[z/OS]

書き込み可能 SAF 鍵リングの使用

WebSphere® Application Server には、WebSphere Application Server 管理者が、System Authorization Facility (SAF) 鍵リングの OCSF (Open Cryptographic Services Facility) データ・ライブラリー機能を使用することによって、SAF 鍵リングで証明書管理操作を実行できるようにするための機能があります。

始める前に

アプリケーション・サーバー・プロファイルを生成する前に、プロファイル管理ツールを使用して、書き込み可能鍵リングのサポートを使用可能にする必要があります。 書き込み可能鍵リングのサポートは、z/OS® リリース 1.9、 または APAR OA22287 - Resource Access Control Facility (RACF®) (または 同等のセキュリティー製品の APAR) および APAR OA22295 - SAF が適用された z/OS リリース 1.8 が 稼働している場合にのみ構成可能です。

このタスクについて

クライアントおよびサーバーの RACF 権限の定義

デフォルトでは、プロファイル管理時に書き込み可能鍵リングのサポートが使用可能に設定されると、デフォルトの RACF 構成スクリプトによって、書き込み権限を与えるために必要なコマンドが生成されます。オプションとして、既存のインストール済み環境からマイグレーションする場合は、 以下の手順を使用して RACF を構成できます。
注: 制御領域では、すべてのサーバー証明書管理書き込み操作を実行します。RACF 管理者は、制御領域の RACF ID に、制御領域鍵リングとサーバント領域鍵リングを更新する権限を明示的に付与する必要があります。

以下の手順では、リング固有のプロファイル検査を使用して権限を付与します。リング固有のプロファイル検査は、特定の鍵リングにのみ適用され、いずれの鍵リングへのグローバル・アクセスも許可されません。

リング固有のプロファイル検査では、<ringOwner>.<ringName>.LST フォーマットのリソースを使用して、R_datalib READ 関数の特定の鍵リングに対してアクセス制御を行います。

<ringOwner>.<ringName>.UPD フォーマットのリソースは、UPDATE 関数で特定の鍵リングに対してアクセス制御を行うために使用します。

クライアントおよびサーバーの RACF 権限を定義する手順は以下のとおりです。

手順

  1. RDATALIB クラスでリング固有のプロファイル検査を使用します。以下のコマンドを使用します。
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. 制御領域 RACF ID とサーバント領域 RACF ID のリング固有 LST プロファイルを定義します。
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. RACF RDATALIB クラスの CRRACFID.**.LST プロファイルと SRRACFID.**.LST プロファイルへの CONTROL アクセス権を制御領域 RACF ユーザー ID に付与します。例えば、制御領域 RACF ユーザー ID が CRRACFID で、サーバント領域 RACF ユーザー ID が SRRACFID の場合は、次のコマンドを発行します。
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    また、CRRACFID.**.LST プロファイルへの READ アクセス権を、WASCFGGROUP 内のすべての ID に付与します。
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. 制御領域 RACF ID とサーバント領域 RACF ID のリング固有 UPD プロファイルを定義します。
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. RACF RDATALIB クラスの CRRACFID.**.UPD プロファイルと SRRACFID.**.UPD プロファイルへの CONTROL アクセス権を制御領域 RACF ユーザー ID に付与します。例えば、制御領域 RACF ユーザー ID が CRRACFID の場合は、以下のコマンドを発行します。
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. WebSphere Application Server 管理者 ID に、WebSphere Application Server クライアントの鍵リングへの書き込み操作を許可する書き込みアクセス権を付与します。
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. RDATALIB クラスを更新します。
    SETR RACLIST(RDATALIB) REFRESH
    注: RACF 権限が与えられない場合は、鍵リングで証明書の書き込み操作を試みるときに次のメッセージが表示されます。
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more 
    updates could not be completed. 要求されたサービスを使用する RACF 権限が与えられていません。(Not RACF authorized to use the requested service.) 関数コード: (7) 戻りコード: (8, 8, 8) (Function code: (7) Return Codes: (8, 8, 8))
    注: 新規鍵リングの作成を試みるか、または特定の証明書書き込み操作を実行するときに、ネイティブの書き込み可能サポートが使用可能になっていない場合は、次のメッセージが表示されます。
    R_datalib (IRRSDL00) error: One or more updates could not be completed. 要求された Function_code は定義されていません。(Requested Function_code not defined.) 関数コード: (7) 戻りコード: (8, 8, 20) (Function code: (7) Return Codes: (8, 8, 20))
    要確認: 書き込み可能鍵リング・サポートを使用するには、z/OS リリース 1.9、または APAR OA22287 と OA22295 が適用されたリリース 1.8 が稼働している必要があります。
    詳しくは、z/OS Internet Library http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ にある次の文書を参照してください。
    • Security Server RACF Callable Services (SA22-7691) : RACF 呼び出し可能サービスと R_Datalib サービスの完全なガイドです。
    • z/OS Security Server RACF Security Administrator's Guide (SA22-7683) : RACF コマンドの完全なガイドです。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
ファイル名:tsec_7usewriteSAF_keyring.html