écriture de gestion des certificats du serveur et l'administrateur RACF doit explicitement accorder les droits à l'ID RACF de la région de contrôle afin de mettre à jour les jeux de clés de la région de contrôle et de la région serviteur.

La procédure ci-dessous utilise une vérification de profil spécifique au fichier de clés jeu pour accorder des droits. La vérification de profil de fichier de clés s'applique uniquement à un fichier de clés donné et ne permet pas un accès global au fichier de clés.

Avec la vérification de profil spécifique à un jeu, une ressource au format <NomPropriétaire>.<NomJeu>.LST permet un contrôle des accès à un jeu de clés spécifique sur les fonctions R_datalib READ.

Une ressource au format <PropriétaireJeu>.<NomJeu>.UPD permet un contrôle des accès à un jeu de clés spécifique sur les fonctions UPDATE.

Procédez comme suit pour définir des droits RACF pour les clients et les serveurs :

Procédure

  1. Utilisez la vérification de profil spécifique au jeu pour la classe RDATALIB. Utilisez les commandes suivantes :
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. Définissez un profil LST spécifique au jeu pour l'ID RACF ID de la région de contrôle et l'ID RACF de la région serviteur.
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. Attribuez l'accès CONTROL aux profils CRRACFID.**.LST et SRRACFID.**.LST de la classe RACF RDATALIB à l'ID utilisateur RACF de la région de contrôle. Par exemple, si l'ID utilisateur RACF de la région de est CRRACFID et que l'ID RACF de la région serviteur est SRRACFID, émettez les commandes suivantes :
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    Attribuez également l'accès READ à tous les ID de WASCFGGROUP pour le profil CRRACFID.**.LST.
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. Définissez un profil UPD spécifique au jeu pour l'ID RACF de la région de contrôle et l'ID RACF de la région serviteur.
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. Attribuez l'accès CONTROL aux profils CRRACFID.**.UPD et SRRACFID.**.UPD de la classe RACF RDATALIB à l'ID utilisateur RACF de la région de contrôle. Par exemple, si votre ID utilisateur RACF de la région de contrôle est CRRACFID, émettez la commande suivante :
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. Attribuez l'accès en écriture à l'ID administrateur de WebSphere Application Server afin d'autoriser les opérations d'écriture sur les jeux de clés du client WebSphere Application Server.
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. Actualisez la classe RDATALIB.
    SETR RACLIST(RDATALIB) REFRESH
    Remarque : Si les droits RACF ne sont pas accordés, vous recevez le message suivant lorsque vous tentez des opérations d'écriture de certificat sur un jeu de clés :
    Message d'erreur : une erreur s'est produite lors de la création du magasin de clés : erreur R_datalib (IRRSDL00) : une ou plusieurs mises à jour n'ont pas pu 
    être effectuées. Not RACF authorized to use the requested service. 
    Function code: (7) Return Codes: (8, 8, 8)
    Remarque : Si vous tentez de créer un jeu de clés ou d'effectuer une opération d'écriture de certificat spécifique et que la prise en charge native des jeux de clés inscriptibles n'est pas possible, vous recevez le message :
    erreur R_datalib (IRRSDL00) : une ou plusieurs mises à jour n'ont pas pu être effectuées. Requested Function_code not defined. 
    Function code: (7) Return Codes: (8, 8, 20)
    A faire : Vous devez travailler sous z/OS version 1.9 ou 1.8 avec l'APAR OA22287 OA22295 pour utiliser la prise en charge des jeux de clés inscriptibles.
    Pour plus d'informations, vous pouvez suivre le lien vers les documents suivants dans la bibliothèque Internet z/OS http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ :
    • Security Server RACF Callable Services (SA22-7691) constitue un guide complet des service d'appels RACF et du service R_Datalib
    • z/OS Security Server RACF Security Administrator's Guide (SA22-7683) constitue un guide complet des commandes RACF.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
Nom du fichier : tsec_7usewriteSAF_keyring.html