RACF® で CBIND クラスを使用すると、Java™ アプリケーション・クライアントまたは J2EE 準拠
サーバーからクラスターへの、クライアントによるアクセスを制限することができます。
クラスターにアクセスするには READ アクセス権が必要です。
始める前に
このクラスを使用すると、以下の ID アサーションを行うトラステッド・サーバー (オーセンティケーターのないもの) を指定することもできます。
要確認: サーバー・トラステッド ID を使用する場合、RACF サーバー ID には、プロファイルへの CONTROL アクセス権を付与する必要があります。
- 受け入れ済みの z/OS® Secure
Authentication Services (z/SAS) ID アサーション
- Common Secure Interoperability Version 2 (CSIv2) ID アサーション
- Web コンテナー HTTP トランスポート
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
このタスクについて
これによって、証明書を送信する中間サーバーが検証されます (MutualAuthCBindCheck=true)。
この種のアクセス制御が必要ない場合は、このクラスを非アクティブにすることができます。
サーバーはクラスター化されているか、クラスター化されていないかのいずれかです。
cluster_name の値は以下のとおりです。
- クラスター化サーバーの場合、これらのプロファイルで使用する cluster_name は、
クラスターのショート・ネームです。
- クラスター化されていないサーバーの場合は、cluster_name の代わりに、
サーバー・カスタム・プロパティー (ClusterTransitionName) を使用します。
注: サーバーをクラスター・サーバーに変換すると、ClusterTransitionName がそのクラスターのショート・ネームになります。
以下のステップでは、
WebSphere® Application Server for z/OS による
CBIND 許可検査について説明しています。
手順
- RACF で CBIND クラスを使用してクライアントによるクラスターへのアクセスを制限したり、
この種のアクセス制御が必要ない場合はこのクラスを非アクティブにしたりすることができます。
WebSphere Application Server for z/OS は、CBIND クラスの 2 つのタイプのプロファイルを使用します。 一方のタイプのプロファイルは、ローカル・クライアントまたはリモート・クライアントがクラスターにアクセスできるかどうかを制御するプロファイル。
プロファイル名の形式は
次のとおりです。ここで、cluster_name はクラスターの名前で、SAF_profile_prefix は SAF プロファイルで使用する接頭部です。
CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
注: 新規クラスターを追加する場合は、
すべての Java クライアント・ユーザー ID およびサーバーに、CB.
cluster_name
および CB.BIND.
cluster_name の RACF プロファイルへの読み取りアクセス権を付与しなければなりません。
例: WSADMIN には、CB.BBOC001 プロファイルおよび CB.BIND.BBOC001
プロファイルへの読み取り権限が必要です。
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- System Authorization Facility (SAF) CBIND クラスを使用して、プロセスが WebSphere Application Server for z/OS に対する ID を表明するトラステッド・プロセスであると示すこともできます。この方法は、主に、
既に呼び出し側を認証したトラステッド中間サーバーが使用するためのものです。
中間サーバー (またはプロセス) は、SSL クライアント証明書を使用して、WebSphere Application Server for z/OS に対するネットワーク ID を設定する必要があります。
このネットワーク ID は、SAF セキュリティー・サービスによって MVS ユーザー ID にマップされます。
ID を表明する権限を付与されるためには、このマップされた ID に対して CB.BIND.<optional SAF_profile_prefix>.<cluster_name> プロセスへの CONTROL アクセスが許可されていなければなりません。
以下の認証メカニズムでは、信頼の確立に CBIND プロファイルが使用されます。
- Web コンテナー HTTP トランスポート (プロパティーが MutualAuthCBindCheck=true と設定されている場合に、
暗号化されていないクライアント証明書を検証します)
- IIOP の CSIv2 ID アサーション
- 受け入れ済みの z/SAS ID アサーション
例えば、WEBSERV は、呼び出し側から受信されるクライアント証明書を次のように表明する必要があります。PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)