![[z/OS]](../images/ngzos.gif)
WebSphere Application Server をカスタマイズする際の Resource Access Control Facility のヒント
RACF® (あるいはご使用のセキュリティー製品) で CBIND、SERVER、および STARTED クラスによるサーバー・リソースの保護に使用されるセキュリティー・メカニズムについて知っておくことは重要です。 この文書では、これらのメカニズムとあわせて、セキュリティー環境を管理する技法についても説明します。
- CBIND: サーバーへのアクセスと、そのサーバー内のオブジェクトへのアクセス
- SERVER: サーバント領域によるコントローラー領域へのアクセス
- STARTED: ユーザー ID およびグループの、始動済みプロシージャー (STC) への関連付け
セル内の他のサーバーで必要な RACF プロファイルおよび許可を追加する必要があります。
ユーザー、グループおよびプロファイルのテスト環境用最小セットを定義できます (テスト環境では、個々のサーバーのセキュリティーは主な焦点や関心事ではありません)。
RACF プロファイル (CBIND、SERVER、および STARTED): WebSphere で使用される RACF プロファイルの基礎的な情報は、System Authorization Facility のクラスおよびプロファイルに記載されています。 このセクションでは、CBIND、SERVER、および STARTED クラスのプロファイルに関する追加情報について述べます。
CR = コントローラー領域
SR = サーバント領域
CFG = 構成 (グループ)
server = サーバーのショート・ネーム
cluster = 汎用サーバーの (ショート) ネーム (クラスター遷移名ともいう)
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>
WebSphere のサーバーおよびリソース、許可レベルやアクセス・レベルを保護するために使用される各種のプロファイルは、次のとおりです。
CBIND クラス・プロファイル - 汎用サーバーへのアクセス
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)
CBIND クラス・プロファイル - サーバー内のオブジェクトへのアクセス
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)
SERVER クラス・プロファイル: SERVER クラス・プロファイルはサーバー・コントローラー領域へのアクセスを保護するためのもので、現時点では 2 種類のフォーマットがあります。 Dynamic Application Environment (DAE) のサポートが使用可能になっているかどうかによって、 単一フォーマットの SERVER プロファイルを定義する必要があります。 これは、WLM DAE APAR OW54622 (z/OS V1R2 以上に適用できます) を使用して行われます。
- 次のコマンドで、静的アプリケーション環境を使用してコントローラーにアクセスできます (APAR はサポートされません): RDEFINE CB.&<server>.&<cluster> UACC(NONE); PERMIT &<SR_userid> ACC(READ) この例で、server = サーバー名、cluster = クラスター名またはクラスター遷移名 (クラスターがまだ作成されていない場合)、SR = サーバー領域の MVS ユーザー ID です。
- 次のコマンドで、動的アプリケーション環境を使用してコントローラーにアクセスできます (WLM DAE APAR はサポートされます): CB.&<server>.&<cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) この例で、server = サーバー名、cluster = クラスター名またはクラスター遷移名 (クラスターがまだ作成されていない場合)、cell = セルのショート・ネーム、SR = サーバー領域の MVS ユーザー ID です。
STARTED クラス・プロファイル - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))
STARTED クラス・プロファイル - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))
IJP 用の STARTED クラス・プロファイル - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))
新規サーバーに対する新規ユーザー ID およびプロファイルの生成: 新規のアプリケーション・サーバーごとに固有のユーザー ID を使用する場合は、これらのユーザー、グループ、およびプロファイルを RACF データベースで定義する必要があります。
- 新規サーバーに固有のユーザー ID を割り当てる必要がある場合は、新規ユーザーを 3 つ定義して、
それらを次のグループに関連付けます。
<New_CR_userid> <CR_groupid>, <CFG_groupid><New_SR_userid> <SR_groupid>, <CFG_groupid><New_client_userid> <client_groupid>
- 新規クラスターの CBIND クラス・プロファイル (汎用サーバーのショート・ネーム):
CB.BIND.<New_cluster>CB.<New_cluster>
- 新規サーバーおよびクラスターのための SERVER クラス・プロファイル:
CB.<New_server>.<New_cluster>CB.<New_server>.<New_cluster>.<cell>
- 新規サーバーのコントローラー領域およびサーバント領域のための STARTED クラス・プロファイル:
<CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid) GROUP(CFG_groupid)) <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */
/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */