[z/OS]

System Authorization Facility のユーザー・レジストリー

WebSphere® Application Server for z/OS® では、System Authorization Facility (SAF) のユーザー・レジストリーが複数の目的で使用されます。

SAF ベースのユーザー・レジストリーは、以下の目的で使用されます。
  • 基本認証、ID アサーション、またはクライアント証明書を使用して認証します。
  • ユーザーおよびグループについての情報を保管します。
  • ユーザーおよびグループについての情報を検索し、ユーザーおよびグループのセキュリティー・ロールへのマッピングなど、 セキュリティーに関連する管理機能を実行します。
  • データ・セット、コマンド、およびポートなどのリソースへのアクセスを制御します。
詳しくは、レジストリーまたはリポジトリーの選択を参照してください。

WebSphere Application Server for z/OS 認証メカニズムは、ローカル・オペレーティング・システムまたは非ローカル・オペレーティング・システム・レジストリーを実装すると、SAF インターフェースを使用できます。SAF インターフェースは MVS™ によって定義されており、 アプリケーションがシステム許可サービスまたはユーザー・レジストリーを使用して、データ・セットおよび MVS コマンドなどのリソースへのアクセスを制御できるようになっています。SAF は、セキュリティー権限要求を直接処理するか、あるいは RACF® または他のセキュリティー製品と連動して 要求を処理します。ローカル・オペレーティング・システム SAF ユーザー・レジストリーは Lightweight Directory Access Protocol (LDAP) のような集中レジストリーではありませんが、 シスプレックス内では集中レジストリーであることに注意してください。

注: 非ローカル・オペレーティング・システム・レジストリーが使用されている場合、WebSphere Application Server for z/OS は非ローカル・オペレーティング・システム・レジストリーを認証に使用しますが、システム・リソースへのアクセスの制御には、引き続き SAF インターフェースを使用します。

WebSphere Application Server for z/OS では、 SAF ユーザー・レジストリーは、Resource Access Control Facility (RACF) RACDCERT コマンドを使用して、ユーザー ID マッピングへのデジタル証明書を提供します。RACDCERT コマンドについて詳しくは、z/OS Internet Library で、ご使用の z/OS バージョンの「z/OS Security Server RACF Command Language Reference」を参照してください。

WebSphere Application Server for z/OS の localOS ユーザー・レジストリー (SAF ユーザー・レジストリー) 実装では、SAFDFLT プロファイルが定義されている場合、REALM クラスがアクティブか非アクティブかに関係なく、REALM クラス内の SAFDFLT プロファイルからのレジストリー・レルム名が設定されます。レルム名は、SAFDFLT プロファイルの APPLDATA プロパティーとして指定されます。 OS セキュリティー製品 (RACF など) からレルム名が取得できない場合は、protocol_iiop_daemon_listenIPAddress プロパティーに指定された値がレルム名として使用されます。例えば、SAFDFLT プロファイルも APPLDATA プロパティーも定義されていない場合は、protocol_iiop_daemon_listenIPAddress の値が使用されます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): PE APAR、PM76462 のため、バージョン 8.5.5.1 では前の段落で説明した WebSphere for z/OS localOS ユーザー・レジストリー (SAF ユーザー・レジストリー) 実装は、REALM クラスがアクティブの場合にしか行われません。この実証エラーは、バージョン 8.5.5.2 で修正されました。gotcha
レルム名の変更が有効になる前に、デーモン・アドレス・スペースを含むセル全体をリサイクルする必要があります。ただし、UNIX システム・サービスに制限事項があります。ユーザーおよびグループの情報をリストする場合、OMVS セグメント (ユーザーおよびグループ情報の保管場所) を持つユーザーのみが表示されます。詳しくは、制御の要約を参照してください。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): ユーザー・レジストリー内のグループまたはユーザーを、特定のセキュリティー・レルム、リソース名、またはドメイン名でリストする場合は、WebSphere Application Server で使用するすべてのグループまたはユーザーに、OMVS セグメント (ユーザーおよびグループの情報を保管する) を必ず追加する必要があります。さらに、 そのユーザーのデフォルト・グループには、管理コンソールにそのユーザーをリストするための OMVS セグメントが必要です。 次を参照してください。gotcha
注: ローカル・オペレーティング・システム・レジストリーのデフォルトおよび唯一の実装は、SAF です。

ユーザー・レジストリーの選択に関する一般情報については、レジストリーまたはリポジトリーの選択を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safuserreg
ファイル名:csec_safuserreg.html