![[z/OS]](../images/ngzos.gif)
サーバー・プロセス許可検査
z/OS® リソースへの特定のアクセス制限を指定できます。
WebSphere® Application Server for z/OS リソースへのアクセスを制御するには、以下のようにします。
- 一般的に、コントローラーに与える権限は大きくし、サーバントに与える権限は小さくします。
表 1. トラスト・レベルと領域の権限. 次の表は、トラスト・レベルと領域の権限を示します。
領域 トラスト・レベルとアクセス権限 コントローラー 注:- WebSphere Application Server for z/OS システム・コードを含みます。
- 信頼されており、APF 許可を実行します。
- System Authorization Facility (SAF) クライアント ID の通信ポートと操作を含みます。
サーバント 注:- WebSphere Application Server for z/OS システム・コード、アプリケーション・コード、 およびプラグ可能サービス・プロバイダー (JDBC Driver など) を含みます。
- Java™ 2 Security をサポートし、機密データおよびシステム・サービスを保護します。
- 信頼できない
- WebSphere Application Server for z/OS ランタイム・クラスターに関しては、下の表に説明されているように、
ロケーション・サービス・デーモンにはより小さい権限を与え、ノードにはより大きい権限を与えるのが一般的なルールです。
表 2. WebSphere Application Server for z/OS ランタイム・クラスター制御 およびサーバントへの権限の割り当て. この表には、z/OS ランタイム・クラスター制御 およびサーバントに必要な権限がリストされています。
ランタイム・クラスター 領域 必要権限 ロケーション・サービス・デーモン 制御 - STARTED クラス
- 作業負荷マネージャー (WLM) サービスへのアクセス
- DNS へのアクセス
- 他のクラスターに対して START、STOP、CANCEL、FORCE、および MODIFY を実行する OPERCMDS アクセス
- FACILITY (SSL) の IRR.DIGTCERT.LIST および IRR.DIGCERT.LISTRING
Node 制御 STARTED クラス コントローラー 制御 - SSL
- Kerberos
- SERVER クラスへの READ 権限
- 他のサーバーに対して START、STOP、CANCEL、FORCE、および MODIFY を実行する OPERCMDS アクセス
サーバント 制御 次のクラス: - OTMA
- SERVER
- DSNR,
- DATASET
- SURROGATE
- STARTED
- LOGSTREEAM
- 忘れずに Resource Recovery Services (RRS) ログ・ストリームをプロテクトしてください。 デフォルトでは、UACC は READ です。
- WebSphere Application Server for z/OS プロパティー XML ファイルは、 特にそこにパスワードが含まれている場合はプロテクトしてください。 詳しくは、管理コンソールまたは資料の WebSphere Application Server 変数を参照してください。
- デプロイメント・マネージャーには、サーバーを開始および停止するための許可も必要です。