[z/OS]

制御の要約

各コントローラー、サーバント、およびクライアントは、それぞれ独自の MVS™ ユーザー ID を備えている必要があります。要求が、クライアントからクラスターへ、 またはクラスターからクラスターへ送られるときに、WebSphere® Application Server for z/OS® は、 要求とともにユーザー識別 (クライアントまたはクラスター) を渡します。 このように、ユーザー識別のために各要求が実行され、 システムは、ユーザー識別がこのような要求を行う権限を持っているかどうかを確認します。 この表には、SAF および SAF 以外の許可の概要を示します。

管理セキュリティー設定から独立した z/OS セキュリティー制御の要約

WebSphere Application Server for z/OS の構成には、 以下のような多数の異なるタイプのプロセスが存在します。
  • デプロイメント・マネージャー
  • ノード・エージェント
  • ロケーション・サービス・デーモン
  • WebSphere Application Server
これらは、それぞれ WebSphere Application Server for z/OS コントローラーのプロセス またはプロセスの対 (コントローラーとサーバント) のいずれかとして表示できます。

それぞれのコントローラーとサーバントは、 始動済みタスクの定義の一部として割り当てられる有効な MVS ユーザー ID で実行される必要があります。 この MVS ユーザー ID は、 有効な UNIX システム・サービスのユーザー ID (UID) を持ち、 有効な MVS および UNIX システム・サービスのグループ ID (GID) を持つ、 セル内のすべてのサーバーに共通の WebSphere 構成グループに関連付けられている必要があります。

以下の表に、これらのコントローラーおよびサーバントがオペレーティング・システム・リソースにアクセスするために 必要な権限を付与するために使用される制御についての要約を示します。これらの制御を理解して使用することにより、WebSphere Application Server for z/OS でのすべてのリソース・アクセスを制御できます。
表 1. 制御および SAF 許可の要約.

次の表には、制御およびその SAF 許可のサマリーが含まれています。

制御 許可
DATASET クラス データ・セットへのアクセス
DSNR クラス Database 2 (DB2®) へのアクセス
FACILITY クラス (BPX.WLMSERVER) BPX.WLMSERVER プロファイルにアクセスして、サーバントの作業負荷マネージャー (WLM) 別プログラム管理を実行します。 このアクセスがなければ、クラス分けは実行できません。
FACILITY クラス (IMSXCF.OTMACI) Open Transaction Manager Access (OTMA) for Information Management System (IMS™) へのアクセスおよび BPX.WLMSERVER プロファイルへのアクセス
HFS ファイル許可 Hierarchical File System (HFS) ファイルへのアクセス
LOGSTRM クラス ログ・ストリームへのアクセス
OPERCMDS クラス startServer.sh シェル・スクリプト および Integral JMSProvider へのアクセス
SERVER クラス サーバントによる、コントローラーへのアクセス
STARTED クラス プロシージャーを開始するためにユーザー ID (およびオプションでグループ ID) を関連付ける
SURROGAT クラス (*.DFHEXCI) EXCI for Customer Information Control System (CICS®) へのアクセス

WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドおよびリソース・アクセス管理機能 (RACF®) カスタマイズ・ジョブによって、これらは *'ed プロファイルの初期サーバー設定用にセットアップされます。

注: その他のプロファイル許可の例は 、HLQ.DATA(BBOWBRAC) に生成された exec ファイルにあります。 固有のコネクター・リソース (CICS、DB2、IMS) の許可に使用する ID の選択は、 以下によって決まります。
  • コネクターのタイプ
  • デプロイ済みアプリケーションのリソース認証 (resAuth) 設定
  • 別名の可用性
  • セキュリティー設定
DB2、IMS、CICS などのリソース・マネージャーは、 独自のリソース制御を実装しており、 クライアントがリソースにアクセスできるかどうかを制御します。 リソース制御を DB2 で使用する場合は、DSNR RACF クラスを使用するか (RACF サポートがある場合) または関連する DB2 GRANT ステートメントを実行します。 以下の操作が可能です。
  • OTMA for IMS に、FACILITY クラス (IMSXCF.OTMACI) を使用してアクセスします。
  • EXCI for CICS に、SURROGAT クラス (*.DFHEXCI) を使用してアクセスします。
  • データ・セットへのアクセスは DATASET クラスを使用して制御し 、HFS ファイルへのアクセスはファイル・アクセス権を使用して制御します。

