![[z/OS]](../images/ngzos.gif)
ネーミング・ロールへのアクセスの制御に SAF 許可を使用する場合の特殊な考慮事項
WebSphere® Application Server には、ネーミング・ロールへのアクセスを制御するための特別な考慮事項があります。
ユーザーをネーミング・ロールに割り当てる際には、System Authorization Facility (SAF) 許可 (EJBROLE プロファイル) または WebSphere Application Server 許可のいずれかを使用して、ネーミング・ロールへのアクセスを制御できます。 SAF 許可を使用可能にするには、z/OS System Authorization Facility 許可で詳細を参照してください。 CosNaming ロールについては、 管理コンソールおよびネーミング・サービスの権限を参照してください。 ネーミング・ロールへのユーザーの割り当ても参照してください。
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead UACC(READ) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete UACC(NONE) PERMIT (optionalSecurityDomainName.)CosNamingRead CLASS(EJBROLE) ID(WSGUEST) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingWrite CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingCreate CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingDelete CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ)
将来、SAF 許可を使用可能にする場合は、これらの RACF® コマンドを実行して、適切な WebSphere Application Server 操作を使用可能にする必要があります。 別の非認証のユーザー ID を使用することを選択した場合は、WSGUEST の値を変更します。別の構成グループを選択した場合は、WSCFG1 の値を変更します。WSGUEST は制限付きユーザー ID であるため、WSGUEST には明示的な読み取り権限を与える必要があります。
カスタマイズ・ジョブによって許可されたデフォルトのアクセスにより、すべての認証済みユーザーは名前空間の読み取りを許可されます。このタイプの許可は、 ユーザーが提供したい権限レベルよりも広い可能性があります。 最低限、WebSphere Application Server の構成グループ (サーバーおよび管理者) にすべてのプロファイルへの読み取りアクセスを持つことを可能にし、すべての WebSphere Application Server for z/OS クライアントが CosNamingRead プロファイルへの読み取りアクセスを持つことを許可しなければなりません。
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
SAF 許可が使用不可である場合は、WebSphere Application Server 許可および管理コンソールを使用して、CosNaming 機能へのアクセスを制御します。
WebSphere Application Server 許可を使用したネーミング・ロールへのアクセスの制御については、 『ネーミング・ロールへのユーザーの割り当て』を参照してください。