[z/OS]

z/OS オペレーティング・システムでのグループの使用による ジョブ・スケジューラー の保護

グループを使用して、ジョブ・スケジューラー をセキュアにすることが できます。そうすると、ユーザーがジョブに関する操作を実行できるのは、ユーザーとジョブが同じグループの メンバーである場合のみになります。

始める前に

デプロイメント・マネージャーおよびすべてのノード・エージェントを開始します。

このタスクについて

WebSphere® Application Server グローバル・セキュリティーを使用可能にする。統合リポジトリー用のユーザー・レジストリー・ブリッジを構成します。 VMM SAF マッピング・モジュールをインストールして構成し、このモジュールを 3 つのログイン・モジュールに 追加します。RACF® を使用 して、グループを作成し、そのグループにユーザーを追加します。その後、グループを ジョブに割り当てます。

手順

  1. グローバル・セキュリティーを使用可能にします。
    WebSphere Application Server 資料で、セキュリティーの使用可能化に関する セクションを参照し、指示に従ってください。グローバル・セキュリティーのページで、 以下のオプションが選択されていることを確認してください。
    • 「管理セキュリティーを使用可能にする」および「アプリケーション・セキュリティーを使用可能にする」
    • 「使用可能なレルム定義」に対して「統合リポジトリー」

      このオプションが 選択されていない場合、選択してから「現行として設定」をクリックしてください。

    • 「許可プロバイダー」に対して「SAF 代行を使用可能にする」
  2. 統合リポジトリー用のユーザー・レジストリー・ブリッジを構成します。

    WebSphere Application Server 資料で、統合リポジトリー用のユーザー・レジストリー・ブリッジ の wsadmin スクリプトを使用した構成に関するセクションを参照し、指示に従ってください。

  3. SampleVMMSAFMappingModule モジュールをインストールして構成します。

    製品のカスタム System Authorization Facility マッピング・モジュールのインストールと構成に関するセクションを参照し、指示に従ってください。このモジュールを WEB_INBOUND、RMI_INBOUND、 および DEFAULT ログイン・モジュールに追加します。

  4. 変更を同期化し、セルを再始動します。
  5. グループを作成し、そのグループにユーザーを追加します。

    RACF ユーザーズ・ガイド「Security Server RACF ユーザーズ・ガイド」でグループの作成およびグループへのユーザーの追加に関する説明を参照してください。

  6. バッチ環境が使用するポリシーを示すカスタム・プロパティーを設定します。
    1. 「システム管理」 > 「ジョブ・スケジューラー」を展開します。
    2. 「追加プロパティー」で、「カスタム・プロパティー」 > 「新規」をクリックします。
    3. 「名前」フィールドに JOB_SECURITY_POLICY と入力し、「値」フィールドに GROUP と入力します。
    4. 「OK」をクリックします。
  7. グループをジョブに割り当てます。

    ジョブはいずれかのユーザー・グループおよび管理グループに 属します。JOB_SECURITY_ADMIN_GROUP 変数 が定義されていない場合、ジョブ・スケジューラーが管理グループを各ジョブに自動的に 割り当てます。

    • JOB_SECURITY_ADMIN_GROUP ジョブ・スケジューラー・カスタム・プロパティーを介して、 管理グループ名の値を構成します。
      JOB_SECURITY_ADMIN_GROUP=JSYSADMN
      デフォルトの 管理グループ名は JSYSADMN です。
    • 以下のいずれかの方法を使用して、グループを割り当てます。
      • 次の例のように、xJCL 内の group 属性にグループを定義します。
        <job-name=”{jobname}” group=”{group-name}” …  />
      • JOB_SECURITY_DEFAULT_GROUP ジョブ・スケジューラー・カスタム・プロパティー を使用して、ジョブ・スケジューラーのデフォルトのグループ名を設定します。
        JOB_SECURITY_DEFAULT_GROUP=JSYSDFLT
        デフォルトのグループ名は JSYSDFLT です。
      このジョブ・スケジューラー・カスタム・プロパティーよりも、xJCL 内の group 属性 が優先されます。xJCL 内にグループ名が指定されていない場合、 ジョブ・スケジューラーがデフォルトのグループ名を割り当てます。

タスクの結果

ユーザーがグループ・セキュリティーを使用してジョブを管理できるよう、グループを作成し、 そのグループにユーザーを割り当てました。

次のタスク

グループ・セキュリティーを使用してジョブを管理します。

  1. ジョブをサブミットします。
  2. 前のステップで作成した user1 ユーザーを使用して、ジョブ・ログの表示など、ジョブに関する操作を行います。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_bgsecure_group_zos
ファイル名:tgrid_bgsecure_group_zos.html