![[z/OS]](../images/ngzos.gif)
WebSphere Application Server security for z/OS
WebSphere® Application Server for z/OS® は、分散環境内のクライアントおよびサーバーからのリソースへのアクセスをサポートしています。 これらのリソースへのアクセスを制御する方法を指定し、 不注意によるまたは悪意によるシステムやデータの破壊を防ぐようにしなければなりません。
分散ネットワークで考慮しなければならない点は、次のとおりです。
- z/OS の基本オペレーティング・システム・サービスに対する権限をサーバーに付与する必要があります。
これらのサービスには、System Authorization Facility (SAF) セキュリティー、データベース管理、およびトランザクション管理が含まれます。
- サーバー・クラスターでは、コントローラーとサーバントを区別しなければなりません。 コントローラーは許可済みのシステム・コードを実行するので、信頼することができます。 サーバントではアプリケーション・コードが実行され、 リソースへのアクセス権が付与されるので、 サーバントに付与する権限については慎重に考慮してください。
- また、ランタイム・サーバーとユーザー独自のアプリケーション・サーバーに付与する権限のレベルも区別しなければなりません。 例えば、ノードには他のクラスターを開始する権限が必要ですが、 独自のアプリケーション・クラスターには必要ありません。
- サーバーおよびサーバー内のオブジェクトに対する権限を、クライアント (ユーザー) に付与しなければなりません。
各クライアントの特性は慎重に考慮する必要があります。
- クライアントがローカル・クライアントか、リモート・クライアントか。 リモート・クライアントの場合は、ネットワークのセキュリティーを考慮します。
- 識別されない (非認証の) クライアントにシステムへのアクセスを許可するか。 システム上のリソースの中にはパブリック・アクセスの対象になるものと、 保護する必要があるものがあります。 保護されているリソースにアクセスするためには、 クライアントは自分の身元を証明し、 これらのリソースを使用するための権限を持っていなければなりません。
- 認証 は、クライアントが特定のコンテキストにおいて身元を証明するプロセスです。
クライアントは、エンド・ユーザー、マシン、アプリケーションのいずれかです。
認証メカニズムという用語は、z/OS 上の WebSphere Application Server では、特に HTTP 機能および Java™ Management Extensions (JMX) 機能を使用して WebSphere が認証済み ID を識別する機能のことを指します。セルを構成する場合は、認証メカニズムを 1 つ選択する必要があります。
選択する認証メカニズムは次のとおりです。
- Simple WebSphere Authorization Mechanism (SWAM) - Base Application Server でのみ使用できるメカニズムです。Network Deployment 構成では使用できません。注: SWAM は WebSphere Application Server バージョン 9.0 では推奨されません。 また、将来のリリースでは除去される予定です。
- Lightweight Third Party Authentication (LTPA)
- Kerberos
- Simple WebSphere Authorization Mechanism (SWAM) - Base Application Server でのみ使用できるメカニズムです。Network Deployment 構成では使用できません。
- ユーザー・レジストリーにはユーザーおよびグループに関する情報が入っています。
WebSphere Application Server のユーザー・レジストリーは、ユーザーの認証を行い、ユーザーおよびグループに関する情報を取得して、セキュリティー関連の機能 (認証および許可など) を実行します。
複数のオペレーティング・システムまたはオペレーティング環境ベースの
ユーザー・レジストリーをサポートする実装が提供されます。
セルを構成する場合は、1 つのユーザー・レジストリーを選択しなければなりません。
ユーザー・レジストリーは、ローカルでもリモートでも可能です。
選択するユーザー・レジストリーは次のとおりです。
- SAF ベースのローカル・レジストリー (カスタマイズ中の管理セキュリティーに z/OS セキュリティー製品が選択されている場合のデフォルト)
- スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー - LDAP はローカル・レジストリーでも、リモート・レジストリーでも可能です。
- スタンドアロン・カスタム・ユーザー・レジストリー - カスタム・ユーザー・レジストリーは 、固有のレジストリーのニーズを満たすように設定されます。 WebSphere Application Server には、FileBasedRegistrySample という簡単なユーザー・レジストリーのサンプルが用意されています。
- 統合リポジトリー (カスタマイズ中の管理セキュリティーに WebSphere Application Server が選択されている場合のデフォルト)
リソースを保護する必要がある場合は、
だれがそのリソースにアクセスするかを識別することが大切です。
したがって、すべてのセキュリティー・システムでは、
認証と呼ばれるクライアント (ユーザー) 識別を行う必要があります。
WebSphere Application
Server for z/OS がサポートする分散ネットワークでは、クライアントは以下からリソースにアクセスすることができます。
- サーバーと同じシステム内
- サーバーと同じシスプレックス内
- リモートの z/OS システム
- 分散プラットフォーム上の WebSphere Application Server、顧客情報管理システム (CICS®)、その他の Java Platform, Enterprise Edition 準拠システムなどの、異機種混合システム
さらに、クライアントは、 サーバーが要求を別のクラスターに転送することが必要となるサービスを要求することもできます。 このような場合は、システムは代行、 つまり仲介クラスターとターゲット・クラスターがクライアント ID を使用できるようにする機能を扱わなければなりません。
最後に、分散ネットワークで、受け渡すメッセージの機密が守られ、
改ざんされていないことをどのように確認するか。
クライアントが、要求を行った本人であることをどのように確認するか。
ネットワーク ID を z/OS の ID にどのようにマップするか。
これらの問題は、WebSphere Application Server for z/OS の次のサポートにより解決されます。
- Secure Sockets Layer (SSL) とデジタル証明書の使用
- Kerberos
- Common Secure Interoperability Version 2 (CSIv2)
- Simple and Protected GSS-API Negotiation Mechanism (SPNEGO)
- SAF の分散 ID マッピング機能