[z/OS]

SAF を使用した分散 ID マッピング

System Authorization Facility (SAF) for z/OS® を使用した分散 ID マッピング・フィーチャーは、いくつかの重要な利点をもたらす、このバージョンの WebSphere® Application Server の新規機能です。

このリリースの WebSphere Application Server では、z/OS System Authorization Facility (SAF) セキュリティーを使用して、SAF ユーザー ID を分散 ID に関連付けることができます。このフィーチャーを使用すると、監査の目的でユーザーの元の識別情報を維持できるので、WebSphere Application Server で構成する内容が少なくなります。

z/OS セキュリティーの製品は、分散 ID マッピングをサポートする適切なバージョンである必要があります。正しい SAF バージョンは 7760 以降です。Resource Access Control Facility (RACF®) の場合、z/OS バージョン 1.11 以降が必要です。

このフィーチャーを使用する利点として以下のことが挙げられます。
  • Lightweight Directory Access Protocol (LDAP) などの非ローカル OS レジストリーを使用している場合、SAF 許可、z/OS スレッド ID 同期化 (SyncToThread)、または接続マネージャー RunAs スレッド ID のいずれかのオプションを使用すると、LDAP ユーザーを、z/OS セキュリティー製品で RACMAP SAF プロファイルを持つ SAF ユーザーに直接にマップすることができます。マッピング・モジュールは必要ありません。したがって、WebSphere Application Server ではこうしたモジュールを構成しないでください。SMF 監査レコードには LDAP ユーザー名とマップ済み SAF ユーザー ID の両方が含まれます。
  • ローカル OS レジストリーを使用し、Kerberos または Simple and Protected GSS-API Negotiation (SPNEGO) を使用している場合、Kerberos プリンシパルを z/OS セキュリティー製品の SAF ユーザーに直接マップすることができます。マッピング・モジュールは必要ありません。したがって、WebSphere Application Server ではこうしたモジュールを構成しないでください。SMF 監査レコードには Kerberos プリンシパルとマップ済み SAF ユーザー ID の両方が含まれます。
注: SAF 分散 ID マッピング機能は、混合バージョン・セル (WebSphere Application Server バージョン 8.0 より前のバージョンのノード) ではサポートされていません。

分散 ID マッピングを使用する場合の利点

SAF での分散 ID マッピングには以下の 2 つの主な利点があります。
  • ユーザーが z/OS オペレーティング・システムで SMF 使用して監査された場合、監査レコードには分散 ID とマップされた SAF ユーザー ID の両方が含まれます。これにより、クロスプラットフォーム・インターオペラビリティーが改善され、ホスト集中環境と異種アプリケーション環境の両方の値が提供されます。
  • 分散 ID のマッピングは、z/OS セキュリティー管理者によって処理されます。WebSphere Application Server 構成でマッピング・モジュールを構成する必要はありません。

分散 ID マッピングを使用するタイミング

以下のシナリオで、SAF の新規分散 ID マッピング・フィーチャーをどのように使用できるかについて説明します。
  • シナリオ 1: SAF 許可、z/OS スレッド ID 同期化 (SyncToThread)、または接続マネージャー RunAs スレッド ID のいずれかのオプションで非ローカル OS レジストリーを構成している場合、このフィーチャーを使用して、レジストリー・ユーザーを SAF ユーザーにマップできます。従来のリリースでは、この処理は、WebSphere Application Server で構成されている Java™ 認証・承認サービス (JAAS) のログイン・モジュールで実行する必要がありました。

    分散 ID マッピングを使用する利点は、SMF 監査レコードに分散ユーザーと SAF ユーザーの両方が含まれ、マッピングが z/OS セキュリティー管理者によって制御されることです。

    非ローカル OS レジストリー・ユーザーをマッピングする場合、分散ユーザー名は、WebSphere Application Server の WSCredential.getUniqueSecurityName() API によって戻される値です。レルム名は、WebSphere Application Server の WSCredential.getRealmName() API によって決定されます。

    このシナリオの分散 ID マッピングを有効にするために、以後セキュリティー構成に変更を加える必要はありません。

    注: シナリオ 1 で、UserRegistry ブリッジを使用して 構成された統合リポジトリー・レジストリーを使用する場合でも、SAF 分散 ID マッピング機能を 利用することができます。 SAF ユーザーでログインした場合は、マップされません。しかし、分散ユーザーでログインした場合は、SAF ユーザーに マップされます。
  • シナリオ 2: ローカル OS レジストリーを Kerberos または SPNEGO が使用可能の z/OS プラットフォームで構成している場合、分散 ID マッピング・フィーチャーを使用して、Kerberos プリンシパル名を SAF ユーザーにマップすることができます。従来のリリースでは、WebSphere Application Server で構成されている JAAS マッピング・ログイン・モジュールか、z/OS セキュリティー製品で SAF ユーザーの KERB セグメントのいずれかを使用することができました。

