[z/OS]

ネーミング・ロールへのアクセスの制御に SAF 許可を使用する場合の特殊な考慮事項

WebSphere® Application Server には、ネーミング・ロールへのアクセスを制御するための特別な考慮事項があります。

ユーザーをネーミング・ロールに割り当てる際には、System Authorization Facility (SAF) 許可 (EJBROLE プロファイル) または WebSphere Application Server 許可のいずれかを使用して、ネーミング・ロールへのアクセスを制御できます。 SAF 許可を使用可能にするには、z/OS System Authorization Facility 許可で詳細を参照してください。 CosNaming ロールについては、 管理コンソールおよびネーミング・サービスの権限を参照してください。 ネーミング・ロールへのユーザーの割り当ても参照してください。

SAF 許可が使用可能な場合は、SAF EJBROLE プロファイルを使用して、CosNaming 機能へのアクセスを制御します。 z/OS® プロファイル管理ツールでのプロファイルの作成時に、「z/OS セキュリティー製品の使用」を選択していた場合に、さらに SAF プロファイル・プレフィックス (以前には、z/OS セキュリティー・ドメインと呼ばれていました) の値を指定した場合、カスタマイズ・ジョブにより、以下の CosNaming ロールが定義されます。
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead UACC(READ)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete UACC(NONE)

PERMIT (optionalSecurityDomainName.)CosNamingRead  CLASS(EJBROLE)  ID(WSGUEST) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingWrite  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingCreate  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingDelete  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)

将来、SAF 許可を使用可能にする場合は、これらの RACF® コマンドを実行して、適切な WebSphere Application Server 操作を使用可能にする必要があります。 別の非認証のユーザー ID を使用することを選択した場合は、WSGUEST の値を変更します。別の構成グループを選択した場合は、WSCFG1 の値を変更します。WSGUEST は制限付きユーザー ID であるため、WSGUEST には明示的な読み取り権限を与える必要があります。

カスタマイズ・ジョブによって許可されたデフォルトのアクセスにより、すべての認証済みユーザーは名前空間の読み取りを許可されます。このタイプの許可は、 ユーザーが提供したい権限レベルよりも広い可能性があります。 最低限、WebSphere Application Server の構成グループ (サーバーおよび管理者) にすべてのプロファイルへの読み取りアクセスを持つことを可能にし、すべての WebSphere Application Server for z/OS クライアントが CosNamingRead プロファイルへの読み取りアクセスを持つことを許可しなければなりません。

追加ユーザーが CosNaming ロールへのアクセスを必要とする場合、次の RACF コマンドを発行することによって、以下のようにユーザーが以前のロールを持つことを許可することができます。
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)

SAF 許可が使用不可である場合は、WebSphere Application Server 許可および管理コンソールを使用して、CosNaming 機能へのアクセスを制御します。

WebSphere Application Server 許可を使用したネーミング・ロールへのアクセスの制御については、 『ネーミング・ロールへのユーザーの割り当て』を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_contaccnamroles
ファイル名:csec_contaccnamroles.html