J2EE アプリケーションによってアクセスされるその他のすべての MVS サブシステム・リソースに対する MVS SAF 許可は通常、サーバントの MVS ユーザー ID の識別を使用して実行されることに注意してください。詳しくは、Java Platform, Enterprise Edition ID および オペレーティング・システム・スレッド IDを参照してください。

FACILITY クラスの BPX.WLMSERVER プロファイルは、アドレス・スペースを許可するために使用され、 サーバー領域でワークロード管理を実行するワークロード管理 (WLM) と連動するLanguage Environment® (LE) ランタイム・サービスを使用します。これらの LE ランタイム・サービスは WebSphere Application Server が 別プログラムから種別情報を抽出し、別プログラムと作業との関連付けを管理するために使用します。コントローラーからサーバントへ渡されなかったサーバー領域作業の WLM 別プログラムの操作には、 未許可のインターフェースが使用されるため、WebSphere Application Server のサーバントでは、 このプロファイルに対する読み取りアクセスが許可されている必要があります。 この許可がなくては、java.lang.SecurityException で WLM 別プ ログラムを作成、削除、結合、あるいはそのままにしようとしても失敗します。

管理セキュリティーおよびアプリケーション・セキュリティーが使用可能であるときに有効な z/OS セキュリティー制御の要約

管理セキュリティーおよびアプリケーション・セキュリティーが有効である場合は、 暗号化およびメッセージ保護で SSL が有効でなければなりません。 さらに、J2EE と管理クライアントの認証および権限も使用可能です。

管理セキュリティーが使用可能であるときは、 SSL サービスで必要な FACILITY クラスの 許可と、SAF 鍵リングの定義が必要です。

要求が、クライアントから WebSphere Application Server へ、 またはクラスターからクラスターへ送られる場合、WebSphere Application Server for z/OS は、 要求とともにユーザー ID (クライアントまたはクラスター) を渡します。 したがって、各要求はユーザー識別の代わりに実行され、システムは、そのユーザー識別がそのような要求を行う権限を持っているかどうかを検査します。 この表には、SAF を使用する z/OS 固有の権限の概要を示します。

以下の表に、リソースへの許可を与えるために使用される制御を要約します。これらの制御を理解して使用することにより、WebSphere Application Server for z/OS でのすべてのリソースに対するアクセスを制御できます。
表 2. 制御および SAF 許可の要約.

次の表には、制御およびその SAF 許可のサマリーが含まれています。

制御 許可
CBIND クラス クラスターへのアクセス
EJBROLE または GEJBROLE クラス エンタープライズ Bean のメソッドへのアクセス
FACILITY クラス (IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING) SSL 鍵リング、証明書、およびマッピング
FACILITY クラス (IRR.RUSERMAP) Kerberos クレデンシャル
FACILITY クラス (BBO.SYNC) 「Synch to OS Thread Allowed」の使用可能化
FACILITY クラス (BBO.TRUSTEDAPPS) 信頼されたアプリケーションの使用可能化
SURROGAT クラス (BBO.SYNC) 「Synch to OS Thread Allowed」の使用可能化
PTKTDATA クラス シスプレックスで使用可能なパスチケット
OS スレッド識別を RunAs 識別に設定する J2EE 以外のリソースの開始識別を使用可能にするために使用される J2EE クラスター・プロパティー

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
ファイル名:rsec_sumofcontrol.html