[z/OS]

z/OS オペレーティング・システムでのロールおよびグループの使用による ジョブ・スケジューラー の保護

ロールおよびグループを使用して、ジョブ・スケジューラー を セキュアにすることができます。そうすると、ユーザーがジョブに関する操作を実行できるのは、ユーザーとジョブが同じ グループのメンバーであり、かつ、ユーザーのロールでその操作が許可されている場合のみに なります。

始める前に

デプロイメント・マネージャーおよびすべてのノード・エージェントを開始します。

このタスクについて

WebSphere® Application Server グローバル・セキュリティーを使用可能にする。統合リポジトリー用のユーザー・レジストリー・ブリッジを構成します。 VMM SAF マッピング・モジュールをインストールして構成し、このモジュールを 3 つのログイン・モジュールに 追加します。次に、RACF® を 使用して、グループを作成し、そのグループにユーザーを追加します。グループをジョブに割り当てます。 lradmin ロールおよび lrsubmitter ロールに対して EJBROLE プロファイルを定義します。

手順

  1. グローバル・セキュリティーを使用可能にします。
    WebSphere Application Server 資料で、セキュリティーの使用可能化に関する セクションを参照し、指示に従ってください。グローバル・セキュリティーのパネルで、 以下のオプションが選択されていることを確認してください。
    • 「管理セキュリティーを使用可能にする」および「アプリケーション・セキュリティーを使用可能にする」
    • 「使用可能なレルム定義」に対して「統合リポジトリー」
    • 「許可プロバイダー」に対して「SAF 代行を使用可能にする」
  2. 統合リポジトリー用のユーザー・レジストリー・ブリッジを構成します。

    WebSphere Application Server 資料で、統合リポジトリー用のユーザー・レジストリー・ブリッジ の wsadmin スクリプトを使用した構成に関するセクションを参照し、指示に従ってください。

  3. SampleVMMSAFMappingModule モジュールをインストールして構成します。

    製品のカスタム System Authorization Facility マッピング・モジュールのインストールと構成に関するセクションを参照し、指示に従ってください。このモジュールを WEB_INBOUND、RMI_INBOUND、 および DEFAULT ログイン・モジュールに追加します。

  4. 変更を同期化し、セルを再始動します。
  5. グループを作成し、そのグループにユーザーを追加します。

    RACF ユーザーズ・ガイド「Security Server RACF ユーザーズ・ガイド」でグループの作成およびグループへのユーザーの追加に関する説明を参照してください。

  6. バッチ環境が使用するポリシーを示すカスタム・プロパティーを設定します。
    1. 「システム管理」 > 「ジョブ・スケジューラー」を展開します。
    2. 「追加プロパティー」で、「カスタム・プロパティー」 > 「新規」をクリックします。
    3. 「名前」フィールドに JOB_SECURITY_POLICY と入力し、「値」フィールドに GROUP と入力します。
    4. 「OK」をクリックします。
  7. グループをジョブに割り当てます。

    ジョブはいずれかのユーザー・グループおよび管理グループに 属します。JOB_SECURITY_ADMIN_GROUP 変数 が定義されていない場合、ジョブ・スケジューラーが管理グループを各ジョブに自動的に 割り当てます。

    • JOB_SECURITY_ADMIN_GROUP ジョブ・スケジューラー・カスタム・プロパティーを介して、 管理グループ名の値を構成します。
      JOB_SECURITY_ADMIN_GROUP=JSYSADMN
      デフォルトの 管理グループ名は JSYSADMN です。
    • 以下のいずれかの方法を使用して、グループを割り当てます。
      • 次の例のように、xJCL 内の group 属性にグループを定義します。
        <job-name=”{jobname}” group=”{group-name}” …  />
      • JOB_SECURITY_DEFAULT_GROUP ジョブ・スケジューラー・カスタム・プロパティー を使用して、ジョブ・スケジューラーのデフォルトのグループ名を設定します。
        JOB_SECURITY_DEFAULT_GROUP=JSYSDFLT
        デフォルトのグループ名は JSYSDFLT です。
      このジョブ・スケジューラー・カスタム・プロパティーよりも、xJCL 内の group 属性 が優先されます。xJCL 内にグループ名が指定されていない場合、 ジョブ・スケジューラーがデフォルトのグループ名を割り当てます。
  8. lradmin ロールおよび lrsubmitter ロールに対して EJBROLE プロファイルを定義します。

    z/OS® オペレーティング・システムで System Authorization Facility (SAF) の EJBROLE プロファイルを使用してロール・ベースのセキュリティーを管理する場合、lradmin ロールおよび lrsubmitter ロールの EJBROLE プロファイルを定義してください。これらのロールを、バッチ・ジョブ管理者および実行依頼者の適切な SAF ユーザー ID に許可します。

タスクの結果

グループを作成し、そのグループにユーザーを割り当てました。また、 ユーザー ID に適切なロールを許可して、ロールによって許可されている操作であればユーザーがジョブを管理できるように しました。

次のタスク

グループおよびロールによるセキュリティーを使用してジョブを管理します。

  1. ジョブをサブミットします。
  2. 前のステップで作成したユーザーを使用して、ジョブ・ログの表示など、ジョブに関する操作を行います。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_bgsecure_user_group_zos
ファイル名:tgrid_bgsecure_user_group_zos.html