![[z/OS]](../images/ngzos.gif)
z/OS セキュリティー・オプション
このページを使用して、z/OS® 用のアプリケーション・サーバーに指定するグローバル・セキュリティー・オプションを決定します。
この管理コンソール・ページを表示するには、
をクリックします。- とクリックします。
- 「セキュリティー」の下の「サーバー・ドメイン」をクリックします。
- 「z/OS セキュリティー・オプション」をクリックします。
初めてセキュリティーの構成を行うときは、変更を行う前に、『グローバル・セキュリティー』 に記載されたステップを実行してください。セキュリティーを構成した後で、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 グローバル・セキュリティーを使用可能にした後でユーザー・レジストリー設定の妥当性検査を行うと、 初めてサーバーを再始動するときに生じる可能性のある問題を減らすことができます。
リモート ID
別のシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアントについて想定される、 System Authorization Facility (SAF) ユーザー ID を指定します。
アプリケーション・リモート ID が許可されているかどうかを指定します。
ローカル ID
同じシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアント について想定される、SAF ユーザー ID を指定します。
アプリケーション・ローカル ID が許可されているかどうかを指定します。
アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする
SyncToOSThread オプションを指定するアプリケーション・コンポーネントのためにアプリケーション・サーバーがこのオプションを処理できることを指定します。
このオプションは、アプリケーションがこの機能を要求するようコーディングされている場合に、アプリケーション・サーバーのランタイムで使用される Java™ Platform, Enterprise Edition (Java EE) ID とオペレーティング・システムのスレッド ID を同期化できるかどうかを示します。
オペレーティング・システム識別と Java EE 識別を同期化すると、オペレーティング・システム識別は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans (EJB) ファイルでの代行 RunAs 識別と同期化されます。 この同期化または関連とは、サーバー領域識別ではなく、呼び出し元またはセキュリティー・ロールの ID が、ファイルへのアクセスなどの z/OS システム・サービス要求に使用されることを意味します。
- 「Sync to OS thread allowed」値は true です。
- アプリケーションは、デプロイメント記述子内に、true に設定される com.ibm.websphere.security.SyncToOSThread の env-entry を組み込みます。
- 構成されたユーザー・アカウント・リポジトリーは、ローカル・オペレーティング・システムです。
これらの条件が true の場合、OS スレッド識別は最初、 Web または EJB 要求の認証呼び出し元に設定されます。Java EE 識別が変更されると、OS スレッドは変更されます。Java EE 識別は、デプロイメント記述子 の RunAs 仕様か、またはプログラマチック WSSubject.doAs() 要求のいずれか によって、変更することができます。
デフォルト設定である「OS スレッドへの同期の許可」値が false の場合は、 インストール済みアプリケーションのデプロイメント記述子のデプロイメント記述子設定の オペレーティング・システム・スレッドで ID を変更する機能は使用不可です。 サーバーが同期化の使用可能化を受け入れるように構成されておらず、アプリケーションのデプロイメント記述子 com.ibm.websphere.security.SyncToOSThread が true に設定されている場合、BBOJ0080W 警告メッセージにより、EJB が SyncToOSThread オプションを要求しているにもかかわらず、サーバーで SyncToOSThread オプションが使用可能になっていないことが示されます。
重要: このオプションは、セキュリティー監査に使用される SMF 80 のレコード数を著しく増加させます。 セキュリティー監査が SMF 80 のレコードに対してオンにされると、DASD の使用量は著しく増加します。
接続マネージャー RunAs スレッド ID を使用可能にするオプション
実行スレッド上の Java Platform, Enterprise Edition (Java EE) ID と関連付けられた MVS ID を設定します。ローカル Java EE コネクター・アーキテクチャー (J2CA) コネクターは、アプリケーションによる接続要求があると、認証および許可を行うために MVS ID を使用する場合があります。
- リソース許可がコンテナー管理に設定されています (res-auth=container)。
- このアプリケーションのデプロイ時に別名エントリーがコーディングされていません。
- 「OS スレッドへの接続マネージャー同期」設定が「使用可能」に設定されています。
例えば、各表へのアクセス権を持つユーザーを制御する、 既存の DB2® for z/OS セキュリティー・ポリシーを保有している場合は、DB2 for z/OS にも アクセスする WebSphere アプリケーションにユーザーがアクセスするときに、このポリシーの実行が必要になります。 「Connection Manager RunAs Identity Enabled」が選択されると、 オペレーティング・システム ID (サーバー ID) ではなく、 Java EE ID (デフォルトにより、クライアント ID) が使用されて、 DB2 for z/OS への接続が確立されます。 アプリケーションについての DB2 for z/OS 表アクセスは、 既存の DB2 for z/OS セキュリティー・ポリシーを使用して判別されます。
スレッド識別サポートを使用する J2CA コネクターは、スレッド識別をサポートしていなければなりません。 顧客情報管理システム (CICS®)、情報管理システム (IMS™)、および DATABASE 2 (DB2) は スレッド識別をサポートします。 CICS および IMS では、ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと 同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。DB2 では、常にスレッド識別がサポートされます。コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。
通知 | 値 |
---|---|
データ型 | ブール |
デフォルト | 使用不可 |
範囲 | 使用可能または使用不可 |