[z/OS]

監査サポート

このトピックでは、監査サポートの使用方法について概説します。

監査は、RACF® またはそれに相当する外部セキュリティー・マネージャーが発行する SMF レコードを使用して実行されます。 つまり、SMF 監査レコードは、 WebSphere Application Server による SAF インターフェースおよび RACROUTE マクロ の使用の一環として作成されます。

WebSphere Application Server for z/OS は、 以下の RACROUTE マクロを使用します。
  • RACROUTE REQUEST AUTH (および FASTAUTH) - クラスに対する権限がユーザーにあるかどうかをチェックします
  • RACROUTE REQUEST=EXTRACT - RACO を ACEE から抽出します
  • RACROUTE REQUEST TOKENXTR - UTOKEN を抽出します (CICS の場合)
  • RACROUTE REQUEST LIST - FASTAUTH ルーチンが許可検査の ために一般リソース・プロファイルのストレージ内コピーを使用 できるかどうかをチェックします
  • RACROUTE REQUEST STAT - 特定のクラスがアクティブかどうかを判別します
さらに、以下の SAF API が使用されます。
  • initACEE (IRRSIA00) - ACEE を管理します
  • R_usermap (IRRSIM00) - Kerberos プリンシパル名を RACF ユーザー ID にマップします

WebSphere Application Server が使用する RACROUTE および SAF API 呼び出し の SMF 監査能力について詳しくは、ご使用の z/OS のバージョンに合った z/OS インフォメーション・センターで、 「RACROUTE マクロ解説書」および「Security Server RACF 呼び出し可能サービス」の資料をそれぞれ参照してください。

表 1. セキュリティー認証メカニズムと、 ACEE X500NAME フィールドの各部分に書き込まれる対応データ. 次の表は、各種のセキュリティー認証メカニズムと、 ACEE X500NAME フィールドの各部分に書き込まれる対応データ (このデータは RACO レコードと SMF レコードにも存在します) を示したものです。
認証メカニズム サービス名 認証済み ID
カスタム・ レジストリー WebSphere® カスタム・レジストリー カスタム・レジストリーのプリンシパル名
Kerberos WebSphere Application Server 用 Kerberos Kerberos プリンシパル。IRRSIM00 (/.../realm/principal) を使用して、対応する MVS™ ユーザー ID を抽出する際に使用される「DCE」フォーマットのもの。
RunAs ロール名 WebSphere ロール名 ロール名
RunAs サーバー WebSphere サーバー・クレデンシャル MVS ユーザー ID
トラスト・インターセプター WebSphere 許可ログイン MVS ユーザー ID
RunAs ユーザー ID/パスワード WebSphere ユーザー ID/パスワード MVS ユーザー ID
MVS ユーザー ID によるトラッキングに加えて、イベントを元のユーザー ID にトレースする必要があります。 これは、MVS ベースではないユーザー ID (EJB ロール、Kerberos プリンシパル、カスタム・レジストリー・プリンシパルなど) を作成する場合に特に当てはまります。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_SMFusingaudit
ファイル名:rtrb_SMFusingaudit.html