    分散 ID マッピングを使用する利点は、SMF レコードに Kerberos ユーザーとマップされた SAF ユーザーの両方が含まれることです。

    Kerberos ユーザーをマッピングする場合、分散ユーザー名は Kerberos プリンシパル名です。レルム名は、Kerberos 鍵配布センター (KDC) の Kerberos レルム名です。z/OS セキュリティー製品での分散 ID フィルターの作成について詳しくは、z/OS セキュリティー・トピックの「分散 ID フィルター構成」を参照してください。

    このシナリオの分散 ID マッピングを使用可能にするには、次のようにします。
    • 「セキュリティー」>「グローバル・セキュリティー」>「Kerberos 構成」に移動します。
    • 「分散 ID マッピングに SAF 製品の RACMAP プロファイルを使用する」のラジオ・ボタンを選択します。

    この変更を wsadmin スクリプトを使用して行う場合は、セキュリティー・カスタム・プロパティー com.ibm.websphere.security.krb.useRACMAPMappingToSAF=true を設定します。

  • シナリオ 3: ローカル OS レジストリーを構成している場合、表明された証明書または表明された識別名を SAF ユーザーにマップすることができます。

    以前のリリースでは、表明された識別名の最初の属性が SAF ユーザーにマップされていました。 表明された識別名に分散 ID マッピングを使用する利点は、マッピング・ユーザーの柔軟性が追加されたこと、マッピングが z/OS セキュリティー管理者によって制御されること、および SMF 監査レコードに表明された識別名とマップされた SAF ユーザー ID の両方が含まれることです。 従来のリリースでは、表明された証明書は SAF の RACDCERT MAP 関数を使用して SAF ユーザーにマップされていました。 分散 ID マッピングを使用する利点は、SMF 監査レコードに証明書の識別名とマップされた SAF ユーザー ID の両方が含まれることです。 さらに、SAF データベースはデジタル証明書を保管する必要がないので、スペースの節約になります。

    SAF 内で表明された証明書や識別名をマッピングする際には、分散ユーザーは識別名に、レルム名は現在の SAF レルムになります。

    SAF 内で表明された証明書や識別名をマッピングする際には、分散ユーザーは識別名に、レルム名は現在の SAF レルムになります。

    このシナリオの分散 ID マッピングを使用可能にするには、次のようにします。
    • 「セキュリティー」>「グローバル・セキュリティー」>「CSIv2 インバウンド通信」に移動します。
    • 「属性層設定 (Attribute layer settings)」で、「SAF 分散 ID マッピングを使用した証明書と識別名のマップ」を選択します。

    この変更を wsadmin スクリプトを使用して行う場合は、セキュリティー・カスタム・プロパティー com.ibm.websphere.security.certdn.useRACMAPMappingToSAF=true を設定します。

  • [z/OS]シナリオ 4: ローカル OS レジストリーを構成している場合、 CSIv2 トランスポート層で受信された証明書を SAF ユーザーにマップすることができます。

    従来のリリースでは、証明書は SAF の RACDCERT MAP 関数を使用して SAF ユーザーにマップされていました。 分散 ID マッピングを使用する利点は、SMF 監査レコードに証明書の識別名とマップされた SAF ユーザー ID の両方が含まれることです。

    [z/OS]CSIv2 トランスポート層で受信した証明書をマッピングする際には、分散ユーザーは識別名に、レルム名は現行の SAF レルムになります。さらに、SAF データベースはデジタル証明書を保管する必要がないので、スペースの節約になります。

    このシナリオの分散 ID マッピングを使用可能にするには、次のようにします。
    • 「セキュリティー」>「グローバル・セキュリティー」>「CSIv2 インバウンド通信」に移動します。
    • 「トランスポート層設定」で、「SAF 分散 ID マッピングを使用して証明書をマップする」を選択します。

    この変更を wsadmin スクリプトを使用して行う場合は、セキュリティー・カスタム・プロパティー com.ibm.websphere.security.certificate.useRACMAPMappingToSAF=true を設定します。

    注: 識別名で属性の間に空白スペースがある場合は、それらの空白を正しく解析するために RACF APAR OA34258 または PTF UA59873、および SAF APAR OA34259 または PTF UA59871 を適用する必要があります。
表 1. 分散 ID マッピング・シナリオ. 以下の表は、分散 ID マッピングのそれぞれのシナリオでの構成を要約したものです。
シナリオ SAF バージョン ユーザー・レジストリー SAF authorization=true、SyncToThread=true、runAs=true JAAS マッピング・モジュール構成の有無 Kerberos または SPNEGO 使用可能
シナリオ 1 7760 以降 (RACF では z/OS 1.11 以降) 非ローカル OS あり なし 該当しません
シナリオ 2 7760 以降 (RACF では z/OS 1.11 以降) Local OS あり なし あり
シナリオ 3 7760 以降 (RACF では z/OS 1.11 以降) Local OS あり なし 該当しません
[z/OS]シナリオ 4 [z/OS]7760 以降 (RACF では z/OS 1.11 以降) [z/OS]Local OS [z/OS]あり [z/OS]なし [z/OS]該当しません

分散 ID マッピングを構成する場合の考慮事項

分散 ID マッピングを構成する場合は、以下のアクションを実行する必要があります。

  • SAF のバージョンを判別します。まず、z/OS セキュリティー・バージョンが SAF バージョン 7760 以降であることを確認します。RACF を使用している場合は、z/OS バージョン 1.11 以降が必要です。この判別には、新規 AdminTask の isSAFVersionValidForIdentityMapping() が役立ちます。さらに、サーバーのジョブ・ログには現在の SAF のバージョンを示す通知メッセージ SECJ6233I が記録されます。
  • 不要な JAAS ログイン・モジュールを削除します。com.ibm.ws.security.common.auth.module.MapPlatformSubject ログイン JAAS モジュールが WebSphere 構成に構成されていないことを確認する必要があります。WebSphere Application Server の従来のリリースでは、これは、分散ユーザーの SAF ユーザーへのマッピングがどのように実行されたかを示します。 このログイン・モジュールが構成されている限り、セキュリティー構成では、分散ユーザーを SAF ユーザーへマッピングするための従来の方法が引き続き使用されます。新規の WebSphere Application Server バージョン 8.0 セルを構成している場合、この JAAS ログイン・モジュールはデフォルトでは構成されません。したがって、以後の処置は必要ありません。 しかし、セルを WebSphere Application Server バージョン 8.0 にマイグレーションした場合には、JAAS ログイン・モジュールが存在して削除が必要になる可能性があります。 管理コンソールまたは wsadmin スクリプトを使用して、このログイン・モジュールを削除することができます。提供された Jython スクリプトの removeMapPlatformSubject.py を使用することもできます。このスクリプトは、適切なログイン・エントリーからこのログイン・モジュールを検索して削除します。このスクリプトの使用法について詳しくは、removeMapPlatformSubject スクリプトのトピックを参照してください。
    管理コンソールで JAAS ログイン・モジュールを削除するには、以下のステップを実行します。
    1. 「セキュリティー」>「グローバル・セキュリティー」>「Java 認証・承認サービス」>「システム・ログイン」をクリックします。
    2. デフォルト (DEFAULT)」をクリックします。
    3. com.ibm.ws.security.common.auth.module.MapPlatformSubject ログイン JAAS モジュールのチェック・ボックスを選択してから、「削除 (Delete)」をクリックします。
    4. OK」をクリックします。
    5. WEB_INBOUND、RMI_INBOUND、および SWAM_ZOSMAPPING のシステム・ログインについて、ステップ 2 から 4 までを繰り返します。
  • z/OS セキュリティー製品で SAF ユーザーをマップします。z/OS セキュリティー製品で RACMAP コマンドを使用して、分散 ID フィルターを構成します。このフィルターで複数の分散ユーザーを 1 人の SAF ユーザーにマップするか、1 対 1 のマッピングを行うことができます。分散 ID フィルターは、分散ユーザー名と分散ユーザーが存在するレジストリーのレルム名という 2 つの部分から構成されます。
    注: 場合によっては、RACMAP フィルターへの 変更が WebSphere サーバー上で即時に有効にならないことがあります。 詳しくは、「z/OS セキュリティーの分散 ID フィルター構成」トピックの 「認証ユーザーに関する RACMAP フィルター変更の有効化」を参照してください。

    セキュリティー・ドメイン・レベルで SAF 分散 ID マッピング機能を構成する場合、そのドメインのレルム名に注意してください。レルム名を指定するか、またはシステム生成のレルム名を使用できます。いずれのオプションを選択する場合でも、これは SAF レジストリーでマッピングを定義するときに使用する必要があるレルム名です。

  • セキュリティー構成に必要な変更を加えます。 シナリオ 1 から 4 までを読み、セキュリティー構成に加える必要がある追加の変更を判別します。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_identity_saf
ファイル名:csec_identity_saf.html